XSS-labs靶场实战：从基础注入到高级绕过的通关心法

1. XSS-labs靶场入门指南

第一次接触XSS-labs靶场时，我完全被它精巧的设计所吸引。这个靶场就像是一个精心设计的闯关游戏，每一关都设置了不同的XSS防御机制，从最简单的无过滤场景到复杂的多重防御策略，循序渐进地带你掌握XSS攻击的各种技巧。

靶场的前几关特别适合新手入门。比如第一关，简直就是XSS攻击的"Hello World"。你只需要在URL参数中直接插入一个简单的script标签就能触发弹窗。我刚开始尝试时还小心翼翼地检查了好几遍，生怕哪里写错了，结果发现真的就这么简单：

http://xss/level1.php?name=<script>alert(1)</script>

但别被第一关的简单迷惑了，从第二关开始，靶场就开始引入各种防御机制。第二关的关键在于理解HTML上下文和JavaScript上下文的区别。这里输入出现在两个地方：一个是HTML属性中，一个是JavaScript字符串中。要成功注入，我们需要先闭合前面的双引号，然后插入我们的恶意代码：

1"><ScRipt>alert(1)</ScRipt>

这个小技巧让我明白了一个重要概念：XSS攻击的成功与否很大程度上取决于注入点的上下文环境。同样的payload，放在不同的上下文中，效果可能完全不同。

2. 突破HTML实体编码防御

第三关开始引入真正的防御机制——htmlspecialchars函数。这个PHP函数会把特殊字符转换成HTML实体，比如把<变成<。第一次遇到这种防御时，我尝试了各种script标签变形都失败了，直到我意识到需要完全改变攻击思路。

这时候，事件处理器(onclick, onmouseover等)就成了突破口。这些属性允许我们直接在HTML元素上绑定JavaScript代码，而不需要通过script标签。我尝试了这样的payload：

' onclick='javascript:alert(1)'//

这个payload的精妙之处在于它利用了单引号来闭合原有的属性值，然后添加自己的事件处理器。最后的//用来注释掉后面可能存在的其他代码，防止破坏我们的注入。

第四关和第三关类似，只是把单引号换成了双引号。这种细微的变化提醒我们：在实战中，必须仔细观察目标使用的引号类型，这直接关系到我们的payload能否成功执行。

3. 绕过关键词过滤的技巧

第五关开始加大难度，同时过滤了"script"和"onclick"这两个关键词。这时候常规的注入方法都失效了，需要寻找新的突破口。我尝试了a标签的href属性，利用javascript:伪协议来执行代码：

"><input><a href='javascript:alert(1)'>asd</a>//

这个案例教会我一个重要原则：当主要攻击路径被阻断时，要善于寻找替代方案。XSS攻击有很多种实现方式，关键在于理解浏览器解析HTML和JavaScript的机制。

第六关又回到了类似第二关的场景，但这时候我已经能够快速识别这种模式了。这种反复练习的过程让我对XSS攻击的基本模式形成了肌肉记忆。

4. 高级绕过技术实战

第七关引入了一个有趣的过滤机制：删除"script"字符串。我的第一反应是尝试双重编码，但发现不奏效。后来想到可以用字符串拼接的方式绕过：

1"><ScscriptRipt>alert(1)</ScscriptRipt>

这个技巧的原理是：当过滤器简单删除"script"后，剩下的字符正好重新组合成"script"。这种技术在实际渗透测试中非常实用，特别是对付简单的字符串过滤。

第八关的挑战更大，过滤了尖括号和双引号，还在script中间插入下划线。这时候常规的HTML标签注入已经不可能了，必须完全改变思路。我最终采用了HTML实体编码的方式：

javascript:alert(1) javascript:alert(1)

第九关更进一步，需要同时绕过URL验证和XSS过滤。这里的关键是理解浏览器如何解析URL和JavaScript代码。我最终采用的方案是在编码后的JavaScript代码后添加合法URL并用注释符隔开：

javascript:alert('1') //http://www.baidu.com

第十关的挑战在于注入点隐藏在表单的隐藏字段中。要利用这个漏洞，需要先让隐藏字段变成可见的输入框，然后才能触发事件。我使用的payload是：

&t_sort=" type='text' onclick='javascript:alert(1)'>//

这个案例展示了DOM型XSS的复杂性，需要深入理解页面DOM结构才能成功利用。通过这关，我学会了如何分析页面元素并寻找隐藏的注入点。