备案控制台
开发者社区 云计算 文章 正文

XSS-Game Level 4

2021-12-30 117
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 第四关过滤了左右尖括号 ">","<" , 我们使用事件来绕过

第四关过滤了左右尖括号 ">","<" , 我们使用事件来绕过

image.png

源码中 , 过滤了 '>' 和 '<' , 标签用不了

image.png

使用 htmlspecialchars() 过滤标签 , 但未重新赋值给 $str , 所以不会造成影响

image.png

既然标签不能用 , 那我们就用事件绕过 , payload

" onclick="alert(4)

左边第一个双引号用来闭合value属性的左边双引号 , 第二个双引号用来闭合value属性的右边双引号


页面代码变化如下

<input name=keyword  value="'.$str3.'">    //拼接前
<input name=keyword  value="" onclick="alert(4)">    //拼接后

点击输入框,触发弹窗 , 过关

image.png

士别三日wyx
目录
相关文章
myysophia
|
11月前
Pingdom Website Speed Test
在Pingdom输入 URL 地址,即可测试页面加载速度,分析并找出性能瓶颈。帮助用户找出影响网站速度的原因,并给出改善网页性能的可行性方案,很适合做网站的用户。
myysophia
41 0
游客rigajubvzf2hs
|
编解码 并行计算
wrf--运行real.exe时报错:“Could not find level above ground“ error
在修改wrf初始场资料时,如果做了带通滤波处理,会发现在运行real.exe时报错:“Could not find level above ground” error 。
游客rigajubvzf2hs
226 0
wrf--运行real.exe时报错:“Could not find level above ground“ error
士别三日wyx
XSS-Game level 13
第十三关利用 COOKIE 使用 事件绕过
士别三日wyx
105 0
XSS-Game level 13
士别三日wyx
XSS-Game level 6
第六关未过滤大小写 , 使用大小写绕过
士别三日wyx
89 0
XSS-Game level 6
士别三日wyx
XSS-Game level 5
第五关过滤了 <script> 和 on 事件 , 使用 a 标签绕过
士别三日wyx
108 0
XSS-Game level 5
士别三日wyx
XSS-Game level 11
第十一关通过 Referer , 利用事件绕过
士别三日wyx
99 0
XSS-Game level 11
士别三日wyx
|
JavaScript
XSS-Game Level 2
第二关将结果拼接到了value属性中 , 我们插入JS脚本时手动闭合双引号即可
士别三日wyx
103 0
XSS-Game Level 2
士别三日wyx
XSS-Game level 9
第九关过滤的很严 , 使用编码绕过
士别三日wyx
89 0
XSS-Game level 9
士别三日wyx
XSS-Game level 7
第七关过滤了 script , 但未过滤尖括号 '<','>' , 使用双写绕过
士别三日wyx
110 0
XSS-Game level 7
士别三日wyx
XSS-Game level 10
第十关过滤了尖括号 > < , 并且隐藏了输入框 , 使用事件绕过,并使输入框取消隐藏
士别三日wyx
69 0
XSS-Game level 10