关注这个靶场的其他相关笔记:XSS - LABS —— 靶场笔记合集-CSDN博客
0x01:过关流程
进入靶场,右击页面,查看网页源代码:
可以发现,本关依旧存在隐藏参数点,凭感觉,我觉得 t_ua 字段有搞头。这里的 t_ua 的值其实是请求包中的 User-Agent 字段值,通过 javascript 同样不可操作,但可以读取:
知识拓展:HTTP User-Agent
User-Agent 同样是 HTTP 请求头的一部分,它的主要作用是向服务器提供关于发起请求的客户端(如浏览器、移动应用、爬虫等)的型号信息。服务端获取这些信息后,可以做下面这些事情:
兼容性处理: 由于不同的浏览器对 HTML、CSS 和 JavaScript 等技术的支持程度不同,服务器可能会根据 User-Agent 字段来发送特定版本的脚本或者样式表,以确保网页在不同浏览器上都能正常显示和工作。
安全策略: 在一些情况下,服务器可能会根据 User-Agent 来实施安全策略。例如,如果 User-Agent 表明请求来自一个爬虫或自动化工具,而该工具没有遵循网站的
robots.txt规则,服务器可能会拒绝其访问或限制其访问频率。
因为攻击需要修改请求包的 User-Agent 字段,所以需要我们借助一些专业的工具,这里我选择的是 HackBar(浏览器插件,比较方便),HackBar 的详细教程链接如下:
HackBar 插件详解:功能介绍、安装步骤与使用教程_hackbar 来编码-CSDN博客文章浏览阅读778次,点赞29次,收藏9次。HackBar 是一个辅助进行网络渗透测试和安全评估的浏览器插件。它提供了一系列快捷工具和功能,可以帮助用户执行各种网络攻击和测试,包括 XSS、SQL 注入、CSRF、XXE、路径穿越等漏洞,以下是 HackBar 插件的一些主要特点和功能:自定义请求发送:HackBar 允许用户自定义 HTTP 请求,并可以通过插件直接发送这些请求。用户可以手动构造 GET 和 POST 请求,并添加自定义的 HTTP 头部、参数等信息。编码/解码工具。_hackbar 来编码https://blog.csdn.net/m0_73360524/article/details/141298896本关过关还是比较容易的,构造参数,逃逸出
value 即可,所以 Payload 以及攻击流程如下:
" type="text" onmouseover="alert(1)
0x02:源码分析
下面是 XSS LABS Level 12 的后端源码,以及我对其的部分笔记:
<!DOCTYPE html><!--STATUS OK--><html><head><meta http-equiv="content-type" content="text/html;charset=utf-8"><script>// 修改 alert 的默认行为,跳转到下一关window.alert = function() {confirm("完成的不错!");window.location.href = "level13.php?keyword=good job!";}</script><title>欢迎来到level12</title></head><body><h1 align=center>欢迎来到level12</h1><?phpini_set("display_errors", 0);$str = $_GET["keyword"];$str00 = $_GET["t_sort"];$str11 = $_SERVER['HTTP_USER_AGENT']; // 接收请求包中的 User-Agent 字段值// 过滤了 User-Agent 中的 <> 号后,直接回显,导致了 XSS 漏洞的发生$str22 = str_replace(">", "", $str11);$str33 = str_replace("<", "", $str22);echo "<h2 align=center>没有找到和" . htmlspecialchars($str) . "相关的结果.</h2>" . '<center><form id=search><input name="t_link" value="' . '" type="hidden"><input name="t_history" value="' . '" type="hidden"><input name="t_sort" value="' . htmlspecialchars($str00) . '" type="hidden"><input name="t_ua" value="' . $str33 . '" type="hidden"></form></center>';?><center><img src=level12.png></center><?phpecho "<h3 align=center>payload的长度:" . strlen($str) . "</h3>";?></body></html>源码没有什么,主要问题还是在于,如何利用?不同于 Referer 字段,多少还能带点控制,User-Agent 直接就是客户端的属性,这个咋改?(开发插件改?)
