题目在buu basic区

主页面是这个东西（这表情怎么满脸嚣张），点图片

1. level 1

看name=test。试试能不能用html改改它
试着改一下用户名，加个标题啥类似的

证明确实可以。
xss的这种题之前淇姐讲过应该是在html代码里面调用JavaScript代码，然后放个alert脚本让这个页面弹出来弹窗，弹窗里面一般就是答案（我记得是这样）

所以把这个给它写进去
<script>alert("ok")</script>或者<script>alert("ok");</script

这就完成啦！！tips:上图那个“完成的还不错！”的那个用红框标注的位置，一般在比赛中也是给flag的位置

2.level 2

一进去是这么个页面，先看看能不能向刚刚那样用html改一下

事实证明:好事不是次次有的，不行！！！！

还是上网查吧 （这个博客告诉我也不是和html毫无关系）https://blog.csdn.net/weixin_45813388/article/details/115581895

看看源代码

可以看到test是通过GET的方式从文本框输入，并且显示在< h2 >标签中，因此我们注入的点是在value中，但此时我们如果在value中输入script语句的话，会被当成是value的值，所以我们要先用">来过滤value的值，在通过script标签进行alert的输入，因此payload也就很简单了.
"><script>alert("ok")</script>(那个ok的位置放1或者yes啥的基本都行,不要忘了最前面的引号哦)

这个题还有一种写法

注释掉后面的>，JavaScript中注释符为//，闭合前面的
构造playboad?keyword="><script>alert('1');</script> //&submit=搜索也可以完成（其实没啥区别）

3.level 3

点进去的页面，随手一搜

看看源代码