XSS學習之以關點面 11~15關

一下午沒課，明天也沒課，正好我能默默的繼續打這個 XSS 關卡了，不過自從昨天晚上 懵逼了好久，，，我才理解了雜過的那一關，看來接下來的關卡不好過啊！

不管了，搞完這20關，我就不玩 XSS 了，繼續往下走，爭取早日成為別人口中的大牛。

開始第 11 關。

有點蒙蔽，先看看源碼吧。。。

看來還是昨天的套路啊，隱藏的提交項。。。。那我先用下昨天的構造試試。

看來沒啥效果，，，那看下源碼， 看下是什麼原因。。。

看來還是得從這裡構造。對了，我估計很多人還是沒理解上一關的是啥意思吧？我給大家演示一下就知道了。

我們把這個隱藏的顯示出來，這不就看出來了？

好了，開始思考第 11 關 雜過吧。。。

思考了20多來分鐘。。。。

算了。。。。。直接看源碼分析吧。。。。

看了 t_sort 這個變數處是加了 html 轉碼了，下面的 t_ref 沒有轉碼， 但是過濾過程有點繞 = = ！

那就從下一個開始分析吧。。。

啥意思了？

好了這個懂了，就是獲取前一個 URL ，那繼續接著下一個。。。

哦，那這個意思的話，就是把 < ,> 都替換為空，也就是說，我們無法用這個兩個。我們只要抓到那個 referer 這個包，我們在這裡構造下語句不就行了？

抓包中。。。。

抓包20分鐘。。。

抓包30分鐘後。。。。

好吧，我放棄了，，，， 我計劃著插入 」 onmouseover=alert(1) type="text" 這個XSS，觸碰就會觸發的，既然我菜，我也不知道雜搞，，那乾脆試下這個 xss 管不管用算了，，也算過了這關。。。

直接審查元素，，然後 改 ==！！！

過了。。。。那就繼續搞第 12 關吧。。。

MD　，，，　這個　第 11 關，卡的我想死啊，，最後還是靠 ZW 過的。。

一看就估計和上一關差不多，我直接看源代碼吧。。。

然後繼續構造下， 看看哪個存在輸入輸出。。

還是這裡，我再試下常規的事件型觸發XSS。

算了，，，看下這個關卡的源碼吧。。。。

獲取頭部瀏覽器信息？直接抓包試下！！！

我們把我的繞過代碼放在瀏覽器信息這，直接加。

然後成功的繞過了，，，

看來第 11 關，就是這樣的方法做的，只不過我沒抓到，或者說我不會構造吧。。。

繼續來到第 13 關。

右鍵網頁源代碼看看。。。

什麼鬼？算了，常規一波。。。。

額。。。 value="call me maybe? 這個又是什麼鬼。。。。

。。。。。。。。。。。。

算了，常規抓包走一波，，，，看一下，，，，

我好像發現新大陸了。。。。

來試一下，看看。。。。

放包！！！

完美！！！

那麼繼續下一關，第 14 關 。。。

好白。。。。。。

啥意思，也沒輸入點，，，，看下源代碼先。。。

這個。。。。。

啥意思啊 = = ！！！

10分鐘後。。。。。

對了！！！！！ Z

ZW一波？元素搞起？搞！！！

失敗。。。。。

繼續思考中。。。。。

30分鐘後。。。。。

好吧，我承認我菜了。。。。

搜答案去！！！！媽的玩到第 14 關，竟然逼得我開始去搜答案了。。。。

= = ！這答案去哪裡搜啊。。。。。。。

ＭＤ，我這源碼哪裡保存啊，，，，真是擦　了，，，，找答案都不知道咋找。。。。

還是管理靠譜。。。。我去搜搜。。。。

烏雲傳送門地址：某Chrome Exif信息查看插件信息輸出未處理可導致XSS（Zone測試為例） | WooYun-2016-194934 | WooYun.org

原來是這個意思啊。。。不過好複雜。。。上傳型 XSS ，修改圖片信息，，，算了我也不復現，原理就是這個原理，我直接貼一個現成的吧。

14關是這樣的，我利用的是exiftool這個工具，環境是在mac下，windows下我沒有試，但是感覺應該不會差太多。語句是這樣的，我舉個例子：

n我當前目錄下有一個beauty.jpg,首先查看信息:

nexiftool beasuty.jpg， 就能查看到信息，左邊是一些欄位，你可以選擇一些修改，我改了應該Artist，改了一個Comment, 比如改Artist，命令如下：

nexiftool -Artist=<img src=1 onerrror=alert(2)> beauty.jpg 。要注意的就是修改欄位的值要用引號括起來，別的沒什麼。還有就是script標籤不能執行，要用img標籤，別的標籤我沒有試。

n在一個就是，那個網站有點小Bug,有的圖片不能解析，我也是換了幾個圖片，在一個攝影網站上找了個圖片，才能正確解析。

繼續下一關，也就是第五關。。。

直接跳轉失敗，，，，我看先源代碼吧。。。。

我擦，我沒開伺服器，，，，出去吃飯時我關了，，，剛想起來，，，，好尷尬。。。

我擦，太尷尬了。。。

看下源碼吧。。。。

一個關卡的頁面都好難搞，，，，

好在，我成功的刷新過來了，，，

我估計是源代碼里的 js 的問題，，，，刷新半天。。。。

來吧，開搞。。。。

額，，，，那個我好像已經看了源代碼，，，你就直接乾脆看著源代碼審計一遍吧。。。

上面的那個應該就是害我載入半天的 js 代碼。。。。

下面直接以 get 形式接受變數。。。然後直接輸出。。。。額，加轉碼的輸出。。。

ng-include 的意思，我百度百度。。。。

文件包含式 XSS ？？？

那我包含一個試試唄？嘿嘿。

真慢。。。。。

好像沒彈窗 = = ！！！難道不是包含漏洞？我看下源代碼先。。。

看來有希望啊。。。。也沒報錯啥的，我換個其他的包含包含試試。。。

好吧。。。我試了好幾個其他關的，都沒成功彈窗，，，還載入的慢的一筆。。。。

按道理，我審計的就是這個意思啊。。。。。難道源代碼還會騙我不成。。。 = =！

算了，看看那個人總結的答案吧，好不容易找見一分答案。。。

看來這位大牛也是不會啊。。。

咦，，，，，，

額。。。。。

我記得我好幾個關卡都包含來了，都是慢的一筆，然後沒有彈出。。。

難道是我火狐的問題？

算來了，我也不做 ，就當過了，，，畢竟看過源代碼了。。。。就是包含的。。。。

總結：

感覺出了來了，，，，越往後，關卡月難，，，就這 5 關，我花了一下午的時間來做，，，不過雖說時間上浪費了，但是我自己也漲來了好多姿勢，再有最後五關，我就算把這個系列給終結了，我就開始不研究 XSS 了，繼續往下走！

推薦閱讀：