CTFHUB——反射型XSS详解「建议收藏」

全栈程序员-站长 • 2022年5月9日下午8:00 • 未分类 • 阅读 56

CTFHUB——反射型XSS详解「建议收藏」背景本来看ctfhub上有xss的题目，打算好好学习一波，结果点开一看，只有一道题2333。便现在dvwa上熟悉了一波。所谓反射型是相对于存储型来讲的。如果黑客的xss注入是通过某种方式储存到了数据库中，那就是存储型的，这种xss的特点就是每次访问该页面都会收到xss攻击，因为js语句已经放在数据库里了。而反射型xss则不是这样，每次触发只能手动输入和点击才能触发。我认为xss产生的原因主要是对便签审查不严格造成的。dvwaxss例题下面写一下dvwa中的三种难度的反射型xss。<?

大家好，又见面了，我是你们的朋友全栈君。

背景

本来看ctfhub上有xss的题目，打算好好学习一波，结果点开一看，只有一道题2333。

便现在dvwa上熟悉了一波。所谓反射型是相对于存储型来讲的。

如果黑客的xss注入是通过某种方式储存到了数据库中，那就是存储型的，这种xss的特点就是每次访问该页面都会收到xss攻击，因为js语句已经放在数据库里了。

而反射型xss则不是这样，每次触发只能手动输入和点击才能触发。

我认为xss产生的原因主要是对html标签审查不严格造成的。

dvwa xss例题

下面写一下dvwa中的三种难度的反射型xss。

<?php
// Low难度
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) { 
   
    // Feedback for end user
    echo '<pre>Hello ' . $_GET[ 'name' ] . '</pre>';
}
?>

这里没有对输入$_GET['name']做任何限制，我们完全可以在这个变量里写一个script标签。

xss low

成功弹出


<?php
// Medium 难度
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) { 
   
    // Get input
    $name = str_replace( '<script>', '', $_GET[ 'name' ] );
    // Feedback for end user
    echo "<pre>Hello ${name}</pre>";
}
?>

这里把输入里的<script>替换为了空字符。但是这里是大小写敏感的，我们完全可以大写绕过。

<Script>alert("medium")</script>

medium

medium xss

或者双拼绕过。

<scri<script>pt>alert("medium")</script>

<?php
// High 难度
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) { 
   
    // Get input
    $name = preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $_GET[ 'name' ] );
    // Feedback for end user
    echo "<pre>Hello ${name}</pre>";
}
?>

最高难度用了正则匹配，并且大小写不敏感。上面两种方法都失效了。

但是它只过滤了script标签这种xss，还可以利用img标签报错来实现弹窗。

<img src=0 οnerrοr=alert("high")>

high xss

CTFHUB的题目

然后我便开始做ctfhub的题目了。我试了一下，发现它没有任何验证，可以直接xss。

ctfhub xss

xss

但是我不知道flag会藏在哪里，xss的作用只是操控js，会不会藏在cookie里呢？

cookie?

没有flag

很不幸，没有flag。我陷入了人生和社会的大思考。

最终没法，看了writeup。发现需要利用到第二个输入框。

第二个输入框

第二个输入框点击send之后就会显示successfully，但是这个它发送到哪里无法确定，这个网页用到Bootstrap，我不太熟悉。这可以肯定的是它有一个后端。

然后可以利用xss platform来进行获得它与后端的信息。

在xss platform里新建一个项目然后复制其中的实例代码。

xss-platform

把payload在第一个输入框提交，然后复制url到第二个输入框提交后，就会在xss platform里得到相应。

大体情况

cookie中的flag

下面进行战术总结

我们一开始直接用xss来看cookie，发现没有flag。我一开始觉得奇怪，觉得flag就应该藏到这个地方，不然还能藏哪呢？

我这里犯了一个原则性的错误。我们用xss一般的用途是什么？是获取cookie嘛？

是获取cookie，但更准确的说，是获取别人的cookie。

cookie相当于每个人的登录凭证，如果得到了别人的cookie，我们将可以不用输账号密码，直接登录。

所以flag一定是不可能藏在自己的cookie里的，自己的cookie没有意义，自己的cookie能直接浏览器控制台里知道，也不需要xss。ctf的题目应该是让我们获得别人的cookie，但是这是ctf的题目，不是公共的服务，没有其他用户，所以ctf模拟了一个机器人。

