XSS漏洞靶场攻关教学文档：xss-labs全解析<\/strong><\/h2>
一、XSS漏洞核心原理<\/strong><\/h3>
跨站脚本攻击（XSS）<\/strong> 的核心原理是：攻击者通过向网页中注入恶意脚本，利用网站对用户输入过滤不严的漏洞，使浏览器执行这些非预期的脚本，从而盗取用户信息、劫持会话或实施其他攻击。<\/strong><\/p>
根据脚本是否存储在服务器上，XSS主要分为三类：<\/p>

反射型XSS<\/strong>：恶意脚本来自当前HTTP请求（如URL参数），由服务器直接返回并立即执行。<\/li>
存储型XSS<\/strong>：恶意脚本被永久存储在服务器端（如数据库），当其他用户访问包含此脚本的页面时触发。<\/li>
DOM型XSS<\/strong>：漏洞完全在客户端处理，不经过服务器，由页面的JavaScript代码不当处理用户输入导致。<\/li> <\/ol>
本靶场（xss-labs）主要针对反射型XSS进行练习。<\/p>

二、关卡详解与Payload构造技巧<\/strong><\/h3>
Level 1：直接注入<\/strong><\/h4>

漏洞点<\/strong>：keyword<\/code>参数值直接被输出到页面中，未经过任何过滤。<\/li>
源码分析<\/strong>： $str =<\/span> $_GET["keyword"<\/span>]; <\/span><\/span>echo<\/span> "<h2 align=center>没有找到和"<\/span>.<\/span>$str.<\/span>"相关的结果.<\/h2>"<\/span>; <\/span><\/span><\/code><\/pre><\/li> Payload<\/strong>：<script>alert(1)<\/script><\/code><\/li> 教学要点<\/strong>：这是最基础的XSS形式。当用户输入被直接拼接进HTML时，浏览器会将其解析为HTML代码而非普通文本。<\/li> <\/ul> Level 2：">闭合标签绕过<\/strong><\/h4> 漏洞点<\/strong>：用户输入被放入一个<input><\/code>标签的value<\/code>属性中。<\/li> 源码分析<\/strong>： $str =<\/span> $_GET["keyword"<\/span>]; <\/span><\/span>echo<\/span> "<input name=keyword value='"<\/span>.<\/span>$str.<\/span>"'>"<\/span>; <\/span><\/span><\/code><\/pre><\/li> 挑战<\/strong>：直接输入<script>alert(1)<\/script><\/code>会被当作value<\/code>的值，脚本不会执行。<\/li> Payload<\/strong>："><script>alert(1)<\/script><\/code><\/li> 构造原理<\/strong>： "><\/code> 用于闭合当前的value<\/code>属性值和<input><\/code>标签。<\/li> 随后注入的<script><\/code>标签成为独立的HTML元素，从而被浏览器执行。<\/li> <\/ol> <\/li> 最终HTML<\/strong>：<input name=keyword value=""><script>alert(1)<\/script>"><\/code><\/li> <\/ul> Level 3 & Level 4：单\/双引号闭合与事件处理器<\/strong><\/h4> 漏洞点<\/strong>：输入被htmlspecialchars()<\/code>函数处理，但引号处理策略不同。输入被放入<input><\/code>标签的value<\/code>属性。<\/li> 源码分析（Level 3）<\/strong>： $str =<\/span> $_GET["keyword"<\/span>]; <\/span><\/span>$str2 =<\/span> htmlspecialchars<\/span>($str, ENT_QUOTES<\/span>); \/\/ 同时转换单引号和双引号 <\/span><\/span><\/span><\/span>echo<\/span> "<input name=keyword value='"<\/span>.<\/span>$str2.<\/span>"'>"<\/span>; \/\/ 属性由单引号包裹 <\/span><\/span><\/span><\/code><\/pre><\/li> 挑战<\/strong>：<<\/code>，><\/code>，"<\/code>，'<\/code>等符号被转义为HTML实体（如'<\/code>变为'<\/code>），无法使用<script><\/code>标签或简单的引号闭合。<\/li> 绕过技巧<\/strong>：利用HTML标签的事件属性<\/strong>，如onclick<\/code>（点击时触发）、onfocus<\/code>（获得焦点时触发）、onmouseover<\/code>（鼠标悬停时触发）等。<\/li> Payload（Level 3 - 单引号包裹）<\/strong>： ' onfocus=javascript:alert(1) '<\/code><\/li> ' onclick='alert(1)<\/code><\/li> <\/ul> <\/li> Payload（Level 4 - 双引号包裹）<\/strong>： " onfocus=javascript:alert(1) "<\/code><\/li> " onclick="alert(1)<\/code><\/li> <\/ul> <\/li> 教学要点<\/strong>： htmlspecialchars()<\/code>函数在未设置ENT_QUOTES<\/code>时默认不转义单引号，这是Level 3的关键。<\/li> 事件处理器（如onclick<\/code>）的值可以是JavaScript代码，无需显式使用<script><\/code>标签。