XSS游戏

XSS游戏-Warmups

Ma Spaghet!

1. 尝试注入，输入aaaaaaaa

2. 显示在<h2>标签内3. 输入标签，添加onmouseover属性值为alert(1337)，JS解析运行

Jefff

1. 闭合 “ ，破坏字符串拼接payload

Ugandan Knuckles

1. 分析代码使用正则表达式 [<>] 来匹配并移除字符串中的 < 和 > 字符
   
2. 闭合 ” ，使用聚焦 onfocus 执行payload ，添加autoonfocus属性自动聚焦，绕过用户交互
   

Ricardo Milos

1. 直接输入 payload 尝试注入
   

Ah That’s Hawt

1. 分析代码使用正则表达式 /[()]/g来匹配并移除字符串中的( 、` 、) 和 \ 字符
   
2. 使用
3. οnerrοr=location=“javascript:alert(1337)”:这是一个 onerror 事件处理程序，它会在图片加载失败时被触发。
   location=“javascript:alert(1337)” 试图在 onerror 事件中执行 JavaScript 代码。
   location 属性被用于执行 javascript: URL 作为一个脚本。
   

Ligma

1. 分析使用正则表达式 /[A-Za-z0-9]/g 将字符串中的所有字母和数字替换为空字符。
   结果是仅保留非字母和非数字字符的部分。例如，如果 balls 的值是 “alert(‘Hello’)”，在清理后将变成 “‘()’”。
   
2. 使用JSFuck将payload转码
   
3. 将转码后的payload转码URL
   
4. 注入payload

Mafia

1. 分析slice(0, 50) 用于截取 mafia 字符串的前 50 个字符。这是为了限制处理的数据长度，防止过长的输入
2. 使用正则表达式 /['"±!]/gi将字符串中的一些特殊字符（如反引号、单引号、双引号、加号、减号、感叹号、反斜杠、方括号）替换为下划线_
3. 将 mafia 字符串中的 alert 替换为下划线 _
4. JSFUCK不能用了
   
5. 大写绕过检测，toLowerCase()还原
   
6. 大写绕过检测，toLowerCase()还原，使用匿名函数执行payload
   

Ok, Boomer

1. DOMPurify.sanitize() 是一个库函数，用于清理并消除输入中的潜在恶意内容，从而防止 XSS 攻击
   2. 来到 https://cdnjs.com/libraries/dompurify/2.0.7 查看有哪些过滤

2. 浏览器会自动将地址补全，所以需要用协议：地址的格式
   3. 可以构造payload

?boomer=<a id=ok href=ftps:alert(1337)>

WW3

<div><h4>Meme Code</h4><textarea class="form-control" id="meme-code" rows="4"></textarea><div id="notify"></div>
</div><script>/* Utils */const escape = (dirty) => unescape(dirty).replace(/[<>'"=]/g, '');const memeTemplate = (img, text) => {return (`<style>@import url('https://fonts.googleapis.com/css?family=Oswald:700&display=swap');`+`.meme-card{margin:0 auto;width:300px}.meme-card>img{width:300px}`+`.meme-card>h1{text-align:center;color:#fff;background:black;margin-top:-5px;`+`position:relative;font-family:Oswald,sans-serif;font-weight:700}</style>`+`<div class="meme-card"><img src="${img}"><h1>${text}</h1></div>`)}const memeGen = (that, notify) => {if (text && img) {template = memeTemplate(img, text)if (notify) {html = (`<div class="alert alert-warning" role="alert"><b>Meme</b> created from ${DOMPurify.sanitize(text)}</div>`)}setTimeout(_ => {$('#status').remove()notify ? ($('#notify').html(html)) : ''$('#meme-code').text(template)}, 1000)}}
</script><script>/* Main */let notify = false;let text = new URL(location).searchParams.get('text')let img = new URL(location).searchParams.get('img')if (text && img) {document.write(`<div class="alert alert-primary" role="alert" id="status">`+`<img class="circle" src="${escape(img)}" οnlοad="memeGen(this, notify)">`+`Creating meme... (${DOMPurify.sanitize(text)})</div>`)} else {$('#meme-code').text(memeTemplate('https://i.imgur.com/PdbDexI.jpg', 'When you get that WW3 draft letter'))}
</script>

1. 分析：
   从 URL 查询参数中获取 text 和 img 的值。
   如果两个参数都存在：
   使用 document.write 创建一个 alert 样式的通知，提示正在生成 Meme，并加载图片。
   图片加载完成后调用 memeGen 函数来生成 Meme 和显示通知。
   如果 text 和 img 参数不存在：
   使用默认图片和文本生成 Meme 模板，并将其显示在 textarea 中。
   escape 函数用于清理输入，去除 URL 编码，并替换掉 <、>、'、" 和 = 等字符

• payload：

?text=<img%20name%3dnotify><style><style%2F><script>alert(1337)%2F%2F&img=https://so2.360tres.com/sdm/420_207_/t01e5b5a11685455ccc.webp