bot

那就很清楚了，我们的目标就是获得这个机器人的Cookie，然后”盗它的号”，所以获取了这个机器人的Cookie就意味着成功。所以理所应当的，flag也就藏在cookie里了。

所以第二个文本框就是模拟别人点击这个包含xss的链接的情形。

版权声明：本文内容由互联网用户自发贡献，该文观点仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容，请联系我们举报，一经查实，本站将立刻删除。

发布者：全栈程序员-站长，转载请注明出处：https://javaforall.net/141875.html原文链接：https://javaforall.net

赞 (0)

全栈程序员-站长

0 0

缺陷报告总结_缺陷报告要素

缺陷报告总结_缺陷报告要素缺陷的分类严重程度：严重一般、次要、轻微、优先级：立即解决、高级优先、正常排队、低优先级种类：界面、功能、安全、兼容、性能阶段：需求、架构、设计、编码、测试缺陷报告核心要素（8）缺陷编号缺陷标题缺陷状态重现步骤严重程度优先级缺陷类型测试环境缺陷八种状态：新建、指派、打开、修复、拒绝、延期、关闭、重新打开。…

全栈程序员-站长
2022年9月17日
0
Cocos发展Visual Studio下一个libcurl图书馆开发环境的搭建

Cocos发展Visual Studio下一个libcurl图书馆开发环境的搭建

全栈程序员-站长
2022年1月2日
40
Java审计之SQL注入篇

Java审计之SQL注入篇0x00前言本篇文章作为JavaWeb审计的一个入门文，也是我的第一篇审计文，后面打算更新一个小系列，来记录一下我的审计学习的成长。0x01JDBC注入分析

全栈程序员-站长
2021年12月12日
62
硬件加密芯片的使用及适配（CC020加密芯片）

硬件加密芯片的使用及适配（CC020加密芯片）加密芯片之路，折腾了我不少时间，下面分享一下”CC020加密芯片”的使用及适配：寻找加密芯片左右对比寻找了很久，因为该款加密芯片相对市面来说比较便宜（特别是后期起量后，价格更实惠），有基础加密算法密钥和明文处理安全性相对可行，供应商会提供I2C实现驱动易于开发，还可以基于原有算法进行定制，所以选用；我的加密芯片使用在海思视频芯片”hi35xx”（基于LinuxC系统开发），用于硬件加密防抄板防激活成功教程；一，加密芯片使用项目情况：1）供电电压：3.3V2）协议传输方式：I2C串口..

全栈程序员-站长
2022年6月25日
21
计算机病毒模块测试题,计算机病毒分类测试题集

计算机病毒模块测试题,计算机病毒分类测试题集以下有关计算机病毒分类的陈述______是正确的.A)病毒分为十二类B)病毒分为操作系统类型和文件类型C)没有分类D)病毒分为外壳型和侵入型根据计算机病毒的破坏能力，计算机病毒可分为A.良性病毒B.恶性病毒C.网络病毒D.引导病毒根据计算机病毒的存在方式进行分类，通常可以分为().A.复杂病毒B.引导病毒C.文件病毒D.网络病毒这个问题是一个选择题.请帮助给出正确的答案和分析，谢…

全栈程序员-站长
2022年5月9日
32
AIX 7.1查看硬件配置信息查看端口IBM POWER 750 P750

AIX 7.1查看硬件配置信息查看端口IBM POWER 750 P750#查看

全栈程序员-站长
2022年6月16日
59

发表回复

关注全栈程序员社区公众号