黑客之XSS注入練手:XSS Challenges通關(guān)指南

本文目錄:

[TOC]


一、XSS Challenges介紹

靶場(chǎng)地址:http://xss-quiz.int21h.jp/

相對(duì)于別的靶場(chǎng)來(lái)說(shuō),這是一個(gè)模擬真實(shí)環(huán)境的xss平臺(tái),頁(yè)面不會(huì)給出任何提示。

每關(guān)難度有所增加,需要不斷精進(jìn)自己的XSS攻擊的能力。

二、Stage#1

題目

答案

直接在search 輸入框中輸入<script>alert(document.domain);</script>,點(diǎn)擊search就XSS攻擊成功了。

三、Stage #2

題目

思路

嘗試直接輸入<script>alert(document.domain);</script>,發(fā)現(xiàn)并未完成通關(guān),查看Hint提示,需要:close the current tag and add SCRIPT tag...

然后右鍵查看網(wǎng)頁(yè)源碼,發(fā)現(xiàn)可以閉合輸入框的HTML標(biāo)簽:value="">

答案

Search輸入框輸入:"><script>alert(document.domain);</script><",點(diǎn)擊搜索,正確通關(guān)。

四、Stage #3

題目

思路

嘗試了一下前兩關(guān)的注入方式,發(fā)現(xiàn)都沒(méi)有反應(yīng),然后看了一下Hint提示,說(shuō)搜索框已經(jīng)正確做了轉(zhuǎn)移,然后看了一下頁(yè)面源碼,確實(shí)是進(jìn)行了轉(zhuǎn)移處理。

那這個(gè)輸入框就沒(méi)有辦法進(jìn)行注入了,看網(wǎng)頁(yè)源碼,發(fā)現(xiàn)這是一個(gè)Post請(qǐng)求,并且后邊的Choose a country沒(méi)有做處理,那這里就是攻擊點(diǎn)了,頁(yè)面上沒(méi)有辦法操作,就需要借用到Burp Suite了。

答案

通過(guò)思路我們也就看到答案了,通過(guò)修改Post請(qǐng)求,實(shí)現(xiàn)XSS注入。

五、Stage #4

題目

思路

按理說(shuō)新的一關(guān)了,前邊的注入點(diǎn)不可能存在問(wèn)題的,但是還是嘗試了一下。

竟然,真的不行。

現(xiàn)在摸到規(guī)律了,看源碼!!!


發(fā)現(xiàn)有一個(gè)隱藏的字段,可能存在利用點(diǎn),Burp Suite安排上。

答案

通過(guò)Burp Suite修改Post請(qǐng)求中這個(gè)隱藏的字段,把value的值修改為"><script>alert(document.domain);</script><",這里還有一個(gè)細(xì)節(jié)點(diǎn),就是需要閉合標(biāo)簽,前邊已經(jīng)經(jīng)歷過(guò)了。

后續(xù)關(guān)數(shù)眾多,今天就先給大家展示到此!!!


原文地址:XSS Challenges通關(guān):Stage #1

本文首發(fā)于BigYoung小站

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡(jiǎn)書(shū)系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。

推薦閱讀更多精彩內(nèi)容

  • Stage#1 http://xss-quiz.int21h.jp/?sid=2a75ff06e0147586b7...
    BerL1n閱讀 2,602評(píng)論 0 2
  • 今天周末,找了個(gè)XSS游戲,直接開(kāi)始,打開(kāi)地址:https://xss-quiz.int21h.jp/ 第一關(guān): ...
    青木枯榮閱讀 2,946評(píng)論 0 0
  • 看的是這個(gè)地方的視頻:XSS注入[https://www.bilibili.com/video/av6193610...
    yumiii_閱讀 3,873評(píng)論 0 1
  • 怎樣進(jìn)行Xss攻擊 XSS Challenges:http://xss-quiz.int21h.jp/這是一個(gè)日本...
    Smi1e_閱讀 2,308評(píng)論 5 5
  • 推薦指數(shù): 6.0 書(shū)籍主旨關(guān)鍵詞:特權(quán)、焦點(diǎn)、注意力、語(yǔ)言聯(lián)想、情景聯(lián)想 觀點(diǎn): 1.統(tǒng)計(jì)學(xué)現(xiàn)在叫數(shù)據(jù)分析,社會(huì)...
    Jenaral閱讀 5,743評(píng)論 0 5