当前位置：首页 > article >正文

xss-labs（level11-20）【通关技巧】

article 2025/1/9 1:40:21

level 11（请求头referer传递）

进入页面没有思路，看一下网站源代码：

发现名为t_ref标签传入的参数值为level 10的地址，那么猜测传递的就是http报文头中的referer字段。按理来说我们可以使用burpsuit抓包修改一下referer的值，为了验证我们的猜想，我们直接先看一下源代码：

和我们猜想的一样，那么此时我们来对页面进行抓包，然后修改referer参数值为 " onfocus=javascript:alert('hello') type="text：

返回网站页面，触发弹窗成功：

level 11成功完成。

level 12（请求头user-agent传递）

按照惯例，直接查看网站源代码：

发现有一个值为浏览器数据的参数值，猜测应该和上一关类似，只不过这一关变成了修改ua参数值，那么我们此时来抓包看看，然后修改user-agent参数为我们需要的值，放包：

查看页面信息，弹窗成功：

level 12成功完成。

level 13（请求头cookie传递）

查看网站源代码：

发现都被隐藏了，不知道如何下手，这时我们查看一下源代码：

可以发现，此时需要我们修改请求头中cookie的值来传递我们需要的值，还是一样，转包修改一下cookie的值，把其中user的值改为我们想要传递的值，放包：

此时查看页面，成功弹窗：

level 13成功完成。

level 14（exif xss漏洞）

exif xss漏洞，由于网站本身的问题，这里不做过多阐述，知道是啥漏洞就好。

level 15 （ng-include文件包涵，无视html实体化）

进入15关，查看页面信息：

查看页面源代码：

然后看到了一个我们陌生的东西：ng-include，这里补充一下：

ng-include 指令用于包含外部的 HTML 文件。

包含的内容将作为指定元素的子节点。

ng-include 属性的值可以是一个表达式，返回一个文件名。

默认情况下，包含的文件需要包含在同一个域名下。

如果包涵的内容是地址，需要加引号

我们尝试包含一下level 1的内容，输入 ?src='level1.php'，返回页面如下：

这里再次查看一下过滤了哪些内容

?src=" ' sRc DaTa OnFocus <sCriPt> <a hReF=javascript:alert()> j：

发现特殊符号还是被html实体化了，没有删掉东西，所以不影响我们接下来的操作，我们可以包涵第一关并让第一关弹窗（注意，这里不能包涵那些直接弹窗的东西如<script>，但是可以包涵那些标签的东西比如<a>、<input>、<img>、<p>标签等等，这些标签是能需要我们手动点击弹窗的），这里我们使用img标签。

输入内容：?src='level1.php?name=<img src=1 onmouseover=alert('hello')>'，返回页面如下（鼠标放在图片上方时）：

为什么这时候html实体化不管用了呢？

因为htmlspecialchars() 只对标签内容进行转义，对于嵌入在标签属性中的 JavaScript 代码并没有特别的处理。它的目标是转义 <、>、&、"、' 等字符，但如果攻击者将恶意代码嵌入事件属性中（例如 onclick="alert('XSS')"），这些属性的值并不会被转义为安全的内容。