<\/li> <\/ol> <\/li> <\/ul> Level 5：脚本关键字过滤与超链接伪协议<\/strong><\/h4> 漏洞点<\/strong>：代码对<script><\/code>和on<\/code>等关键字进行了过滤替换。<\/li> 源码分析<\/strong>： $str =<\/span> strtolower<\/span>($_GET["keyword"<\/span>]); \/\/ 先转为小写 <\/span><\/span><\/span><\/span>$str2 =<\/span> str_replace<\/span>("<script"<\/span>, "<scr_ipt"<\/span>, $str); \/\/ 替换<script <\/span><\/span><\/span><\/span>$str3 =<\/span> str_replace<\/span>("on"<\/span>, "o_n"<\/span>, $str2); \/\/ 替换on <\/span><\/span><\/span><\/code><\/pre><\/li> 挑战<\/strong>：无法使用<script><\/code>标签和onxxx<\/code>事件处理器。<\/li> 绕过技巧<\/strong>：使用<a><\/code>标签的href<\/code>属性结合javascript:<\/code>伪协议。<\/li> Payload<\/strong>："> <a href=javascript:alert(1)>点击<\/a> <"<\/code><\/li> 构造原理<\/strong>： "><\/code> 闭合前面的<input><\/code>标签。<\/li> 插入一个超链接，其href<\/code>属性值为javascript:alert(1)<\/code>。当用户点击此链接时，会执行其中的JavaScript代码。<\/li> <"<\/code> 是为了平衡标签，避免语法错误（非必需，但更规范）。<\/li> <\/ol> <\/li> <\/ul> Level 6：大写绕过<\/strong><\/h4> 漏洞点<\/strong>：过滤函数（如str_replace<\/code>）对关键字进行替换，但未进行大小写统一处理。<\/li> 源码分析<\/strong>：过滤了script<\/code>, on<\/code>, src<\/code>等，但都是小写。<\/li> Payload<\/strong>："><SCRIPT>alert(1)<\/SCRIPT><\/code> 或 " OnClick="alert(1)<\/code><\/li> 教学要点<\/strong>：HTML对标签和属性名不区分大小写，但PHP的字符串处理函数默认是区分大小写的。这是一种非常经典的“黑名单”绕过方式。<\/li> <\/ul> Level 9：Unicode解码<\/strong><\/h4> 挑战<\/strong>：页面会检查输入中是否包含http:\/\/<\/code>，如果没有，则不会正常输出。这要求Payload中必须包含该字符串，但又不能破坏JavaScript代码。<\/li> 绕过技巧<\/strong>：利用JavaScript对Unicode转义字符的支持。<\/li> Payload<\/strong>：" onclick="alert(1)\/\/http:\/\/<\/code><\/li> Payload（使用Unicode）<\/strong>：" onclick="eval('\u0061\u006c\u0065\u0072\u0074(1)')\/\/http:\/\/<\/code><\/li> 教学要点<\/strong>：\u0061<\/code>是字母a<\/code>的Unicode转义形式。eval()<\/code>函数会将这些转义字符解码并执行。\/\/<\/code>用于注释掉后面的http:\/\/<\/code>，避免其引发语法错误。<\/li> <\/ul> Level 10：隐藏输入与onfocus事件<\/strong><\/h4> 挑战<\/strong>：用户输入不会被直接显示在页面的可见位置，而是被赋给了一个type="hidden"<\/code>的隐藏输入框。<\/li> 技巧<\/strong>：通过URL参数?keyword=test&t_link=1&t_history=2&t_sort=3<\/code>发现，可能存在其他参数（如t_sort<\/code>）被输出。需要将隐藏输入框的type<\/code>属性改为text<\/code>，使其可见，然后才能触发事件。<\/li> Payload<\/strong>：" onclick="alert(1) type="text<\/code><\/li> 最终HTML<\/strong>：<input name="t_sort" value="" onclick="alert(1)" type="text"><\/code><\/li> 教学要点<\/strong>：一个标签可以有多个属性。通过注入type="text"<\/code>属性，覆盖了原有的type="hidden"<\/code>，使输入框可见，从而可以点击触发onclick<\/code>事件。<\/li> <\/ul> Level 11 & 12 & 13：HTTP请求头注入<\/strong><\/h4> 漏洞点<\/strong>：XSS漏洞不仅存在于URL参数，还可能存在于HTTP请求头中，如Referer<\/code>, User-Agent<\/code>, Cookie<\/code>。如果服务器端代码将这些头信息不加过滤地输出到页面上，就可能造成XSS。<\/li> 攻击方法<\/strong>：使用工具（如Burp Suite）拦截HTTP请求，修改对应的请求头。<\/li> Payload（以Referer为例）<\/strong>： GET<\/span> \/level11.php HTTP<\/span>\/<\/span>1.1<\/span> <\/span><\/span>Host:<\/span> target.com<\/span> <\/span><\/span>Referer:<\/span> " onmouseover="alert(1)<\/span> <\/span><\/span>...