得力企业网站建设,品牌网站建设预定大蝌蚪,公司网站建设服务机构,做网站 使用权 所有权目录
1.第一题
2.第二题
3.第三题
4.第四题
5.第五题
6.第六题
7.第七题
8.第八题 1.第一题 在源码script标签里边#xff0c;innerhtml是用于访问或修改 HTML 元素内的 HTML 内容的#xff0c;这里是访问spaghet这个元素的#xff0c;并通过括号里面的东西搜索当前…目录
1.第一题
2.第二题
3.第三题
4.第四题
5.第五题
6.第六题
7.第七题
8.第八题 1.第一题 在源码script标签里边innerhtml是用于访问或修改 HTML 元素内的 HTML 内容的这里是访问spaghet这个元素的并通过括号里面的东西搜索当前页面有没有somebody这个参数有的话使用get传参的方式给somebody传一个值然后Toucha Ma Spaghet!如果没有传值默认传SomebodyToucha Ma Spaghet!,然后赋值给spaghet,放在h2标签中显示出来。 因为他利用innerHTML直接更新somebody参数所以我们可以利用
?somebodysvg%20οnlοadalert(1337)在svg加载完成以后执行我们的xss代码 2.第二题 在这里面我们get传入jeff的值给jeff,然后ma是空eval执行mama name 传的值然后settimeout延时1秒把ma赋值给manme. 因为这次使用的是innertext他会把我们的标签整个识别成一个字符串输出就不能用一开始的 我们可以把eval进行闭合
?jeffaaa;alert(1337);
带入就会是这样前后引号都闭合了eval就执行alert
ma Ma name aaa;alert(1337); 3.第三题 replace是用来移除wey 中的所有 和 字符。
/[]/g 是一个正则表达式匹配 或 字符。g 是一个全局标志表示将会在整个字符串中查找所有匹配的字符而不仅仅是找到第一个匹配后就停止。
这里因为过滤了我们不能用先前的方式了所以我们使用onclick进行聚焦,只要用户点击输入框就会触发 同样的还有onfocus也是需要用户进行点击 为了不让用户交互也可以完成我们可以用autofocus和onfocus一起autofocus把焦点放在输入框上onfocus把焦点事件进行触发单独使用autofocus不会触发焦点事件并且autofocus不包含代码。 所以要用?weyaaa%20οnfοcusalert(1)%20autofocus 4.第四题 因为这里面有用action进行提交并且没有过滤在提交的时候可以触发我们传入的xss代码同样在a标签里面我们也可以把href写入a hrefjavascript:alert(Hello!)这样用户点击链接就会触发
?ricardoJavascript:alert(1337) 5.第五题 因为括号等东西被过滤了我们就要考虑绕过尝试用编码绕过
把(1337)先用html实体编码再用url进行编码 成功绕过
?markassbrownleesvg%20οnlοadalert%26%23x0028%3B%26%23x0031%3B%26%23x0033%3B%26%23x0033%3B%26%23x0037%3B%26%23x0029%3B 6.第六题 这里过滤掉了字母数字我们就只能借助一些别的工具和别的编码
https://jsfuck.com/
这个网站会把我们的输入编码为[] ! 组合 但是好会被解析为空格所以还要进行url编码 7.第七题 这里可以直接用
?mafiaconfirm(1337)
但是真正的考点不是这个 我们可以通过
Function(/ALERT(1337)/.source.toLowerCase())()
绕过 /ALERT(1337)/ 是一个正则表达式用于匹配字符串 ALERT(1337)。 .source 属性返回正则表达式的源码部分不包括前后的斜杠即 ALERT(1337)。 toLowerCase() 方法将字符串中的所有字母转换为小写。
因此/ALERT(1337)/.source.toLowerCase() 返回 alert(1337)
Function 是一个构造函数用于动态创建一个新的函数。
Function(alert(1337)) 会创建一个函数
最后() 用于立即调用刚刚创建的函数。 8.第八题 这里面有DOMPurify框架很难绕过
但是setTimeout函数内的ok参数没有任何ok定义所以我们可以使用DOM破坏 由于前端的一些特性当boomera idok hreftel:alert(1337)时settimeout(ok,2000)会获取到a标签的href内容并执行所以我们可以利用这个来进行绕过但是如果是JavaScript:alert(1)的话会被DOMPurify框架进行过滤我们可以在他的文件找到白名单然后利用白名单执行我们的alert(1337)
