#xss writeup

按右鍵檢測網頁原始碼，search for “aaa"

欸斗…字有點小

放大看看

<b>"aaa'bbb"ccc>ddd<eee"</b><hr class='red'>

eee跟後面已經和在一起不見了

 所以這時候我們就可以直接用

alert(document.domain);

包起來

出現下面的畫面:

就可以成功囉

左下角會出現這樣的圖示

進入下一關

 XSS Chanllenges stage #2 writes up

按照起手勢打: aaa’bbb"ccc<ddd>eee

結果發現只剩下

aaa’bbb

代表雙引號出現了事情

看網頁原始碼

<input type="text" name="p1" size="50" value="aaa'bbb"ccc>ddd<eee">

 表示在ccc以前都變成一組的了

如果我們要插入東西，就要把前面先close掉

於是乎

我們用">把前面的語句先結束，再接我們的東西

">alert(document.domain)<"

 XSS Chanllenges stage #3 writes up

一樣aaa’bbb"ccc>ddd<eee

結果都存在!!

這是有點危險的喔

因為可能做過html的轉換

所以看看原始碼:

<b>"aaa&#039;bbb&quot;ccc&gt;ddd&lt;eee"</b>

 果然真的耶

這樣就沒有XSS的行為發生

呵呵

這時候又要用到Burp Suite啦

結果發現他送的結果，除了aaabbbccc之外，還多送一個Japan(最後一行)

點選Parms(就是Parameters的縮寫，會顯示參數，主要為GET,POST的訊息)

又再一次確認說參數裡面有把Japan送出去

為了要改這個啊，把Proxy->intercept->on

重新回到測試題庫頁面。這次不要輸入東西，直接送出

在Raw裡面的最下面一行，會出現

p1=+%22aaa%27bbb%22ccc%3Eddd%3Ceee%22&p2=Japan

這時候把Japan換成aaa'bbb"ccc>ddd<eee

再把intercept off

 這時候會發現頁面已經吃進參數了

回到Burp Suite看Response

特寫一下:

第一個紅框是剛剛吃進去的

第二個紅框是我們用Burp suite改的第二個參數

很明顯的 第二個框框裡面沒有被改編碼

仔細看，到小於之前都還存在。

再用一次Burp Suite

改後面的參數

p1=%22aaa%27bbb%22ccc%3Eddd%3Ceee&p2=alert(document.domain);

就過囉

XSS Chanllenges stage #4 writes up

長得跟第三題蠻像的

起手勢:aaa’bbb"ccc>ddd<eee

結果又是回傳完整的句子

We couldn’t find any places called “aaa’bbb"ccc>ddd<eee" in Japan.

我們再打開Burp Suite看一下剛剛傳送的情形:

結果發現這題回傳有三個參數:

p1=&p2=Japan&p3=hackme

比對網頁上的狀況，沒有p3=hackme的輸入的地方，表示是hidden input。

那就不客氣囉直接在p3加語句

p1=aaa%27bbb%22ccc%3Eddd%3Ceee&p2=Japan&p3=alert(document.domain);

因為插的位子是在input裡面

所以少一個雙引號和大於(“>)

 回到Burp Suite再一次

就有囉

XSS Chanllenges stage #5 writes up

第五題

突然想到前幾題都忘記提供超連結。連結如下:

http://xss-quiz.int21h.jp/stage–5.php

 這一題呢，什麼也沒有

看起來蠻有挑戰的(假的假的  不要怕)

我們還是開個Burp Suite吧

先在search裡面打aaa’bbb"ccc>ddd<eee看看

結果發現一段蠻特別的結果:

中間的"ccc>斷掉了。

ddd好像又和之後不知道什麼東西接上了。

不要怕

檢視網頁原始碼看看

雖然前面有maxlength="15″可是看起來好像也沒有什麼影響。

只是還是老問題 input裡面先結束掉。(用  “>  )

一樣，

用Burp Suite在p1參數的地方打

“> alert(document.domain);

按送出

就可以過關囉

目前Susie這邊只有將詳解寫到第五題．陸陸續續會繼續更新上傳．