关注这个靶场的其他相关笔记：XSS - LABS —— 靶场笔记合集-CSDN博客

0x01：关卡配置

这一关有些特殊，需要链接到外部站点，但是这个站点已经挂了，无法访问：

所以笔者就根据网上的资料，对这一关进行了修复。由于本关需要读取上传图片的 EXIF 信息（这个下面会讲），所以需要更改 PHP 的配置。下面所有的操作都是针对 PhpStudy 进行的。

1. 查看当前站点使用的 PHP 版本，这里我使用的是 php5.3.29nts：

2. 访问 php 环境目录：

3. 找到对应的配置文件 php.ini：

4. 在 php.ini 中搜索下面的内容，然后将前面的分号去掉就好，如下（记得保存修改后的内容）：

5. 配置完成后，打开小皮面板，重启 Apache 服务即可：

0x02：过关流程

有些网站具有读取并展示图片 EXIF 信息的功能，比如下面这个网站：

EXIF信息查看器无需安装软件，只需上传照片即可查看完整EXIF信息，包括机身、镜头型号、拍摄时间、相机快门次数，支持JPEG、TIFF、CR2、NEF、XMP等多种图片格式。无需下载，比Exif Show, ExifPro更好用的EXIF查看器！https://exif.tuchong.com/

知识拓展：EXIF 信息

EXIF，即可交换图像文件格式，是一种包含各种元数据的数据，包括相机设置、拍摄日期和时间，如果打开了 GPS，可能还包括位置信息。

简而言之，就是图片中携带了信息，这个信息包括拍摄设备的参数，拍摄的时间，拍摄的地点等等敏感数据（之前是有过泄露的，CTF 也很爱出）。

而这些信息，我们是可以编辑的，回归本题，我们上传一张图片看看效果（笔者上传的时候代码报错了，虽然上传的确实是正常的图片，也不知道为啥，所以各位测试的时候，可以多备几张图片看看）：

既然能回显图片的 EXIF 信息，那么每个位置其实都是回显点，下面我们来尝试编辑 EXIF 信息：

随便找个图片，右击，选择属性，然后选择详细信息，将 XSS Payload 随便找个位置写入：

 <script>alert(1)</script>

然后打开靶场，上传这张图片，可以看到攻击成功了，这关也就过啦（有点小众）：

0x03：源码分析

下面是 XSS LABS Level14 的后端源码，以及我对其的部分笔记：

 <html>​<head><meta http-equiv="content-type" content="text/html;charset=utf-8"><title>欢迎来到level14</title></head>​<body><h1 align=center>欢迎来到level14</h1><!-- <center><iframe name="leftframe" marginwidth=10 marginheight=10 src="http://www.exifviewer.org/" frameborder=no width="80%" scrolling="no" height=80%></iframe></center> --><center><iframe name="leftframe" marginwidth=10 marginheight=10 src="exifviewer.php" frameborder=no width="80%" scrolling="no" height=80%></iframe></center><center>这关成功后不会自动跳转。成功者<a href=level15.php?src=1.gif>点我进level15</a></center></body>​</html>

这个源码没啥，就是通过一个 iframe 框架，引入了一个新的页面（exifviewer.php 就是我后写的用来识别图片 EXIF 的网页）。这里面没有做任何过滤，主要就是提供一个新的思路。

下面是 exifviewer.php 的文件内容（从靶场介绍中可以直接下载我修改后的靶场文件，没必要自己一个一个改，挺麻烦的，靶场介绍我会在当前靶场过关笔记都发布完成后最后发布，别问为啥不先发布，问就是因为存货。）

 // exifviewer.php<!-- Level 14 调取页面 -->​<!DOCTYPE html><html lang="en">​<head><meta charset="UTF-8"><meta name="viewport" content="width=device-width, initial-scale=1.0"><title>exifviewer</title></head>​<body><center><form action="#" method="post" enctype="multipart/form-data"><label for="file">请上传一张图片：</label><input type="file" name="file" id="file"><input type="submit" name="submit" value="提交"></form></center></body>​</html><?php// 允许上传的图片后缀$allowedExts = array("gif", "jpeg", "jpg", "png");$temp = explode(".", $_FILES["file"]["name"]);$extension = end($temp);​// 检查文件扩展名  if (!in_array($extension, $allowedExts)) {echo "错误：非法的文件格式。";exit;}​// 尝试获取图像尺寸以验证图像  $imageInfo = getimagesize($_FILES["file"]["tmp_name"]);if (!$imageInfo) {echo "错误：上传的不是有效的图像文件。";exit;}​// 检查文件上传错误  if ($_FILES["file"]["error"] > 0) {echo "错误：上传文件时发生错误: " . $_FILES["file"]["error"] . "<br>";exit;}​// 尝试移动文件  $uploadDir = "uploads/"; // 确保此目录存在且可写  $targetPath = $uploadDir . basename($_FILES["file"]["name"]);if (!move_uploaded_file($_FILES["file"]["tmp_name"], $targetPath)) {echo "错误：无法移动文件。";exit;}​// 读取EXIF信息  $exif = exif_read_data($targetPath, 0, true);if ($exif !== false) {echo "<h4>[" . basename($_FILES["file"]["name"]) . "]的EXIF信息:</h4>";foreach ($exif as $key => $section) {foreach ($section as $name => $val) {echo "$key.$name: $val<br />\n";}}} else {echo "无法读取EXIF信息。";}?>