跟第十关类似，所以就直接用第十关方法，先获取隐藏的表单，并没有成功，查看源码进行分析。

 

 

双引号被过滤了，但是我们获得到新的t_ref参数，这个参数有点像http的请求头的refer值。我们用bp抓包尝试在请求头refer输入值查看结果

 

 

 

 

 

 

 

隐藏表单成功获取到值。我们跟之前一样闭合构造payload

 

 

 

 

 

 

 

 成功完成攻击。

打开后端源码分析

 

 t_ref获取referer的值，并且进行尖括号过滤。

总结：根据已知的信息猜测可能出现在referer上面然后进行修改得到想要的结果。