XSS

今天继续给大家介绍渗透测试相关知识，本文主要内容是XSS-labs靶场实战第7-8关。

免责声明： 本文所介绍的内容仅做学习交流使用，严禁利用文中技术进行非法行为，否则造成一切严重后果自负！ 再次强调：严禁对未授权设备进行渗透测试！

来到第九关，发现页面如下所示： 我们尝试按照之前的做法，查看源码如下所示： 我们猜测在这一关里对我们的输入进行了限制，必须包含一个网页的格式，即输入中必须含有http://。PHP源代码如下所示： 我们从上图中红线部分可以看出，我们的输入中必须含有http://才会将内容放入到href中。（事实上，这一点经过多次尝试也可以得到结论） 那如何构造含有http://的payload中，我们很自然可以想到，我们可以把该内容放入到注释中。于是，我们在第八关Unicode编码后，在编码的最后添加如下内容：

如下所示： 这样，我们就可以使用该payload成功突破关卡了，如下所示：

来到第十关，发现页面如下所示： 在第十关中，我们查看源码可以知道，有三个隐藏的input函数，如下所示： 经过简单的实验，我们也可以得到结论，我们可以通过GET的方式上传t_sort参数，上传的参数的值会放在value属性中。此外，尽管我们仍旧可以以GET的方式上传keyword参数，但是后台对keyword参数的限制非常严格，我们无法正常通过。而t_sort参数只针对左右尖括号进行了过滤，其他的都没有被过滤。 观察到value属性在type属性之前，为了使得该隐藏的输入框显示出来，我们可以新添加一个type属性，使得该input输入框后面的type="hidden"失效。这样，构造的payload如下所示：

该poyload使用后会在页面上显示出该input输入框，点击后即可成功过关，如下所示：

来到第十一关，发现页面如下所示： 来到第十一关，查看源代码后，发现多了一行name为t_ref的input输入库，如下所示： 我们可以通过观察和简单实验，发现t_sort参数尽管可以采用GET的方式上传，但是过滤非常严格，我们无法突破，但是t_ref的输入框中的value值似乎可以是Referer头的值。（在本例中，我们进入第11关后直接查看源代码发现了这一点，事实上，我们也可以通过t_ref的名称来猜测该参数的来源） 接下来，我们可以使用火狐浏览器，在发送的数据包中插入Referer头，如下所示： 果然，插入referer头后，referer头的信息显示到了input输入框的value属性中，如下所示： 因此，我们可以完全使用第十关的payload，只需要将其放在Referer头中，即可在页面上出现输入框，点击后即可完成本关，如下所示： 原创不易，转载请说明出处：https://blog.csdn.net/weixin_40228200