米斯特白帽培訓講義 漏洞篇 XSS
講師:gh0stkey
整理:飛龍
分類
總共有三種
反射型:經過后端,不經過數據庫
存儲型:經過后端,經過數據庫
DOM:不經過后端
原理:反射型
將這段代碼保存為xss.php。
\\XSS反射演示
<form action="" method="get">
<input type="text" name="xss"/>
<input type="submit" value="test"/>
</form>
<?php
$xss = @$_GET['xss'];
if($xss!==null){
echo $xss;
}
我們看到,這段代碼中首先包含一個表單,用于向頁面自己發送 GET 請求,帶一個名為xss的參數。 然后 PHP 會讀取該參數,如果不為空,則直接打印出來,我們看到這里不存在任何過濾。也就是說,如果xss中存在 HTML 結構性的內容,打印之后會直接解釋為 HTML 元素。
我們部署好這個文件,訪問http://localhost/xss.php,如圖:
我們直接輸入一個 HTML 代碼,比如<script>alert(1)</script>,之后點擊test:
我們可以看到彈窗,也就是我們輸入的 HTML 代碼被執行了。
之后我們查看元素,這表明,我們輸出的內容直接插入到了頁面中,解釋為<script>標簽。
我們可以自定義彈窗中的內容來利用 XSS,比如改成alert(document.cookie)。
從上面的例子中,我們可以看出,反射型 XSS 的數據流向是:瀏覽器 -> 后端 -> 瀏覽器。
原理:存儲型
這里我們把xss.php內容改為(同時數據庫中需要配置相應的表):
\\存儲XSS演示
<form action="" method="post">
<input type="text" name="xss"/>
<input type="submit" value="test"/>
</form>
<?php
$xss=@$_POST['xss'];
mysql_connect("localhost","root","root");
mysql_select_db("xss");
if($xss!==null){
$sql="insert into test(id,payload) values('1',$xss)";
$result=mysql_query($sql);
echo $result;
}
可以看到,用戶輸入的內容還是沒有過濾,但是不直接顯示在頁面中,而是插入到了數據庫。
我們新建res.php,內容為:
mysql_connect("localhost","root","root");
mysql_select_db("xss");
$sql="select payload from test where id=1";
$result=mysql_query($sql);
while($row=mysql_fetch_array($result)){
echo $row['payload'];
}
該代碼從數據庫讀取了之前插入的內容,并將其顯示出來。
我們部署之后首先查看test數據庫,確認它是空的:
然后訪問xss.php,像之前一樣輸入 HTML 代碼并點擊test,如下:
點擊之后卻發現沒有任何動靜,但事實上,我們的數據已經插入到了數據庫中。
那么,當我們訪問res.php查詢這個值的時候,代碼就會被執行。
所以說,存儲型 XSS 的執行位置通常不同于輸入位置。我們可以看出,存儲行 XSS 的數據流向是:瀏覽器 -> 后端 -> 數據庫 -> 后端 -> 瀏覽器。
利用
我們可能需要通過 XSS 來獲得用戶 Cookie 或其他有用信息,利用平臺負責接收并保存這些信息。另外,利用平臺能夠托管利用腳本,于是我們可以向頁面只注入一個腳本鏈接,使長度極大縮短。
米斯特安全團隊為大家準備了一個 XSS 利用平臺,位于xss.hi-ourlife.com。這個平臺用的是 xsser.me,我們也能夠自己下載和搭建。
- 下載:http://download.csdn.net/detail/gzliu_hit/5606811
- 搭建:http://blog.csdn.net/god_7z1/article/details/47234989
首先訪問主頁,你會看到一個登錄頁面,輸入用戶名和密碼之后點擊“登錄”:
成功之后會顯示主界面,左邊是模塊列表,右邊是項目列表:
我們點擊左邊“我的項目”旁邊的“創建”按鈕:
名稱和描述可以隨便取,不影響使用。輸入時候點擊“下一步”按鈕。之后會出現“配置代碼”界面:
我們只選擇默認模塊,把它展開之后,我們可以看到它的作用是向平臺發送一個請求,來收集用戶的各種信息。之后點擊“下一步”。
然后我們會在首頁看到我們的新項目,點擊這個項目:
之后點擊右上方的查看代碼,就可以看到使用方法:
簡單來說,MyzcXv?1467719328就是平臺所生成的腳本地址,你可以把它放在script或者img標簽的src屬性中,在把標簽插入存在 XSS 漏洞的地方,然后瀏覽器就會執行。
下面我們點擊之前創建的aaa項目。
我們把<script src="..."></script>注入到反射型 XSS 的演示頁面中。
提交之后頁面沒什么動靜,但是我們查看利用平臺,可以發現新增了一條數據:
