一般用途:拿cookie进后台,将后台地址一起发送过来

特点:挖掘困难,绕过困难

 大纲:

XSS漏洞基础讲解

XSS漏洞发掘与绕过

XSS漏洞的综合利用

XSS漏洞基础讲解

  XSS介绍:

    跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意的Script代码,当用户浏览该页之时,嵌入其中Web里面的Script

代码会被执行,从而达到恶意攻击用户的目的。

  特点:

    能注入恶意代码到用户的客户端浏览器的网页上,从而达到劫持用户会话的目的。

  什么是跨站脚本?

    介绍:跨站脚本(cross-site scripting,XSS)是一种安全攻击,其中,攻击者在看上去来源可靠的链接中恶意嵌入译码。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户

端脚本语言。

    XSS脚本示例:    

<html>

<head>xss test</head>

<body>

<script>alert(/xss/)</script>

</body>

</html>

    以上代码使用alert函数弹出来一个网页弹框,弹框内容就是/xss/,xss的输入也是可以是html代码,比如能让网站不停地刷新

    <meta http-equiv="refresh" content="0";>

    也可以嵌入其他网页链接

    <iframe src=http://xx.com with=0 height=0></iframe>

  XSS的危害

    窃取Cookies、蠕虫、钓鱼等等。

JavaScript基础知识

  简介:JavaScript一种直译式脚本语言,是一种动态类型、弱类型、基于原型的语言,内置支持类型。它的解释器被称为JavaScript引擎,为浏览器的一部分,广泛用于客户端的脚本语言,最早是在HTML(标准通用标记语言下的一个应用)

网页上使用,用来给HTML网页增加动态功能。

  document对象

      它代表着当前的页面(文档),我们调用它的write()方法就能向该对象中写入内容,即:document.write(),可以在HTML引用外部js代码<script src=x.js></script>,其中x.js的内容如下:

      document.write("hello xxx");

      在标签、属性、元素这三种地方可能会调用。

  JavaScript变量

    定义变量

      var [变量]

      e.g  var x;  var a=1;  var b="hello";  var c=ture;

  JavaScript流程控制

    if-else控制语句

      e.g 

var a=20;

var b=10;

if(a>b){

alert("b=20");

}

else{

alert("b=10");

}

    switch控制语句

      e.g

var x=10;

switch(x){

case 2:

    alert('1');

    break;

case 10:

    alert('10');

    break;

}

    for循环

      e.g

<script>

for(var i=0;i<100;i++){

alert(1);

}

</script>

    while循环

      e.g

<script>

var a=0;

while(a<100){

alert(1);

a++;

}

</script>

JavaScript函数

function x(a,b){

var c=a+b;

return c;

}

var xx=x(1,2);

conseole.log(xx);

JavaScript事件

  onclick属性,点击事件

  e.g

function x(){

alert(/xss/)

}

<h1 onclick="x()">hello</h1>

XSS分类

  反射型、DOM型、存储型

  反射型

    介绍:XSS反射型攻击,恶意代码并没有保存在目标网站,通过引诱用户点击一个链接到目标网站的恶意链接来实施攻击的。

    e.g

http://www.xx.com/src.asp?key="><script>alert(/xss/)</script>

    一般使用的时候是将构造好的URL发送给目标者,诱使其点击链接后触发攻击,但是这种的只能使用一次,非持久化的。

  存储型XSS

    比反射性的XSS更具有威胁性,并且可能影响到web服务器是我自身安全,这种的不需要用户自己点击特定的链接就可以执行,攻击者将恶意代码上传到服务器中,或存储在漏洞服务中,只要浏览器包含有这个恶意代码的问题,就会受到攻击。

  攻击模型

XSS漏洞发掘和绕过

  火狐中常用的XSS调试插件

     hackbar、firebug、tamper data、live http headers、editor cookie(编辑cookie)

XSS漏洞挖掘:

  挖掘方式:

    手工挖掘、工具挖掘、标签闭合、AWVS

手工挖掘XSS漏洞

  站点:http://www.xx.com/xss.php?id=1

  将payload分别添加到id=1的地方进行测试

  常测试的地方是有输入的地方,文件上传的地方、flash、、

  闭合标签

  1 <script>alert(1)</script>

  2 "'><script>alert(1)</script>

  3 <img/src=@onerror=alert(1)/>

  4 "'><img/src=@onerrer=alert(1)/>

  5 'omouseover=alert(1) x='

