一篇文章带你从XSS入门到进阶(附Fuzzing+BypassWAF+Payloads)

华盟原创文章投稿奖励计划

文章来源:山丘安全攻防实验室

文章作者:陈殷

一篇文章带你从XSS入门到进阶(附Fuzzing+BypassWAF+Payloads)

大家好,我是山丘安全攻防实验室作家陈殷,今天将带大家深入浅出理解XSS攻击

  1. XSS简介

  2. XSS分类

  3. XSS实战

  4. XSS Fuzzing

  5. XSS WAF Bypass思路

  6. XSS工具

  7. XSS修复

xss简介

OWASP TOP 10

OWASP(开放式Web应用程序安全项目)的工具、文档、论坛和全球各地分会都是开放的,对所有致力于改进应用程序安全的人士开放,其最具权威的就是“10项最严重的Web 应用程序安全风险列表” ,总结了Web应用程序最可能、最常见、最危险的十大漏洞,是开发、测试、服务、咨询人员应知应会的知识。

Cross Site Scripting

跨站脚本攻击是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。

xss漏洞通常是通过php的输出函数将javascript代码输出到html页面中,通过用户本地浏览器执行的,所以在代码审计中xss漏洞关键就是寻找参数未过滤的输出函数。

XSS分类

反射型XSS:<非持久化>

攻击者事先制作好攻击链接, 需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面。DOM型XSS由于危害较小,我们将其归为反射型XSS。

存储型XSS:<持久化>

代码是存储在服务器中的,如在个人信息或发表文章等地方,加入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,每当有用户访问该页面的时候都会触发代码执行,这种XSS非常危险,容易造成蠕虫,大量盗窃cookie(虽然还有种DOM型XSS,但是也还是包括在存储型XSS内)。

XSS实战

说明:本文需要一定的JavaScript基础和PHP基础

工具:

PHPStudy

sublime

chrome

初探XSS原理:

我在本地环境中搭建了xss.php,访问网址为:http://127.0.0.1/engineer/xss.php

反射型XSS代码是这样写的:

一篇文章带你从XSS入门到进阶(附Fuzzing+BypassWAF+Payloads)

访问链接后发现报错,原因是我们没有对第二行的age进行变量赋值

一篇文章带你从XSS入门到进阶(附Fuzzing+BypassWAF+Payloads)

对其赋值:http://127.0.0.1/engineer/xss.php?age=12

一篇文章带你从XSS入门到进阶(附Fuzzing+BypassWAF+Payloads)

查看源代码:

一篇文章带你从XSS入门到进阶(附Fuzzing+BypassWAF+Payloads)

接下来我们对赋值的12尝试注入一个js语句

http://127.0.0.1/engineer/xss.php?age=%3Cscript%3Ealert(%27hill%20sec%20xss%20lab%27)%3C/script%3E

一篇文章带你从XSS入门到进阶(附Fuzzing+BypassWAF+Payloads)

查看源代码

一篇文章带你从XSS入门到进阶(附Fuzzing+BypassWAF+Payloads)

可以看到成功注入了一个script代码并执行了alert输出提示内容

存储性XSS代码:

一篇文章带你从XSS入门到进阶(附Fuzzing+BypassWAF+Payloads)

存储型XSS的攻击流程:

打开web---->输入一个恶意代码---->恶意代码存放到数据库---->读取页面---->读取数据库---->返回web---->执行恶意代码

这个页面的功能是使用POST提交数据,生成然后再读取文本模拟数据库,提交数据之后页面会将数据写入store.txt,再打开页面时会读取store.txt中内容并输出在网页上,实现XSS Stored Attack.

