漏洞起因
可以输入的地方没有做好对应的过滤,引发的xss攻击
漏洞危害
- 盗取cookie
- 劫持用户浏览器
- 钓鱼攻击
- 挂马
- 在一定的条件下可以getshell
- 会话劫持
漏洞类型
- 反射型XSS(危险级别:低),插入的语句停留在当前页面。
- DOM型XSS (危险级别:中), DOM型xss又分为两种 (a.可见型、b.不可见型),插入的语句影响js 。
- 存储型XSS(危险级别:高),插入的语句保存在数据库 。
- 其他型XSS(例如:Flash xss)。
漏洞实验
本次实验我们以著名的安全脆弱性平台DVWA为例:
在low级别下的测试,没有任何防御。可以插入任意标签如:
<code>/<code>
如果过滤了alert()如何绕过呢?
直接上后端PHP代码:
<code>/<code>
前端显示html代码如下:
<code> <title>Demo1/<title>输入你的名称
/<code>
当输入alert的时候就会被替换成空,当然我们可以使用其他的什么标签来代替script,但是如果只用script如何绕过呢?使用js转义。将alert转义。
当js解释器在标识符名称(例如函数名,属性名等等)中遇到unicode编码会进行解码,并使其标志符照常生效。而在字符串中遇到unicode编码时会进行解码只会被当作字符串。
也就是说unicode编码只能编码属性名
示例payload如下:
<code>/<code>
经过js转义后,代码如下:
<code>/<code>
注意:使用unicode编码之前要确定对方有没有过滤“\\”
html转义:
<code>当浏览器接受到一份HTML代码后,会对标签之间(xxx
等,之间的情况:<code>绕过:
<code>]";/* * */#echo "";?>/<code>绕过:
<code>1' onclick='alert(1)/<code>假设输出在img标签里:
<code>";echo $c;#echo "";#echo " ";/* * */#echo "";?>/<code>绕过:
<code>'1/**/onerror='alert(1)/<code>输出在标签里的绕过总结:
- 先想办法闭合周围的什么双引号之类的东西
- 判断有什么过滤掉的,如果没有过滤自然最好
- 查询标签对应可以执行js的属性,然后插入代码即可
DOM型xss分为两种:
- 可见型DOM xss
- 不可见型DOM xss
何为DOM?,你插入的代码会暂存在某些标签之中,并且影响输出。
DVWA的DOM xss就是不可见类型。
源代码不可见:
但是F12可见:
low级无任何防御直接插入payload:
medimu级过滤了script:
<code><code>使用: //要闭合select标签,因为img在select标签里面是不可见的/<code>high级对default进行了判断:
<code>/<code>使用#杀掉判断:
<code>#/<code>存储型xss:当我们插入的恶意代码都会保留在数据库,下次在访问此页面的时候就会自动执行js。
温馨提示:用beef来配置存储型xss是个不错的选择哦!
总结:
<code>xss漏洞起因 没有做好对应的过滤标签措施,导致攻击者可以注入恶意代码对付那种无任何过滤的 输出在<script>之间的情况(意思就是你在script里面,得把前面的闭合了在注入语句,然后因为你在script里面直接输入语句即可) 先闭合上一个script然后在注入恶意代码: 构造的xss语句:http://xxx.com/jj.php?xxx=%0aalert(1) //) #通过%0a换行符,换到了没有注释的下一行然后闭合掉后面的括号使用反斜杆构造xss 当输入的语句处于多行js代码之中,使用\\分开,例子: 使用\\分割语句然后想办法闭合 :反弹xss一般出现在url拦DOM型xssDOM型的xss就是通过输入,改变了js代码的一部分。dom型xss又分两种:1.可见型DOM xss,输入的东西改变了页面的源码。但是F12查看源码可见类似于:<strong>按职业1检索:aaaaaaa aaaaa为我们输入的,假设现在被过滤了。但是\\没被过滤,该如何构造xss呢由于\\没有被过滤,使用unicode编码,变为被url解释器解释完后为 ,url中出现了javascript:,指明了后面的语句要当作js执行,所以再次把解释后的字符交给js解释器解释,可以弹窗。当js解释器在标识符名称(例如函数名,属性名等等)中遇到unicode编码会进行解码,并使其标志符照常生效。而在字符串中遇到unicode编码时会进行解码只会被当作字符串。如: unicode编码在标签的属性之中可用,如果在输出使用不会影响上下文 参考文章:https://www.cnblogs.com/iceli/p/8598709.html2.不可见型DOM xss 类似于DVWA里的DOM型xss,只能用调试工具定位。审核源代码是看不见的 记录一些DOM型xss常用的语句: 在iframe中执行js:<iframe> <iframe> <iframe> IE执行VBScript代码 <iframe> chrome执行data协议代码 <iframe> 上面的变体 <iframe> chrome下的srcdoc属性 总结:在探测一个地方是否有xss的时候,插入好搜索的语句例如:aaaaaa。然后f12源码搜索,分析出现的地方,看看哪里能实现xss。如果有被过滤 了,先试试html转义,注意闭合。当\\符号没被过滤的时候可以使用unicode编码来进行代替被过滤的函数或符号 (前提是在script标签里) 存储型xss: 一定要记住本节最开头的话,存储型XSS,输出的位置不一定出现在输入的位置。 7. 因而我们有时候需要逆向的思维,来寻找存储型XSS。大概思路如下: 7.1 先找到输出点,然后猜测此处输出是否会被过滤。 7.2 如果觉得可能没过滤,我们再找到这个输出是在哪里输入的。 7.3 接着开始测试输入,看输出的效果。 7.4 如果没过滤,那么你就成功了,否则你可以放弃掉它。xss 存储型payload:http://html5sec.org//<iframe>/<code>"/<code>
分享到:
閱讀更多 KillBoy安全實驗室 的文章