1. 全栈程序员必看首页

CTFHUB——反射型XSS详解「建议收藏」

全栈程序员-站长 未分类 阅读 59

CTFHUB——反射型XSS详解「建议收藏」背景本来看ctfhub上有xss的题目,打算好好学习一波,结果点开一看,只有一道题2333。便现在dvwa上熟悉了一波。所谓反射型是相对于存储型来讲的。如果黑客的xss注入是通过某种方式储存到了数据库中,那就是存储型的,这种xss的特点就是每次访问该页面都会收到xss攻击,因为js语句已经放在数据库里了。而反射型xss则不是这样,每次触发只能手动输入和点击才能触发。我认为xss产生的原因主要是对便签审查不严格造成的。dvwaxss例题下面写一下dvwa中的三种难度的反射型xss。<?

大家好,又见面了,我是你们的朋友全栈君。

背景

本来看ctfhub上有xss的题目,打算好好学习一波,结果点开一看,只有一道题2333。

便现在dvwa上熟悉了一波。所谓反射型是相对于存储型来讲的。

如果黑客的xss注入是通过某种方式储存到了数据库中,那就是存储型的,这种xss的特点就是每次访问该页面都会收到xss攻击,因为js语句已经放在数据库里了。

而反射型xss则不是这样,每次触发只能手动输入和点击才能触发。

我认为xss产生的原因主要是对html标签审查不严格造成的。

dvwa xss例题

下面写一下dvwa中的三种难度的反射型xss。

<?php
// Low难度
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) { 
   
    // Feedback for end user
    echo '<pre>Hello ' . $_GET[ 'name' ] . '</pre>';
}
?>

这里没有对输入$_GET['name']做任何限制,我们完全可以在这个变量里写一个script标签。

xss low

成功弹出


<?php
// Medium 难度
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) { 
   
    // Get input
    $name = str_replace( '<script>', '', $_GET[ 'name' ] );
    // Feedback for end user
    echo "<pre>Hello ${name}</pre>";
}
?>

这里把输入里的<script>替换为了空字符。但是这里是大小写敏感的,我们完全可以大写绕过。

<Script>alert("medium")</script>

medium

medium xss

或者双拼绕过。

<scri<script>pt>alert("medium")</script>

<?php
// High 难度
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) { 
   
    // Get input
    $name = preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $_GET[ 'name' ] );
    // Feedback for end user
    echo "<pre>Hello ${name}</pre>";
}
?>

最高难度用了正则匹配,并且大小写不敏感。上面两种方法都失效了。

但是它只过滤了script标签这种xss,还可以利用img标签报错来实现弹窗。

<img src=0 οnerrοr=alert("high")>

high xss

CTFHUB的题目

然后我便开始做ctfhub的题目了。我试了一下,发现它没有任何验证,可以直接xss。

ctfhub xss

xss

但是我不知道flag会藏在哪里,xss的作用只是操控js,会不会藏在cookie里呢?

cookie?

没有flag

很不幸,没有flag。我陷入了人生和社会的大思考。

最终没法,看了writeup。发现需要利用到第二个输入框。

第二个输入框

第二个输入框点击send之后就会显示successfully,但是这个它发送到哪里无法确定,这个网页用到Bootstrap,我不太熟悉。这可以肯定的是它有一个后端。

然后可以利用xss platform来进行获得它与后端的信息。

在xss platform里新建一个项目然后复制其中的实例代码。

xss-platform

把payload在第一个输入框提交,然后复制url到第二个输入框提交后,就会在xss platform里得到相应。

大体情况

cookie中的flag

下面进行战术总结

我们一开始直接用xss来看cookie,发现没有flag。我一开始觉得奇怪,觉得flag就应该藏到这个地方,不然还能藏哪呢?

我这里犯了一个原则性的错误。我们用xss一般的用途是什么?是获取cookie嘛?