  6 "onmouseover=alert(1) x="

  7 'onmousover=alert(1) x="

  8 javascript:alert(1)//

  9 data:text/html;base64,PHNjcmludD5==

 10 "';alert(1)//

 11 </script><script>alert(1)//

 12 }x:expression(alert(1))

 13 alert(1)//

工具挖掘XSS漏洞

  AWVS  netsparke  appscan  burp  xsser

  xsscrapy  bratexssr  OWASP Xemotix

  当插入的代码在标签的中间时,需要闭合标签

  当插入的代码在标签的属性时,e.g  <div value="123"><script>alert(1)</script>">

  要先找到位置,尝试闭合

  在留言的地方一般是找存在存储型的XSS必须挖的地方,在存储型的多个要输入内容的框时,我们需要对每个框都进行写入测试,二一般不留弹框的代码,防止管理员发现,一般都是打cookie的代码,

  注意:闭合标签的时候要闭合他加载后的标签,对于文本域的标签加载前后都要闭合</textarea>

  常见的防XSS的代码

 $x=preg_replace("/script/","",$x);

 $x=preg_replace("/script/i","",$x);

 $x=preg_replace("/alert/","",$x);

 $x=preg_replace("/script/","",$x);

 这里面,i是代表不区分大小写

 上述的代码是指将检测到的关键字用空格替换

 对于区分大小写我们可以对关键字进大小写的转换

 对于替换成空格的我们可以重复覆盖,如:<SCRSCRRTPIPT>他将里面的一个替换成空格后还会剩下一个

  XSS绕过限制

    当存在XSS但又有waf或过滤策略时,有以下几种绕过方法:

    1、绕过magic_quotes_gpc

    2、编码绕过

    3、改变大小写

    4、闭合标签

XSS漏洞的综合利用

  在网站上进行测试,一般就是寻找这种post型传递参数,进行交互的地方

  可以看到结果,这里是只接受数字型的参数,所以我们就没法注入xss语句了,只能寻找其他的地方

  我们在站内查找的地方输入代码,可以看到他弹框了,说明存在xss漏洞

  这个实验是要用低版本的浏览器进行测试的,在高版本的浏览器中会将这条语句检测出来,直接过滤拦截,报错无法显示。比如Google浏览器

留言成功后并不会立即显示出什么,但是等我们登录到后台的时候,点击待审留言,就会出现弹框,这就是存储型的XSS

  也可以使用工具直接跑(BruteXSS)

  他会加载字典进行尝试

  注意:最好选择get类型的方式,如果是post会有很大的可能改变网站排版,导致网站页面扭曲等现象,危害很大;

  因为它是直接留存在服务器里面的,需要网站管理员进行恢复,更严重的可能追究你的刑事责任。

  在他的wordliet文件里面就是他的字典,在跑的时候就是加载的这个文件,里面的语句只可以自己再添加的

  平台:xss.fbisb.com

  创建一个项目

  填写相关信息

  选择默认模块,这次演示的是盗取管理员的cookie

  如下就时他给出的利用代码

  将XSS代码进行留言

  然后我们登陆管理员,看看审查元素可以发现,他将管理员的cookie发送到那个平台

  可以看到我们的项目中已经获得了管理员的cookie

  cookie利用

  此时我们用火狐的插件

  路径选择根,里面填写的内容就是在平台中给的cookie的内容

  然后去访问,登陆后的连接,如果还是登录不了,九江cookie中的所有信息都添加以下,多添加几个就可以了

2019-05-13  23:38:55

渗透测试学习 十七、 XSS跨站脚本漏洞详解的更多相关文章

  1. 渗透测试学习 十三、 SQLmap使用详解

    SQLmap介绍 sqlmap是一个由python语言编写的开源的渗透测试工具,它主要是检测SQL注入漏洞,是一款功能强大的SQL漏洞检测利用工具. 他可以检测的数据库有:access.msSQL.M ...

  2. 渗透测试学习 十八、 XSS跨站脚本漏洞详解 续

    XSS平台搭建 ISS+zkeysphp 首先在IIS中新建一个网站,详细过程可以看我之前写搭环境的文章 (下面的写入选项不需要选中) 安装ZKEYS PHP 修改数据库配置 用户名:root 密码: ...

