常见的Web漏洞——XSS

目录

XSS简介

XSS原理及分类

反射型XSS

存储型XSS

基于DOM的XSS

XSSer的使用

至少有一个的参数：

可选的参数：

检查选项

选择攻击向量

绕过防火墙选项

绕过器选项

特殊技术

最后注入选项

特殊最后注入选项

报告导出

XSSer演示

BeEF-XSS

漏洞的防范

总结

---

XSS简介

XSS是跨站脚本攻击(Cross Site Scripting)的简写，为了不与层叠样式表混淆而改写的。此漏洞也是网站存在相当多的漏洞，仅次于SQL注入，攻击者可以使用XSS来绕过访问控制，如同源策略。利用XSS可以窃取账号，网页挂马，发动拒绝服务攻击，发送垃圾邮件等等。

XSS原理及分类

XSS形成的原因与SQL注入类似，也是由于程序员在开发过程中没有对用户提交的恶意数据做过滤，转义而直接输出到页面，导致用户可以利用此漏洞执行JavaScript，HTML等代码，和SQL注入不同的是XSS不一定要和数据库交互。XSS没有单一的、标准的分类，一般可以分为非持久型（反射型）、持久型（存储型）。通常人们也增加了第三种——基于DOM的XSS。反射型XSS指用户提交的数据没有存储在数据库中而是直接输出到页面，不具有存储性，一次提交只能执行一次。存储型XSS指用户提交的数据存储在了数据库，用户每一次访问都会触发XSS，一次提交可以一直执行，其危害是XSS中最大的。基于DOM的XSS指用户可以修改浏览器中的DOM节点并显示在浏览器上，从而产生XSS。XSS的分类并不那么重要，如果非要死磕到底，这里有一篇个人觉得很不错的博客那些年我们看不懂的XSS，看不懂没关系，以后再看。

反射型XSS

使用DVWA来学习XSS的利用方法，登录DVWA，设置安全等级为low，然后先来学习一下反射型XSS的利用方法，点击XSS（Reflected），如图，输入什么就会显示Hello+输入的内容：

点击View Source查看源代码，如图：

可见，源码中没有对用户提交的数据做任何处理，只是简单判断如果提交的数据是否存在且不为空，就输出Hello+提交的内容，利用此漏洞提交一个JavaScript弹窗代码：，和SQL注入类似，可以通过表单提交，也可以通过URL提交，不过通过URL提交有时需要进行url编码，如图通过表单提交的结果：

构造获取cookie的JavaScript代码：，如图：

构造页面跳转JavaScript代码：，提交即可自动跳转，如图：

假设这台主机同时也是攻击者的远程主机，在wamp64目录下的www目录下创建文件夹test，在test下新建cookie.php，写入如图所示代码：

此时，构造获取cookie并发送到远程主机的JavaScript代码：，提交之后就会获取cookie并发送到远程主机，以GET方式传递给变量cookie，远程主机就会执行上图代码，创建一个cookie.txt的文件，并写入cookie，如图：

提交之后会把cookie提交到远程主机，打开test目录会发现多了一个cookie.txt文件，打开可以看到获取到的cookie。

然后设置安全等级为medium，然后同刚才一样，我们查看一下代码：

可以看到代码只是将输入的字符串使用str_replace函数中进行过滤，该函数将“，也可以使用其他标签，如，提交之后如图：

也可以使用javascript中的编码还原函数进行绕过：，提交之后如图：

然后设置安全等级为High，然后查看一下代码：

发现使用preg_replace函数对输入进行的过滤，且使用正则表达式匹配了所有的，你会发现只要访问刚才的页面就会直接跳转到百度首页，如果把百度的网址改成挂有木马的网址、钓鱼网站可以对用户造成不小的影响，如果结合metasploit，利用浏览器漏洞如MS14_064等，可以直接对用户的计算机远程控制。

插入JavaScript键盘记录代码：

可以记录用户的按键信息并发送到指定url。

设置安全等级为medium，查看代码：

发现过滤了name中的，替换url中default的值，提交后如图：

使用payload：，同样可以获取到cookie值，如图：

设置安全等级为Medium，查看源代码：

发现服务器端对参数default的值进行了过滤，且不区分大小写，查看网页源代码发现前端并没有对传入的参数进行过滤处理，因此可以在payload前加“#”，从而使其不发送到服务器端，只发送到浏览器，同样也可以使用img标签代替script标签执行JavaScript脚本：