是获取cookie,但更准确的说,是获取别人的cookie。

cookie相当于每个人的登录凭证,如果得到了别人的cookie,我们将可以不用输账号密码,直接登录。

所以flag一定是不可能藏在自己的cookie里的,自己的cookie没有意义,自己的cookie能直接浏览器控制台里知道,也不需要xss。ctf的题目应该是让我们获得别人的cookie,但是这是ctf的题目,不是公共的服务,没有其他用户,所以ctf模拟了一个机器人。

bot

那就很清楚了,我们的目标就是获得这个机器人的Cookie,然后”盗它的号”,所以获取了这个机器人的Cookie就意味着成功。所以理所应当的,flag也就藏在cookie里了。

所以第二个文本框就是模拟别人点击这个包含xss的链接的情形。

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请联系我们举报,一经查实,本站将立刻删除。

发布者:全栈程序员-站长,转载请注明出处:https://javaforall.net/141875.html原文链接:https://javaforall.net

(0)
全栈程序员-站长的头像全栈程序员-站长
0 0


相关推荐

  • busybox如何安装(wii安装说明)

    busybox如何安装(wii安装说明)

    转自http://blog.csdn.net/denlee/archive/2008/04/06/2254192.aspx
       这几天在使用Busybox制作FS2410开发板的CRAMFS文件系统,由于开始下载的是Busybox1.10,每次下载到开发板中,然后启动总是出现”Failedtoexecute/linuxrc. Attemptingdefaults…“的错误。到网上查了大量的资料,并做了大量的实验,发现都不能成功。今天下午突然发现一个能够仿真arm的软件

    全栈程序员-站长的头像 全栈程序员-站长
    2022年4月15日
    92
  • Windows环境下搭建SVN服务器

    Windows环境下搭建SVN服务器

    Windows环境下搭建SVN服务器如要转载,请注明来源,小石头的博客: http://blog.csdn.net/lu1024188315使用 VisualSVNServer来实现主要的 SVN功能则要比使用原始的 SVN和Apache相配合来实现源代码的 SVN管理简单的多,下面就看看详细的说明。VisualSVNServer的下载地址如下,是免费的,随意不必有顾虑http://www.visua

    全栈程序员-站长的头像 全栈程序员-站长
    2022年7月19日
    19
  • vs报错“错误 LNK2019 无法解析的外部符号”的几种原因及解决方案[通俗易懂]

    vs报错“错误 LNK2019 无法解析的外部符号”的几种原因及解决方案[通俗易懂]

    vs报错“错误 LNK2019 无法解析的外部符号”的几种原因及解决方案[通俗易懂]  运行vs程序的时候,报错严重性 代码 说明 项目 文件 行 禁止显示状态错误 LNK2019 无法解析的外部符号”__declspec(dllimport)public:void__cdeclPointCloudFilter::setptClouds(structLAS_POINT*)”(__imp_?setptClouds@PointCloudFilter@@QEAAXPEAULAS_POINT@@@Z),该符号在函数”private:void__cdeclPointClou

    全栈程序员-站长的头像 全栈程序员-站长
    2022年6月28日
    56
  • java 取余和取模运算之间的区别「建议收藏」

    java 取余和取模运算之间的区别「建议收藏」

    java 取余和取模运算之间的区别「建议收藏」转自lee371042https://blog.csdn.net/lee371042/article/details/102553342packageOperator;importjava.math.BigInteger;/***假如有两个数:*amod(b)与a%b,b为正整数,*一种叫a对b取模,另一个叫a对b取余,两种叫法有什么区别呢?*通常情况下,取模运算也叫取余运算,*它们返回的结果都是一个数对另一个数的余数,**区别在于当a是一

    全栈程序员-站长的头像 全栈程序员-站长
    2022年6月3日
    37
  • Java与Python哪个更好?「建议收藏」

    Java与Python哪个更好?「建议收藏」

    Java与Python哪个更好?「建议收藏」一些开发人员声称Python比Java更有生产力。但更应先说明的是:Python和Java有什么区别?PythonvsJava            Java是一个典型化的编程语言,这意味着变量名必须显示声明。相比之下,我们有动态类型的Python,它不需要声明变量。对于编程语言的动态和静态类型有很多争论。不过请注意这样一个特征:Python是一个有着简单句法的多样性的语…

    全栈程序员-站长的头像 全栈程序员-站长
    2022年7月7日
    24
  • springboot上传文件大小配置

    springboot上传文件大小配置

    springboot上传文件大小配置springboot上传文件大小配置有两种方法,一种是直接再配置文件配置,一种是通过添加一个Bean来实现。第一种:application.properties中添加spring.http.multipart.maxFileSize=10MB spring.http.multipart.maxRequestSize=10MB其中,   maxFileSize是单个文件大…

    全栈程序员-站长的头像 全栈程序员-站长
    2022年5月10日
    47

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

关注全栈程序员社区公众号