  3. 渗透测试学习 十九、 XSS跨站脚本漏洞详解 续2

    二阶注入环境搭建 74cms 3.4 直接将源码放在PHPstudy的www路径下,在地址栏中输入127.0.0.1回车 然后进入网站首页,在填写简历里面存在二阶注入 先注册一个账号 创建简历 前面的 ...

  4. XSS(跨站脚本攻击)详解

    跨站脚本攻击XSS(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS.恶意攻击者往Web ...

  5. DWVA-关于反射型xss的漏洞详解<xss reflected>

    反射型xss low级别 代码如下: <?php header ("X-XSS-Protection: 0"); // Is there any input? if( arr ...

  6. 渗透测试学习 二十一、 JSP相关漏洞

    大纲 ST2漏洞  (Struts2) 反序列漏洞              网站容器,中间键 其他漏洞 Struts2漏洞 简介: Struts2是一个基于MVC设计模式的Web应用框架,它本质上相 ...

  7. 【代码审计】YUNUCMS_v1.0.6 前台反射型XSS跨站脚本漏洞分析

      0x00 环境准备 QYKCMS官网:http://www.yunucms.com 网站源码版本:YUNUCMSv1.0.6 程序源码下载:http://www.yunucms.com/Downl ...

  8. 【代码审计】QYKCMS_v4.3.2 前台存储型XSS跨站脚本漏洞分析

      0x00 环境准备 QYKCMS官网:http://www.qykcms.com/ 网站源码版本:QYKCMS_v4.3.2(企业站主题) 程序源码下载:http://bbs.qingyunke. ...

  9. 【代码审计】LaySNS_v2.2.0 前台XSS跨站脚本漏洞

      0x00 环境准备 LaySNS官网:http://www.laysns.com/ 网站源码版本:LaySNS_v2.2.0 程序源码下载:https://pan.lanzou.com/i0l38 ...

随机推荐

  1. mtu测试

    版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明.本文链接:https://blog.csdn.net/jeromezmzx007/article ...

  2. 201871010102-常龙龙《面向对象程序设计(java)》第一周学习总结

    博文正文开头:(3分) 项目 内容 这个作业属于哪个课程 https://www.cnblogs.com/nwnu-daizh/p/11435127.html 这个作业的要求在哪里 https://e ...

  3. 《最优化导论第4版》高清中文版PDF+高清英文版PDF+习题题解

    <最优化导论第4版>高清中文版PDF+高清英文版PDF+习题题解 存放在语雀 凸优化 · 语雀

  4. OC:浅析Runtime中消息转发机制

    一.介绍 OC是一门动态性语言,其实现的本质是利用runtime机制.在runtime中,对象调用方法,其实就是给对象发送一个消息,也即objc_msgSend().在这个消息发送的过程中,系统会进行 ...

  5. CAS单点登录流程图

    1.cas单点登录原理图 2.cas使用代理服务器流程图 3.cas和spring security集成流程图

  6. Long类型数据前端精度丢失

    问题描述 后端把Long类型的数据传给前端,前端可能会出现精度丢失的情况.例如:201511200001725439这样一个Long类型的整数,传给前端后会变成201511200001725440 相 ...

  7. 相关pycharm(进阶?)

    记录今日发现 对于pycharm细节 注意:项目的位置可以自己定 这里的新建project,建议对python.exe 文件的选择使用自己安装的位置,如下图 create,你就有了一个解释器是你自己安 ...

  8. JMS消息传递类型特点介绍

    对于消息的传递有两种类型: 一种是点对点的,即一个生产者和一个消费者一一对应: 另一种是发布/ 订阅模式,即一个生产者产生消息并进行发送后,可以由多个消费者进 行接收. 特点介绍: 点到点模型点对点传 ...

  9. route 相关设置

    Debian系统 查看路由表: root@debian:~# ip route default via 192.168.6.1 dev enp4s0 10.0.0.0/24 dev br0 proto ...

  10. shell 命名管道,进程间通信, ncat作http server

    命名管道基础 命名管道也被称为FIFO文件, 在文件系统中是可见的,并且跟其它文件一样可以读写! 命名管道特点: 当写进程向管道中写数据的时候,如果没有进程读取这些数据,写进程会堵塞 当读取管道中的数 ...