Pikachu之XSS

五、DOM型XSS-X

依旧是先输入字符串看一下，显示“有些费尽心机想要忘记的事情，后来真的就忘掉了”

但我们可以看到，在url上有显示我们输入的字符串

输入：'οnclick="alert('xiaoyang!!!')">

六、XSS之盲打

在XSS盲打中，我们输入的内容不会在前端输出，会存在后台，也就是说，只有管理员在后台才能看到用户在前端输入的内容

了解了盲打的原理，那就开始我们此次实验叭

先构造弹窗语句进行输入

提交后，我们登录后台看看，后台地址以及管理员账号密码在提示中有给出，可自行查看

登录后出现弹窗，直接X到了后台

在攻击中，我们可以利用其漏洞获取管理员cookie来进行伪造

七、XSS之过滤

输入<script>alert('xiaoyang!!!')</script>提交后显示“别说这些'>'的话,不要怕,就是干!”

我们考虑可能是对<script>标签进行了限制，我们试试大小写绕过

输入：<scRIPt>alert('xiaoyang!!!')</ScriPT>

成功绕过，出现弹窗

八、XSS之htmlspecialchars

Htmlspecialchars()函数把一些预定义的字符转换为html实体

当我们输入构造好的弹窗语句后,显示我们的输入已经被记录

我们查看源码发现将<>进行了编码

我们输入特殊字符提交后在查看源码,发现只有单引号没有进行编码

我们可以利用单引号进行闭合,参考dom型来构造payload

输入: 'οnclick='alert(111)'

成功绕过,出现弹窗

九、XSS之href输出

还是按之前的思路,输入<script>alert('xiaoyang!!!')</script>看看,没有弹窗

看一下页面源码,我们发现特殊符号均被编码,这种情况下,闭合和绕过就都行不通了

从以上描述可见,我们可以利用JavaScript协议,输入payload:javascript:alert(‘xiaoyang!!!’)

出现弹窗

十、XSS之js输出

还是按我们最初的思路,输入<script>alert(xiaoyang!!!)</script>,发现没有弹窗

查看页内源码

我们发现它将我们插入的payload写入了原有的<script>标签中

我们可以通过在里面写入js语句构造payload

方法一:

使用’将其闭合,再用;使其结束,然后写入弹窗语句,使用//将后面语句注释掉

输入: ';alert('xiaoyang!!!');//

方法二:

使用’将其闭合,然后使用</script>将原有的<script>结束,在插入payload

输入: '</script><script>alert('xiaoyang')</script>

出现弹窗

好啦,到实验尾声啦

Pikachu靶场中XSS所有实验我们就都完成啦~

那我们就到这里啦~

下一篇我们再见

大家要加油呦✌