level11
此关卡跟上一个关卡一样,不过多了一个ref的标签,将上一关卡的测试代码丢过去没什么效果,如下:
看下源代码
发现被编码了,那么没办法了,看看源代码怎么玩的
确认可以通过http请求的referer进行传递测试代码,但是过程中仍然真的大于号和小于号进行了编码,所以此处是不能是script类似的标签进行测试,只能是事件的形式触发,那么通过burpsuite抓包看看
插入一个正常的bmfx发现真的写入到了目标的属性值上,经过测试触发xss的代码,最终得到如下测试代码 Referer: "type="text" onclick="alert(/bmfx/)
那么抓包拦截,贴上此测试代码即可
level12
本关卡看着跟上一关卡一样,我同样使用上述测试的代码试试观察观察
然后查看网页源代码
非常明显的发现,这次是可以通过user-agent头进行插入测试代码,那么我们同样试试正常的字符bmfx看看,有没有什么编码之类的
发现并没有,那么好办,直接把level11的测试代码丢过去即可
level13
同样按照上述测试代码丢过去,然后查看网页源代码
像是跟cookie有关,虽然不知道对应的value=call me maybe? 是什么意思,那么我们使用burpsuite抓包看看
果然是通过cookie传值,那么试试正常字符bmfx
看上去没啥问题,没编码篡改之类的动作,既然没啥问题,就直接丢上一关卡一样的测试代码看看
发现也是没有问题的,那么直接拦截抓包修改放行,一序列操作,一把梭搞定
level14
本关卡需要利用的那个网站打不开了,无法搞,
参考:
https://www.zhaosimeng.cn/writeup/117.html
https://xz.aliyun.com/t/1206
http://0verflow.cn/?p=1758
level15
本关卡使用 Angularjs的ng-include,直接在包含的页面,但是本关卡页面进行了编码,所以需要使用 img标签来触发xss,最终的测试代码如下:
http://10.0.1.83/xsslab/level15.php?src='level1.php?name=<img src=1 onerror=alert(/bmfx/)>'
关于AngularJS ng-include的知识点:
https://www.runoob.com/angularjs/ng-ng-include.html
推荐参考:
https://www.zhaosimeng.cn/writeup/117.html
https://xz.aliyun.com/t/1206
http://0verflow.cn/?p=1758
迷茫的人生,需要不断努力,才能看清远方模糊的志向!
