跨站脚本攻击XSS(最全最细致的靶场实战)
作者:互联网
一、XSS跨站漏洞
(1)XSS简介
网站中包含大量的动态内容以提高用户体验,比过去要复杂得多。所谓动态内容,就是根据用户环境和需要,Web应用程序能够输出相应的内容。动态站点会受到一种名为“跨站脚本攻击”(Cross Site Scripting,安全专家们通常将其缩写成XSS,原本应当是css,但为了和层叠样式表(Cascading Style Sheet,CSS)有所区分,故称XSS)的威胁,而静态站点则完全不受其影响。恶意攻击者会在 Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。
跨站脚本攻击是一种针对网站应用程序的安全漏洞攻击技术,是代码注入的一种。它允许恶意用户将代码注入网页,其他用户在浏览网页时会受到影响,恶意用户利用xss 代码攻击成功后,可能得到很高的权限、私密网页内容、会话和cookie等各种内容
攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击”,而JavaScript是新型的“ShellCode”。
xss漏洞通常是通过php的输出函数将javascript代码输出到html页面中,通过用户本地浏览器执行的,所以xss漏洞关键就是寻找参数未过滤的输出函数。
<?php
$xss = $_GET['x'];
echo $xss;
?>
(2)产生层面
产生层面一般都是在前端,JavaScript代码能干什么,执行之后就会达到相应的效果
(3)函数类
比如说php中的脚本的输出函数
常见的输出函数有:print
、print_r
、echo
、printf
、sprintf
、die
、var_dump
、var_export
(4)危害影响
-
盗取各类用户帐号,如机器登录帐号、用户网银帐号、各类管理员帐号
-
控制企业数据,包括读取、篡改、添加、删除企业敏感数据的能力
-
盗窃企业重要的具有商业价值的资料
-
非法转账
-
强制发送电子邮件
-
网站挂马
-
控制受害者机器向其它网站发起攻击
其实归根结底,XSS的攻击方式就是想办法“教唆”用户的浏览器去执行一些这个网页中原本不存在的前端代码。可问题在于尽管一个信息框突然弹出来并不怎么友好,但也不至于会造成什么真实伤害啊。的确如此,但要说明的是,这里拿信息框说事仅仅是为了举个栗子,真正的黑客攻击在XSS中除非恶作剧,不然是不会在恶意植入代码中写上alert("say something")
的。在真正的应用中,XSS攻击可以干的事情还有很多,这里举两个例子。
-
窃取网页浏览中的cookie值。在网页浏览中我们常常涉及到用户登录,登录完毕之后服务端会返回一个cookie值。这个cookie值相当于一个令牌,拿着这张令牌就等同于证明了你是某个用户。如果你的cookie值被窃取,那么攻击者很可能能够直接利用你的这张令牌不用密码就登录你的账户。如果想要通过script脚本获得当前页面的cookie值,通常会用到cookie。试想下如果像空间说说中能够写入xss攻击语句,那岂不是看了你说说的人的号你都可以登录(不过貌似QQ的cookie有其他验证措施保证同一cookie不能被滥用)
-
劫持流量实现恶意跳转。这个很简单,就是在网页中想办法插入一句像这样的语句:
<script>window.location.href="http://www.baidu.com";</script>
那么所访问的网站就会被跳转到百度的首页。早在2011年新浪就曾爆出过严重的xss漏洞,导致大量用户自动关注某个微博号并自动转发某条微博。具体各位可以自行百度。
(5)浏览器内核版本
利用XSS需要浏览器版本和内核没有过滤XSS攻击(比如用谷歌Edge火狐等打开可以成功,但是IE却会拦截)
(6)常出现场景
文章发表、评论、留言、注册资料的地方、修改资料的地方等
二、XSS攻击的分类
XSS攻击分成两类,一类是来自内部的攻击,另一类则是来自外部的攻击
(1)来自内部的攻击
主要指的是利用程序自身的漏洞,构造跨站语句,如:dvbbs的showerror.asp存在的跨站漏洞。
(2)来自外部的攻击
主要指的自己构造XSS跨站漏洞网页或者寻找非目标机以外的有跨站漏洞的网页。如当我们要渗透一个站点,我们自己构造一个有跨站漏洞的网页,然后构造跨站语句,通过结合其它技术,如社会工程学等,欺骗目标服务器的管理员打开。
三、XSS的分类
1、反射型(非持久化)
(1)原理
反射型xss又称非持久型xss,是目前最普遍的类型,这种攻击方式往往具有一次性。发出请求时,XSS代码出现在URL中,作为输入提交到服务器端,服务器端解析后响应,XSS代码随响应内容一起传回给浏览器,最后浏览器解析执行XSS代码。这个过程像一次反射,所以称反射型XSS。
(2)攻击方式
攻击者通过电子邮件等方式将包含xss代码的恶意链接发送给目标用户。当目标用户访问该链接时,服务器接受该用户的请求并进行处理,然后服务器把带有xss代码的数据发送给目标用户的浏览器,浏览器解析这段带有xss代码的恶意脚本后就会触发xss漏洞
(3)判断是否存在反射型xss漏洞并利用
① 判断有没有过滤一些特殊的字符
比如对比输出的字符和输出的字符,可以看到有些字符被过滤了
② 注入代码
下面是大概的原理
假如我输入的是1,提交后,点击查看网页源代码
