pikaqiu练习平台(XSS(跨站脚本))

Posted 199904-04

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了pikaqiu练习平台(XSS(跨站脚本))相关的知识,希望对你有一定的参考价值。

 XSS(跨站脚本)概述

    Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。一般XSS可以分为如下几种常见类型:

        1.反射性XSS;

        2.存储型XSS;

        3.DOM型XSS;

危害:存储型>反射型>DOM型

技术图片

 

 

 

 

XSS漏洞的防范:

一般会采用对输入进行过滤输出进行转义的方式进行处理:

  输入过滤:对输入进行过滤,不允许可能导致XSS攻击的字符输入;

  比如:输入点要求输入手机号,则只允许输入手机号格式的数字

  输出转义:根据输出点的位置对输出到前端的内容进行适当转义;

  比如:输出到html中进行html实体转义,输入到js里面进行js转义

 技术图片

 

 

 

 

 

跨站脚本漏洞的测试流程:

1.在目标站点上找到输入点,比如查询接口,留言板等

2.输入一组“特殊字符(单引号,双引号,尖括号等)+唯一识别字符(字母数字组合)”,点击提交后,查看返回的源码,是否有对应的处理

3.通过搜索定位到唯一识别字符,结合唯一识别字符的前后语法确认是否可以构造执行js的条件(即构造闭合)

4.提交构造的脚本代码(以及各种绕过姿势),看是否成功执行,如果成功执行说明存在xss漏洞

注意点:1>一般查询接口容易出现反射性xss,留言板容易出现存储型xss

2>后台可能存在过滤措施,构造的script可能被过滤而无法生效  或者

浏览器环境限制了执行

3>通过变化不同的script,尝试绕过后台过滤机制

 

1. 反射型XSS(get)

 技术图片

 

 

 输入特殊字符’”<>6666,查看源代码可以发现没有任何过滤;

技术图片

 

 

 

 技术图片

 

 

 只是限制了输入字符的长度,我们将他修改为2000;

 技术图片

 

 

 输入<script>alert("xss")</script>,弹窗成功;

技术图片

 

 

 查看后台代码,发现并没有修改输入的东西,原封不动的输出;

技术图片

 

 

 

 同时我们也可以看到这是一个get型的请求,我们将网址输入到浏览器中,弹框成功;

http://192.168.17.111/pikachu-master/pikachu-master/vul/xss/xss_reflected_get.php?message=%3Cscript%3Ealert%28%22xss%22%29%3C%2Fscript%3E&submit=submit

技术图片

 

 

  

get与post的区别:get以url方式提交数据;post以表单方式在请求体里面提交

 技术图片

 

 

 

 

2. 存储型XSS

技术图片

 

 

 

 提交留言后刷新,会一直显示留言,这就说明后台将数据存储起来;

 技术图片

 

技术图片

 

 

 输入特殊字符 ‘”<>6666 发现没有被过滤,并查看前端代码;

 技术图片

 

 技术图片

 

 

 输入<script>alert(“xss”)</script>,会出现弹窗,刷新之后,还是显示这个窗;

技术图片

 

 

 我们查看后台代码,即是把留言存储下来;

 技术图片

 

 

 

 

 

 

 

 

3. DOM型XSS(都是在前端操作的不涉及后端

DOM学习地址:https://www.w3school.com.cn/htmldom/index.asp

 技术图片

 

 

 

可以查看getElementById()这个方法:

技术图片

 

 

 我们输入111,出来what do you see?

 技术图片

 

 

 查看页面源码,搜索what do you see 是什么;

技术图片

 

 

 通过getElementById方法获取text,text就是我们要输入的内容,将text赋值给str,写到了href里面.通过最后一行输出。

 

 接下来我们构造闭合方式:

一 "<a href=‘"+str+"‘>what do you see?</a>"

二 "<a href=‘ ‘>what do you see?</a>"

三 "<a href=‘#’ onclick=”alert(111)”> ‘>what do you see?</a>"

四  #’ onclick=”alert(111)”>

 

输入四,出现>’what do you see? ,点击what do you see?  会出现弹窗111

技术图片

 

 

 技术图片

 

 

 

 

 

 

 

 

4. DOM型XSS-X

输入111后;

技术图片

 

 

 查看页面源码,发现代码获取的是url的text值;

 技术图片

 

 

 构造闭合方式:

一 "<a href=‘"+xss+"‘>就让往事都随风,都随风吧</a>"

二 "<a href=‘ ‘>就让往事都随风,都随风吧</a>"

三 "<a href=‘#’ onclick=”alert(111)” > ‘ 就让往事都随风,都随风吧</a>"

四 #’ onclick=”alert(111)” >

 

 输入四,弹窗;

技术图片

 

 

 

 

 

 

5. XSS-盲打

技术图片

 

 

 我们输入数据后,提交;

技术图片

 

 

 我们输入<script>alert(“xss”)</script>  提交后也没有其他内容输出;

 根据提示,我们登录后台,http://192.168.17.111/pikachu-master/pikachu-master/vul/xss/xssblind/admin.php

技术图片

 

 

