level-16
1.发现页面没有输入框
2.查看网页源代码
3.尝试使用正常的js
发现script和/被过滤了
4.尝试不带js
发现空格也被过滤
5.使用回车代替空格
在HTML中换行可以代替空格
使用url编码 将回车转换为%0d或者换行符%0a代替
keyword=<img%0dsrc=1%0dοnerrοr=alert(1)>
成功弹窗
level-17
1.查看页面源代码
2.发现有一个embed标签
这个标签需要用到flash插件 火狐不支持flash
默认浏览器可以看见
3.构造payload
可以看见是一个双参数
arg02=' οnmοuseοver=alert("aini")
使用默认浏览器 可以看见插件 将鼠标移动到上面可以出现弹窗
level-18
这一关和第17关一样
payload也是arg02=' οnmοuseοver=alert("aini")
鼠标移动到插件上就会出现弹窗
level-19&level-20
这两关涉及flash xss
常见的可触发xss的危险函数有:
getURL navigateToURL ExternalInterface.call htmlText loadMovie等
要想知道这一关的是不是属于flash xss,只需要对引用的swf文件,进行反编译然后进行源码分析。反编译的工具是jpexs-decompiler
 "XSS-labs靶场通关攻略(16-20)")