一篇文章带你从XSS入门到进阶(附Fuzzing+BypassWAF+Payloads)

第一次正常执行:

一篇文章带你从XSS入门到进阶(附Fuzzing+BypassWAF+Payloads)

插入一个恶意JavaScript语句:

一篇文章带你从XSS入门到进阶(附Fuzzing+BypassWAF+Payloads)

提交之后发现web触发了js代码

一篇文章带你从XSS入门到进阶(附Fuzzing+BypassWAF+Payloads)

一篇文章带你从XSS入门到进阶(附Fuzzing+BypassWAF+Payloads)

查看源代码

一篇文章带你从XSS入门到进阶(附Fuzzing+BypassWAF+Payloads)

因此总结可得:

对程序的某个可控变量进行恶意JavaScript代码注入,若能被浏览器执行该程序即存在XSS漏洞

XSS小游戏过关笔记:

下载地址请关注“山丘安全攻防实验室”回复:xssgame 或自行百度下载

一篇文章带你从XSS入门到进阶(附Fuzzing+BypassWAF+Payloads)

篇幅限制,我们挑前五关来测试,后续通关指南可关注公众号推文

首页点击进入

一篇文章带你从XSS入门到进阶(附Fuzzing+BypassWAF+Payloads)

第一关:

一篇文章带你从XSS入门到进阶(附Fuzzing+BypassWAF+Payloads)

猜测name参数可控,进行paylaod执行:

123<script>alert('123')</script>;

一篇文章带你从XSS入门到进阶(附Fuzzing+BypassWAF+Payloads)

一篇文章带你从XSS入门到进阶(附Fuzzing+BypassWAF+Payloads)

成功通关

第二关

一篇文章带你从XSS入门到进阶(附Fuzzing+BypassWAF+Payloads)

这里我们执行上关的payload试试,但是并未成功执行

一篇文章带你从XSS入门到进阶(附Fuzzing+BypassWAF+Payloads)

一篇文章带你从XSS入门到进阶(附Fuzzing+BypassWAF+Payloads)

查看源代码,XSS语句被赋值给value并且在input标签里,所以我们需要闭合value和input标签就可以正常弹窗了

exp:

 1"><script>alert('1');</script>

一篇文章带你从XSS入门到进阶(附Fuzzing+BypassWAF+Payloads)

成功执行

第三关

一篇文章带你从XSS入门到进阶(附Fuzzing+BypassWAF+Payloads)

htmlspecialchars()函数是使用来把一些预定义的字符转换为HTML实体,返回转换后的新字符串,原字符串不变。如果 string 包含无效的编码,则返回一个空的字符串,除非设置了 ENT_IGNORE 或者 ENT_SUBSTITUTE 标志

被转换的预定义的字符有:

一篇文章带你从XSS入门到进阶(附Fuzzing+BypassWAF+Payloads)

使用语法:

$str = htmlspecialchars(string,flags,character-set,double_encode);

string:规定要转换的字符串;

flags :可选参数,规定如何处理引号、无效的编码以及使用哪种文档类型;

一篇文章带你从XSS入门到进阶(附Fuzzing+BypassWAF+Payloads)

一篇文章带你从XSS入门到进阶(附Fuzzing+BypassWAF+Payloads)

确实转义了尖括号,这里可以用单引号闭合value但是没办法闭合input标签,我们添加一个改变事件即可

 ' onchange=alert`1` //

一篇文章带你从XSS入门到进阶(附Fuzzing+BypassWAF+Payloads)

添加一个改变事件

一篇文章带你从XSS入门到进阶(附Fuzzing+BypassWAF+Payloads)

第四关

第四关的代码和第三关的代码大同小异,把源码里面单引号变成了双引号,同样事件弹窗即可

一篇文章带你从XSS入门到进阶(附Fuzzing+BypassWAF+Payloads)

www.idc126.com

把payload改一下就oki

一篇文章带你从XSS入门到进阶(附Fuzzing+BypassWAF+Payloads)

第五关

第五关难度提升,过滤了script和onclick标签,但是没过滤a标签

一篇文章带你从XSS入门到进阶(附Fuzzing+BypassWAF+Payloads)

paylaod:

 "><a href="%20javascript:alert(1)"

一篇文章带你从XSS入门到进阶(附Fuzzing+BypassWAF+Payloads)

成功执行

XSS Fuzzing

工具:

BurpSuite+XSS Payloads+PayloadFix(工具在文末)

运行环境:python3

工具说明:

该工具可以将每行payload进行处理,以此再进行批量fuzz更好的定位有效攻击代码。

使用方法:

请准备原版XssPayload.txt,每行一个payload,运行PayloadFix.py即可进行payloads处理

Fuzzing思路:

找到一个输入点,生成Payloads,进行paylaods测试

测试实例:

