xss challenges

1.

" <script>alert(document.domain)</script> " 를 해주면 된다. " 때문에 스크립트문이 동작하게 된다. 

 

2.

비슷하지만 onclick=alert() 으로 해결해주었다. 

 

 

3.

<> 가 &lt, &gt로 변환된다. 옆에있는 choose country form을 input으로 바꾸면 해결이 가능하다. 

 

4. 

hidden 속성으로 되어잇는 요소를 보이게 해주고

"><script>alert(document.domain)</script><" 입력. value값으로 처리해서 이렇게 해줘야 했다. 

 

 

5.

max length 만 바꿔주고 4번과 같은 페이로드. 

 

6.

onclick에서 바로 실행해준다. 

 

7

더블쿼터가 따로 인코딩 된다. \ 를 쓰면 된다. 

/ onclick=alert(document.domain)

 

8

herf 로 지정해줘서 위 그림과 같이 해주고 바로 이동하면 된다. 

 

9.

utf7 인코딩으로 공격을 해야되는 것 같아서 해줬는데 안되서, 다른 블로그를 보니까 똑같이 했는데도 안됬다.. 

이유는 모르겠음..;;

 

10. 

domain 문자열이 필터링되서 사라진다. sql injetion에서 많이 다루었기 때문에 dodomainmain 같은걸로 우회했다. 

 

15.

<> 가 &lt 등으로 바뀌는데 이를 url 인코딩해주면 우회가 가능했다. 여기서 \x가 x로 바뀌어서 

\\x3cscript\\x3ealert(document.domain); \\x3c/script\\x3e

끝