设置安全等级为High，查看源代码发现服务端使用了白名单，但是仍然可以使用“#”进行绕过，方法同上。

XSSer的使用

XSSer是一个自动化的XSS漏洞检测和利用工具，支持控制台和图形界面，功能非常强大，Kali Linux中以及内置有该工具，因此可以直接使用。XSSer常用的参数如下：

至少有一个的参数：

-u， --url                         目标URL

-i，READFILE                url文件（批量检测url）

-d，DORK                      利用搜索引擎搜索URL（如搜索包含“search.php?id=”的url使用“-d "search.php?id="”）

--De=DORK_ENGINE    指定搜索引擎（如google等，支持的搜索引擎较少，需配合-d参数一起使用）

--Da                                使用XSSer提供的所有搜索引擎（需配合-d参数一起使用）

可选的参数：

 -s，--statistics               显示高级输出结果（包含HTTP状态码，payload是否执行等信息）

 -v，--verbose                激活冗余模式输出结果（显示详细信息，包含HTTP请求头、响应头和payload执行情况等信息）

 --gtk                               以图像界面启动

 --imx=IMX                      使用xss插入图像（如--imx image.png）

 --fla=FLASH                  用XSS插入Flash视频（--fla movie.swf）

 --xst=XST                      跨站点跟踪（如--xst http(s)://host.com）

 -g，GETDATA               使用GET请求发送payload（如-g /search.php?id=）

 -p，POSTDATA             使用POST请求发送payload（如-p "name=a&pass=b"）

 -c，CRAWLING            目标上要爬行的URL数：1-99999

 --Cw=CRAWLER_WIDTH       爬行深度：1-5

 --Cl                                 仅对本地目标URL进行爬网（默认为true）

 --cookie=COOKIE          修改HTTP请求头中的Cookie

 --drop-cookie                  忽略响应头中的Set-Cookie

 --user-agent=AGENT     修改HTTP请求头中的User-Agent（默认为SPOOFED）

 --referer=REFERER       使用其他的HTTP referer（默认为NONE）

 --xforw                            设置X-Forwarded-For为随机IP

 --xclient                          设置X-Client-IP为随机IP

 --headers=HEADERS    添加额外的Headers，使用换行符分割

 --auth-type=ATYPE       设置HTTP身份验证类型（如Basic, Digest, GSS or NTLM）

 --auth-cred=ACRED      HTTP身份验证凭据（如name:password）

 --proxy=PROXY             设置代理服务器

 --ignore-proxy                忽略系统默认的HTTP代理

 --timeout=TIMEOUT      设置响应超时时间

 --retries=RETRIES        连接超时时重试（默认为1）

 --threads=THREADS    线程数（默认为5）

 --delay=DELAY             每个HTTP请求之间的延迟，单位为秒（默认为0）

检查选项

--heuristic                     检查过滤的字符

--checkaturl=ALT          检查备用的url，使用Blind XSS

--checkatdata=ALD      检查备用的payload

--reverse-check            建立从目标到XSSER的反向连接，以证明100%易受攻击（推荐！）

选择攻击向量

--payload=SCRIPT       使用自定义的XSS payload

--auto                            使用XSSer提供的攻击向量

绕过防火墙选项

--Phpids0.6.5                PHPIDS (0.6.5) [ALL]

--Phpids0.7                   PHPIDS (0.7) [ALL]

--Imperva                      Imperva Incapsula [ALL]

--Webknight                  WebKnight (4.1) [Chrome]

--F5bigip                       F5 Big IP [Chrome + FF + Opera]

--Barracuda                  Barracuda WAF [ALL]

--Modsec                      Mod-Security [ALL]

--Quickdefense             QuickDefense [Chrome]