<\/span> <\/span><\/span><\/code><\/pre><\/li> 教学要点<\/strong>：永远不要信任任何来自客户端的输入，包括但不限于URL参数、POST数据、以及所有的HTTP头部信息。<\/li> <\/ul> Level 15：ng-include文件包含<\/strong><\/h4> 背景<\/strong>：此关卡引入了AngularJS框架。<\/li> 漏洞点<\/strong>：使用ng-include<\/code>指令动态包含文件，其值是一个AngularJS表达式。<\/li> 原理<\/strong>：在AngularJS 1.x版本中，如果未对ng-include<\/code>的值进行严格处理，攻击者可以通过构造表达式来包含恶意代码或执行函数。<\/li> Payload<\/strong>：需要构造一个指向包含XSS Payload的文件的AngularJS表达式（具体Payload依赖于靶场环境设置）。<\/li> 教学要点<\/strong>：引入了客户端模板注入<\/strong>的概念。现代前端框架（如Angular, Vue, React）如果使用不当，同样可能产生XSS漏洞。<\/li> <\/ul> Level 16：空格\/换行符实体转义绕过<\/strong><\/h4> 漏洞点<\/strong>：代码将空格（ <\/code>）和换行符（\/<\/code>）替换为HTML实体 <\/code>和<br><\/code>。<\/li> 源码分析<\/strong>：str_replace(" ", " ", $str)<\/code> 和 str_replace("\/", "<br>", $str)<\/code><\/li> 挑战<\/strong>：普通的Payload中的空格会被破坏。<\/li> 绕过技巧<\/strong>：使用其他空白符或标签属性分隔符。<\/li> Payload<\/strong>： "><\/code> (使用\/<\/code>代替空格)<\/li> "onmouseover=alert(1)<\/code> (属性之间可以紧挨着，浏览器能正确解析)<\/li> <\/ul> <\/li> 教学要点<\/strong>：HTML解析器非常“宽容”，标签属性之间可以用空格、换行、制表符等多种空白符分隔，甚至在某些情况下可以没有分隔符。<\/li> <\/ul> Level 17 & 18：embed标签与事件绑定<\/strong><\/h4> 漏洞点<\/strong>：用户输入被插入到<embed><\/code>标签的src<\/code>属性中。<\/li> 源码分析<\/strong>：echo '<embed src="xsf01.php?arg=' . $str . '">';<\/code><\/li> 挑战<\/strong>：需要在embed<\/code>标签的上下文中执行脚本。<\/li> 技巧<\/strong>：<embed><\/code>标签支持事件处理器，如onmouseover<\/code>。<\/li> Payload<\/strong>：1" onmouseover=alert(1) type="application\/x-shockwave-flash" width=100 height=100<\/code><\/li> 构造原理<\/strong>： 1"<\/code> 用于闭合src<\/code>属性值的前半部分。<\/li> 然后注入onmouseover<\/code>事件。<\/li> 添加type<\/code>等属性让embed<\/code>标签更完整，提高触发成功率（尤其是在现代浏览器中，embed<\/code>标签需要正确的MIME类型才能被正常处理）。<\/li> <\/ol> <\/li> <\/ul> 三、防御建议总结<\/strong><\/h3> 根据以上攻击手法，可以总结出有效的XSS防御策略：<\/p> 严格输出编码<\/strong>：<\/p> 原则<\/strong>：根据数据输出的上下文，进行相应的编码。<\/li> HTML正文<\/strong>：使用htmlspecialchars($input, ENT_QUOTES | ENT_HTML5, 'UTF-8')<\/code>，将<<\/code>, ><\/code>, "<\/code>, '<\/code>, &<\/code>等字符转义。<\/li> HTML属性<\/strong>：同上，必须使用ENT_QUOTES<\/code>同时转义单双引号。<\/li> JavaScript代码<\/strong>：使用json_encode($input)<\/code>将数据安全地嵌入到JS中。<\/li> URL参数<\/strong>：使用urlencode($input)<\/code>。<\/li> <\/ul> <\/li> 实施内容安全策略（CSP）<\/strong>：通过HTTP头Content-Security-Policy<\/code>告诉浏览器只允许加载指定源的脚本、样式等资源，可以极大程度地缓解XSS攻击。<\/p> <\/li> 避免使用黑名单<\/strong>：如Level 6所示，黑名单很容易被绕过（大小写、编码、罕见标签等）。应采用白名单<\/strong>机制，只允许已知安全的字符或格式。<\/p> <\/li> 使用安全框架\/库<\/strong>：现代前端框架（如React, Vue, Angular）默认有较好的XSS防护机制。后端模板引擎也应选择具备自动转义功能的。<\/p> <\/li> 设置HttpOnly Cookie<\/strong>：为敏感的Cookie标记HttpOnly<\/code>属性，防止被JavaScript窃取。<\/p> <\/li> <\/ol> 这份文档详尽地覆盖了xss-labs<\/code>靶场中的核心知识点和攻击技巧，是学习反射型XSS原理和绕过手法的优秀教材。<\/p>