③ 插入代码
"><img src=1 one rror="alert(/xss/)"/>
#如果读取图片失败,则用alert显示相关信息
显示了信息,则说明存在xss注入
可以对比看到,通过前面的闭合以及后面的代码插入,读取不到图片,因此触发了alert弹窗,显示了括号内的内容即/xss/
④ 利用xss漏洞
将刚刚成功注入代码并能触发xss的网址通过电子邮件等方式发送给对方的手中,如果结合xss平台,对方点击了链接,就能得到对方的cookie等信息
2、存储型(持久化)
(1)原理
存储型XSS和反射型XSS的差别仅在于,提交的代码会存储在服务器端(数据库、内存、文件系统等),下次请求目标页面时不用再提交XSS代码。最典型的例子就是留言板XSS,用户提交一条包含XSS代码的留言存储到数据库,目标用户查看留言板时,那些留言就会从数据库中加载出来并显示,于是触发了XSS攻击
(2)攻击方式
这种攻击多见于论坛、博客和留言板中,攻击者在发帖的过程中,将恶意脚本连同正常的信息一起注入帖子的内容中。随着帖子被服务器存储下来,恶意脚本也永久的存放在服务器的后端存储器中。当其他用户浏览这个被注入了恶意脚本的帖子时,恶意脚本会在它们的浏览器中得到执行
(3)payload
<img src="1" one rror="alert(/xss/)"/>
注入后重新刷新发现直接回显注入的东西,说明是存储型xss
3、DOM型
(1)原理
文档对象模型Document Object Model(DOM)是一个与平台、编程语言不相干的接口,允许程序或脚本动态地访问和更新文档内容、结构和样式,处理后的结果会成为展示页面的一部分
DOM型xss其实是一种特殊类型的反射型xss,也被称作本地跨站,它是基于DOM文档对象模型的一种漏洞。DOM XSS和反射型XSS、存储型XSS的区别在于DOM XSS代码并不需要服务器参与,出发XSS靠的是浏览器的DOM解析,完全是客户端的事情
DOM中有很多对象,其中一些对象可以被用户所操纵,如url,location等。客户端的脚本程序可以通过DOM来动态地检查和修改页面内容,它不依赖于提交数据到服务器端,而是从客户端取得DOM中的数据后并在本地执行,因此仅从服务器端是没有办法防御DOM型XSS漏洞的,如若DOM中的数据没有经过严格的验证,便会产生基于DOM的XSS漏洞。
基于DOM的XSS是反射的特例,其中JavaScript隐藏在URL中,并在其呈现时由页面中的JavaScript取出,而不是在提供服务时嵌入到页面中。这可以使其比其他攻击更隐蔽,并且监控页面正文的WAF或其他防护检测不出恶意内容。
(2)攻击方式
用户请求一个经过专门设计的URL,它由攻击者提交,而且其中包含xss代码。服务器的响应不会以任何的形式包含攻击者的脚本,当用户的浏览器处理这个响应时,DOM对象就会处理xss代码,导致存在xss漏洞
(3)payload
<img src=1 one rror="alert(/xss/)"/>
四、XSS攻击的途径
XSS攻击方法只是利用HTML的属性做各种尝试,找出注入的方法。现在对三种XSS攻击的主要方式进行分析。
-
第一种:对普通的用户输入,页面原样输出,攻击者通过对JSCODE的伪装,经过某些特定的操作就会跳出一个木马界面,从而取得登录用户的Cookie.
-
第二种:在代码区内存在有用户输入的内容
-
第三种:允许用户输入HTML标签的页面,用户可以提交一些自定义的HTML代码。
五、靶场实战
1、PHP开源多功能留言板
(1)搭建靶场
PHP开源多功能留言板下载地址:https://down.chinaz.com/soft/37581.htm ,按照教程安装即可
(2)XSS平台
-
网址1:https://xss.pt/xss.php
-
网址2:http://xss.fbisb.com/xss.php
-
网址3:https://xss8.cc/login/
-
网址4:https://xsshs.cn/xss.php?do=login
(3)进行攻击
① 初次尝试
尝试用简单的JS代码进行XSS攻击
存在JS过滤
② 绕过<script>
检测
使用以下语句绕过<script >
过滤:<BODY onl oad="alert('XSS')">
成功弹出弹窗
管理员后台查看也会弹出弹窗
而弹出弹窗的原因就是这句JS代码嵌入到了代码中
③ 利用XSS平台获取cookie
此时利用XSS平台,启用默认模块,因为这个留言板会过滤<script>
标签,因此我选择使用img标签进行XSS攻击
发送payload成功
管理员到后台查看留言
此时XSS平台就有记录了
④ 使用firebug登录后台
获取到访问的URL:
URL:http://192.168.100.120/SyGuestBook_v1.2/index.php?c=adminMessage&a=ListMessage&gid=1
Cookie:valueName=w01ke; valueQq=5201314; PHPSESSID=en5mt3n1snl0hvg6d45mji2a95
用获取到的cookie和后台链接,使用firebug进行设置
成功进入后台!
注意:因为是留言板,因此别人查看我们留下的XSS攻击代码时,也会记录到XSS平台,因此查看XSS平台的记录时注意甄别访客和管理员