XSS闯关2

实验环境:
靶场:centOS 7 的xss-labs
靶机:Win 7
第二关

链接:http://靶场ip/xss-labs/level2.php?keyword=test

进来后发现有一个搜索框,默认里面有个test,我们打开F12,元素定位到该搜索框,检查
XSS闯关2
发现它在form表单里,且检索框中输入的test是input的value值,所以,可以构造payload:<script>alert('hello');</script>,然后回车,查看
XSS闯关2
发现没有注入成功,检查原因可知:我们输入的东西整体被当做value值了,那么要想让我们的payload成功执行,必须闭合value,所以,可以继续构造payload:"><script>alert('hello');</script>,其中,最前面的 ">是为了闭合value的值,回车查看
XSS闯关2
成功注入,恭喜进入下一关

上一篇:Sqli-Labs练习(11-20)


下一篇:Sqli-labs 3