绕过器选项

--Str                              使用String.FromCharCode()进行绕过（即Unicode编码绕过）

--Une                            使用Unescape()进行绕过（即URL编码绕过）

--Mix                             使用Unicode编码和URL编码绕过

--Dec                            使用十进制编码绕过

--Hex                            使用十六进制编码绕过

--Hes                            使用带分号的十六进制编码绕过

--Dwo                           使用DWORD（双字）编码IP地址

--Doo                            使用八进制编码IP地址

--Cem=CEM                 使用多种编码方式结合（如Mix,Une,Str,Hex）

特殊技术

--Coo                            跨站脚本Cookie注入

--Xsa                            跨站脚本Agent注入

--Xsr                             跨站点引用脚本

--Dcp                            数据控制协议注入

--Dom                           DOM型注入

--Ind                              HTTP响应拆分诱导代码

--Anchor                       使用Anchor隐身payload（DOM 影子）

最后注入选项

--Fp=FINALPAYLOAD      利用自己的代码

--Fr=FINALREMOTE        利用远程脚本

--Doss                               XSS服务的拒绝服务

--Dos                                 XSS客户端拒绝服务

--B64                                 使用Base64编码标签

特殊最后注入选项

--Onm                         使用onMouseMove()事件（即鼠标移动出发payload）

--Ifr                              使用iframe标签自动加载

报告导出

--save                          导出为文本文档，在/usr/share/xsser/XSSreport.raw

--xml=FILEXML           导出为xml文件（如report.xml）

XSSer演示

接下来使用XSSer对dvwa进行测试，在测试中我遇到了问题：在Kali 2019.2版本中使用系统自带的xsser 1.7b怎么都测不出来，因此我卸载了xsser1.7vb安装了xsser 1.6版本，1.6版本使用的beautifulsoup模块而1.7版本使用的是beautifulsoup4模块，因此需要安装beautifulsoup模块（pip install beautifulsoup）。

以反射型XSS为例，查看cookie信息，如图：

将名称和值记录下来，使用XSSer检测是否存在XSS漏洞（xsser -u "http://192.168.88.131/dvwa/vulnerabilities/xss_r/?name=" --cookie "security=low;PHPSESSID=1gcpm1407sbsngpu1g41dsj4u1" -v）：

以存储型XSS为例，测试（xsser -u "http://192.168.88.131/dvwa/vulnerabilities/xss_s/" --cookie "security=low;PHPSESSID=1gcpm1407sbsngpu1g41dsj4u1" -p "btnSign=Sign+Guestbook&mtxMessage=b&txtName="），结果没测出来，尝试别的选项也无法测试出来，我改变我的看法了，XSSer也就是个一般脚本，还不如手工测试方便，误报太高了，原理很容易理解：提交payload，然后分析返回的html页面是否存在payload，我们自己也可以写一个。

BeEF-XSS

BeEF-XSS可以说是最强大的XSS漏洞利用工具，可以收集浏览器信息、键盘记录、社会工程等，还可以结合Metasploit进行攻击。要做到这些只需在受害者的网页中插入即可，总之就是需要受害者客户端加载该js文件。

在终端输入beef-xss就可以启动该程序，初次使用会提示你设置密码，如果需要和metasploit配合使用的话，需要修改BeEF的配置文件，将/usr/share/beef-xss/config.yaml打开，搜索metasploit，将enable: false改为enable: true，然后将/usr/share/beef-xss/extensions/demos/config.yaml打开，将enable: false改为enable: true即可。

启动beef-xss后会自动打开登录界面，用户名为beef，密码为你设置的密码，登录之后如图：

左侧会显示受害者主机，中间部分是入门使用方法。日志会记录受害者的操作，如鼠标移动，键盘按键信息等，已DVWA中的反射型XSS为例，提交：

可以在beef-xss控制面板看到左侧显示了受害者浏览器、IP地址、操作系统等信息：

接着在受害者端输入框输入aaaaa，不提交，如图：

在BeEF控制面板当前浏览器选项下边的日志中可以看到：

在命令选项里，左侧有各种命令，各按钮的颜色代表的含义在入门选项里，选择播放声音命令，设置声音文件路径，点击执行，然后受害者就可以听到声音了，如图：

检测弹出窗口阻止程序，双击模块结果，可以在右侧看到命令执行结果，如图：

功能非常多，此外在社会工程学模块有很多有意思的东西，可以自行尝试。这里有篇博客写的也不错http://www.vuln.cn/6966

漏洞的防范

和SQL注入一样，XSS漏洞也是注入型漏洞，不能相信用户的输入，对用户的输入进行过滤，将用户的输入使用escapeHTML()进行转义，只要过滤的够严格就不怕有XSS。

总结

本文讲解了XSS 漏洞形成的原因、测试该漏洞的方法、一些简单的利用方法以及XSSer和BeEF-XSS的使用方法，且仅讲解了常见的有回显的XSS，对于禁用了弹框、无回显的XSS需要查看网页源代码中是否含有我们插入的payload来进行判断。本文讲解的内容较为基础，若要深入学习，推荐阅读《XSS跨站脚本攻击剖析与防御》。