国内某家大厂Mail Fuzzing XSS 测试

首先使用PayloadFix进行paylaods处理

一篇文章带你从XSS入门到进阶(附Fuzzing+BypassWAF+Payloads)

一篇文章带你从XSS入门到进阶(附Fuzzing+BypassWAF+Payloads)

选择HTML模式

一篇文章带你从XSS入门到进阶(附Fuzzing+BypassWAF+Payloads)

输入payloads后发送

一篇文章带你从XSS入门到进阶(附Fuzzing+BypassWAF+Payloads)

定位640payload

一篇文章带你从XSS入门到进阶(附Fuzzing+BypassWAF+Payloads)

Fuzzing思路over,各大Mail我都玩过了,别再提交让审核受罪了

XSS WAF Bypass

WAF产品:360主机卫士

环境:PHPStudy 2018 --- Apache+PHP

说明:360主机卫士目前已停止维护

测试步骤:

第一步,安装360主机卫士

一篇文章带你从XSS入门到进阶(附Fuzzing+BypassWAF+Payloads)

第二步,编写测试环境

一篇文章带你从XSS入门到进阶(附Fuzzing+BypassWAF+Payloads)

第三步:测试防护规则

<svg onload>拦截

<svg > onload>不拦截

一篇文章带你从XSS入门到进阶(附Fuzzing+BypassWAF+Payloads)

绕过就是先把>html实体编码

一篇文章带你从XSS入门到进阶(附Fuzzing+BypassWAF+Payloads)

“>”对应的是

一篇文章带你从XSS入门到进阶(附Fuzzing+BypassWAF+Payloads)

接着将&#62URL编码

一篇文章带你从XSS入门到进阶(附Fuzzing+BypassWAF+Payloads)

大部分xss payloads加上%26%2362即可绕过,但是类似 alert(1) 括号可能会被拦截 可以用反引号替换

举个栗子:

一篇文章带你从XSS入门到进阶(附Fuzzing+BypassWAF+Payloads)

Bypass截图:

一篇文章带你从XSS入门到进阶(附Fuzzing+BypassWAF+Payloads)

成功Bypass 360主机

同样还有很多绕过方法,网上给出了很多文章,这里不在一一举例,只做一个思路进行分析。

至于其他特殊字符是否也有绕过,欢迎各位师傅到交流群或和我讨论。

XSS工具

由于篇幅限制,这里只进行工具推荐,具体操作需要大家手动操作

XSStrike

XSStrike is a Cross Site Scripting detection suite equipped with four hand written parsers, an intelligent payload generator, a powerful fuzzing engine and an incredibly fast crawler.

https://github.com/s0md3v/XSStrike

xsscrapy

Fast, thorough, XSS/SQLi spider. Give it a URL and it'll test every link it finds for cross-site scripting and some SQL injection vulnerabilities. See FAQ for more details about SQLi detection.

https://github.com/DanMcInerney/xsscrapy

XSSSNIPER

xsssniper is an handy xss discovery tool with mass scanning functionalities.

https://github.com/gbrindisi/xsssniper

BeEF

BeEF is short for The Browser Exploitation Framework. It is a penetration testing tool that focuses on the web browser.

https://github.com/beefproject/beef

XSS platform

XSS Platform 是一个非常经典的XSS渗透测试管理系统

https://github.com/78778443/xssplatform

XSS修复

XSS跨站漏洞最终形成的原因是对输入与输出没有严格过滤

一篇文章带你从XSS入门到进阶(附Fuzzing+BypassWAF+Payloads)

结语:

要想学好XSS,终究还是考察大家对JavaScript和PHP的掌握程度,所以请在学习安全测试之前熟练掌握一门以上的开发语言。

文章为基础文章,若文章有错误请各位大佬指出,更多思路欢迎加山丘安全攻防实验室群或者私聊进行讨论。

文中的工具:

XSS-Games:在订阅号内回复xssgame

PayloadFix:在订阅号内回复payloadfix

PayloadFix 下载链接:https://github.com/evai1/PayloadFix(内附5000+ XSS Payloads)

上期MSF下载链接:https://github.com/evai1/MetaSploit

本文原创,作者:张,其版权均为华盟网所有。如需转载,请注明出处:https://www.77169.net/html/252515.html

发表评论