 技术图片

 

 技术图片 

这种就是也是存储型的,将前端的数据存储到后台,后台如果没有进行过滤的话会使攻击者嵌入恶意代码进行登录获取到后台的信息。

 

 

 

6. XSS-过滤

Xss绕过-过滤-转换

前端绕过,我们直接可以抓包重放,或者修改html前端代码

大小写示例:<sCriPt>ALerT(222)</ScrIpt>

拼凑,示例:<scr<script>ipt>alert(222)</scri</script>pt>

使用注释进行干扰:<scri<!—test-->pt>alert(222)</sc<!—test-->ript>

 

Xss绕过-过滤-编码

后台过滤了特殊字符,比如<script>标签,但该标签可以被各种编码,后台不一定会过滤当浏览器对该编码进行识别时,会翻译成正常的标签,从而执行

编码也不能乱用,编码要在输出点被正常识别和翻译

 

输入<script>’666 查看输出结果;查看页面源码,发现script被过滤;

 技术图片

 

 

 技术图片

 

 

查看后端源码,只过滤了小写字母;

 技术图片

 

 

接下来我们使用大小写混合,输入<sCRiPT>alert(111)</ScriPT>  成功弹窗。

 技术图片

 

 

 

 

 

 

 

 

7. XSS-htmlspecialchars

在php中,htmlspecialchars()函数是使用来把一些预定义的字符转换为HTML实体,返回转换后的新字符串,原字符串不变。

如果 string 包含无效的编码,则返回一个空的字符串,除非设置了 ENT_IGNORE 或者 ENT_SUBSTITUTE 标志;

 

被转换的预定义的字符有:

&   转换为&

"   转换为"

‘   转换为成为 ‘

<   转换为<

>   转换为>

 可用的引号类型:

ENT_COMPAT:默认。仅编码双引号。

ENT_QUOTES:编码双引号和单引号。

ENT_NOQUOTES:不编码任何引号。

 

输入666‘"<>&,查看显示结果和页面代码,我们可以看到’”<>都进行了编码;

 技术图片

 

 技术图片

 

 

使用单引号进行闭合q‘ onclick=alert‘(111)‘   弹窗成功;

 技术图片

 

 

可以看一眼,pikachu源码  使用函数,默认不对类型进行处理(没有指定类型)

技术图片

 

 

 

 

 

XSS防范  总原则:  输入做过滤,输出做转义

过滤:  根据业务需求进行过滤,比如输入点要求输入手机号。则只允许输入手机号格式的数字

转义 : 输出到前端的数据根据输出点 进行转义    html做html转义 js页面做js转义

 

 

 

 

8. XSS-herf输出

这里href里面如果做输出的话,应该怎么处理?

在输入时候只允许是http,https协议的才允许在这输出,否则的话就不允许输入。之后再进行htmlspecialchars函数过滤。

 

查看源码,这次htmlspecialchars函数使用了ENT_QUOTES类,也加上了对单引号的转义,

但是在a标签的href属性里面,可以使用javascript协议来执行js;

 技术图片

 

 

构造 javascript:alert(111)  成功弹窗;

 技术图片

 

 

 

 

 

 

 

 

9. XSS-js输出

这里讲输入动态的生成到了js中,形成xss

javascript里面是不会对tag和字符实体进行解释的,所以需要进行js转义

 

 

输入111查看网页源代码;

 技术图片

 

 

 

发现是把对应的输入放在了js里面,进行判断,在进行相应的输出

 

我们对这段代码进行构造闭合

 

<script>

    $ms=‘111‘;

    if($ms.length != 0){

        if($ms == ‘tmac‘){

            $(‘#fromjs‘).text(‘tmac确实厉害,看那小眼神..‘)

        }else {

//            alert($ms);

            $(‘#fromjs‘).text(‘无论如何不要放弃心中所爱..‘)

        }

 

    }

 

 

</script>

 

 

闭合:

<script>

    $ms=‘111</script><script>alert(xss)</script>‘;

    if($ms.length != 0){

        if($ms == ‘tmac‘){

            $(‘#fromjs‘).text(‘tmac确实厉害,看那小眼神..‘)

        }else {

//            alert($ms);

            $(‘#fromjs‘).text(‘无论如何不要放弃心中所爱..‘)

        }

 

    }

 

 

</script>

 

输入</script><script>alert(xss)</script>,成功弹窗;

 技术图片

 

这里如果进行html的实体编码,虽然可以解决XSS的问题,但是实体编码后的内容,在JS里面不会进行翻译,这样会导致前端的功能无法使用。

所以在JS的输出点应该使用(反斜杠)对特殊字符进行转义

 

以上是关于pikaqiu练习平台(XSS(跨站脚本))的主要内容,如果未能解决你的问题,请参考以下文章

独家分享:跨站脚本攻击XSS详解

独家分享:跨站脚本攻击XSS详解

独家分享:跨站脚本攻击XSS详解

独家分享:跨站脚本攻击XSS详解

XSS(跨站脚本攻击)原理详解(内含攻击实例)

XSS跨站脚本攻击剖析与防御的作品目录