XSS LABS - Level 15 过关思路

关注这个靶场的其他相关笔记：XSS - LABS —— 靶场笔记合集-CSDN博客

0x01：过关流程

进入靶场，老流程，右击查看网页源码，看看有没有接收传参并回显的位置：

可以发现，src 接收的参数被回显了，当然，如果不确定的话，可以自己再传递几个参数测试一下。

我们还注意到了两个特殊的东西，一个是页面引入了 angular.js 的包，一个是回显点前的 ng-include:，这两者肯定是有联系的，说不定和破局有关，后面作者测试了 " 也被过滤了。

AngularJS ng-include 指令的介绍可以参考下面这个链接：

AngularJS ng-include 指令 | 菜鸟教程AngularJS ng-include 指令 AngularJS 参考手册 AngularJS 实例 包含 HTML 文件: <div ng-include=''myFile.htm''></div> 尝试一下 » 定义和用法 ng-include 指令用于包含外部的 HTML 文件。 包含的..https://www.runoob.com/angularjs/ng-ng-include.html简而言之，AngularJS 里的 ng-include 是用来包含外部的文件的（虽然上面教程说是 HTML 文件，但是图片也是完全可以包含的），且默认情况下，包含的文件需要在同一个域名下（即不能包含其他人的站点资源）。

这里作者试图包含了 level15.png 的图片，如下图所示：

 ?src='level15.png'

既然会回显图片源码，那么我们完全往一张图片内部写入 Payload，然后上传（移动）到靶场上（至于上传点，Level 14 不就是个现成的上传点嘛，不过 Level 14 写了过滤，有点麻烦，需要一些特殊的小工具绕过，这里就不作解释了，下面还是用大家常见的移动法）。

首先是制作一张携带攻击 Payload 的图片，右击图片，使用文本编辑器（记事本）打开，将下面的内容，复制到开头的位置（因为下面的 a 标签没有做闭合，所以 a 标签以后的位置都会被算作是 a 标签内部，更容易触发攻击）：

 <!-- XSS Payload -->
 <a href="" onmouseover="alert(1)">

问题解决：为什么 Payload 不使用 <script> 标签包裹？

原文地址：ng-include指令-CSDN博客

简而言之，ng-include 包含文件具有以下特性：

1. 如果单纯指定地址，必须要加引号。

2. 加载外部 html，script 标签中的内容不会执行。

3. 加载外部 html，style 标签样式可以识别。

4. 加载外部 html，link 标签可以加载。

所以，如果你使用 <script> 标签进行包裹攻击代码，里面的内容是不会执行的。

保存修改后（图片会显示已损坏，这也是不推荐使用上面方式更改的原因），将图片移动到靶场目录下：

然后进入 Level 15 靶场，包含这张图片，然后鼠标划过被包含进来的内容，即可触发 XSS 攻击

 ?src='uploads/8.jpg'

0x02：源码分析

下面是 XSS LABS Level 15 的源码，以及我对其的部分笔记：

 <html ng-app>
 ​
 <head>
         <meta charset="utf-8">
         <!-- 这个文件在国内访问太慢了，甚至挂掉，所以我直接当到靶场里了 -->
         <!-- <script src="https://ajax.googleapis.com/ajax/libs/angularjs/1.2.0/angular.min.js"></script> -->
         <script src="./angular_1.2.0.min.js"></script>
         <script>
                 // 修改 alert 默认属性，跳转到下一关
                 window.alert = function() {
                         confirm("完成的不错！");
                         window.location.href = "level16.php?keyword=test";
                 }
         </script>
         <title>欢迎来到level15</title>
 </head>
 <h1 align=center>欢迎来到第15关，自己想个办法走出去吧！</h1>
 <p align=center><img src=level15.png></p>
 <?php
 ini_set("display_errors", 0);
 $str = $_GET["src"];   
 echo '<body><span class="ng-include:' . htmlspecialchars($str) . '"></span></body>'; // 这边没啥，主要就是考 ng-include 的包含文件的特性
 ?>

0x03：靶场复盘

0x0301：如何往图片中插入内容而不会破坏图片格式？

在上面的过关流程中，我们往图片中插入内容的方式是直接通过文本编辑器的形式，编辑图片文件的，虽然能过关，但是，这种方法不光会损坏图片，而且还很容易就被系统检测出来（连我写的那个 Level 14 都绕不过去）：

将 attacker01.jpg 上传到 Level 14 关卡，直接被过滤了：

那么，如何才能制作一个可以上传的，且能触发 Payload 的无损图片，就成了我们的目标。

我们触发 XSS 攻击的标签是未闭合的 a 标签，因为我们想页面展示的绝大部分内容都被 a 标签包裹，这样触发 a 标签监听事件的概率会比较大。所以，常见的做图片马的方法并不适合这里（目前常见的教程都是将 Payload 插入到图片最末尾）。

那么，在这里，我们就需要借助专业的工具，“二进制编辑器” 了，下面我使用的工具叫作 “010Editor”（教程后面会专门出一期，当然工具包也会上传）。

我们直接将准备好的图片，拖入工具中，如下图所示，可以看到，图片是以二进制格式展示的：

图片上面几行都是不能更改的（是用来识别这个图片信息的），我们改的内容应该是图片像素点的位置，至于，怎么找，很简单，你找个位置，随便插入个内容，然后点击保存，看看图片裂不裂开，如果还是原图，那么就没啥，就从这里插就好了：

如上图，找一个好位置，尽量确保不会损坏图片的展示效果即可。

然后将携带 Payload 的内容，通过 Level 14 关卡上传：

上传后的图片，统一是放在 uploads/ 目录下的，所以在 Level 15 中应该这么包含：

 <!-- original.jpg 是携带 Payload 的图片文件 -->
 ?src='uploads/original.jpg'