上篇文章讲解了xss的一些基础常识,这篇文章持续研究学习。上篇文章提到了一些理论性的东西,看完估量感觉很快也忘了。简略回忆一下,讲了xss分类:存储型XSS,反射型XSS,DOM XSS。讲了几个简略的payload,也仅仅理论性的东西。这篇先不持续看理论了,先来测验测验怎样运用payload~ 玩起~~
理论的东西看了也很快就忘记了,所以我决议找个东西实践玩一玩~ 就从身边的东西,imweb博客下手好了。
细心看了一下博客,最简略xss的好像是文章里边的谈论框,这个谈论框是支撑富文本的,当富文本一进来就意味着危险也同时进来了。
谈论框的过滤规矩一般有两类,第1类咱们称为白名单,即:只答应运用白名单内的合法HTML标签,例如IMG。其它均除掉。 第2类咱们称为黑名单,即:厂商会构建一个有损害的HTML标签、特点列表,然后经过剖析用户提交的HTML代码,除掉其间有害的部分。
咱们博客的谈论框我测验了一下,应该是黑名单过滤的。
对谈论框还完全不了解,看看代码也是紧缩了的,懒得去看紧缩后的代码= = 直接用富文本打听好了~~
首要我提交了十分简略的一个payload
<img/src=@ onerror=alert(1) />
检查DOM如图所示:
有好消息有坏消息,坏消息是咱们发现onerror以及它的特点值都被过滤了,可是也有好消息,咱们发现直接提交html代码是不会被过滤的,这就为咱们之后的xss供给了或许。Ok,持续试试一些常用的:
<script>alert(1)</script> <a href="javascirpt: alert(1)”></a>
script毫无疑问是会被过滤的,这个我也仅仅随意试试。a标签当然不会被过滤,可是问题在于咱们发现成果是这样的:
整个href及其之后的特点值都被过滤了,这个也在预料之中,咱们能够简略的猜想一下原因,也许是:
href就被过滤了(这个主意后来想想根本不或许,href要被过滤了正常链接怎样发?当然markdown能够) 代码里边去判别了href里边的值,发现里边有这样的东西然后把这个href后边一切东西都过滤了,这个或许性无疑是更大的。好吧,已然要过滤,那我找一些不必的语法不就完了。持续试试,这回不必:
<button onclick="alert(1);">xss</button>
成果咱们惊喜的发现,button竟然没有做任何过滤的展现了:
可是点击并没有任何反响,看了一下dom:
有点丢失,发现onclick以及后边的特点值都被过滤了。这时候我忽然想到之前我测验的<img/src=@ onerror=alert(1) /> 这个payload的onerror也被过滤了,几乎是相同的景象。所以咱们又得到了一个头绪,能够估测过滤代码有这样一段逻辑,判别提交的谈论里有没有on开端的特点,如果有的话,会把它过滤了。
整理一下上面屡次测验得到的头绪:
富文本标签答应直接提交. script被过滤了。 on开端的特点被过滤了,比方onerror,onclick,onmouseover等等,这个过滤规矩直接废了许多payload。 被过滤了,这个也让许多payload失去了或许。持续测验payload吗,仍是考虑一下上面的头绪能给咱们带来什么?发现头绪3过滤on仍是比较丧命的,如同并没有 *** 绕开这个过滤。可是头绪4好像有时机啊!
这儿先说一个简略的小常识,是咱们后边成功xss重要的一步:
在html标签特点的值里字符实体是会被转换成相对的字符的。这意味着下面这两个是等价的: <button onclick="javascipt:alert(1);">xss</button> <button onclick="javascipt:alert(1);">xss</button>
[1] [2] [3] 黑客接单网
向文件中增加如下内容: UnregisterHost unregister_host = 2;在2018年,相同值得一提的是Lazarus和BlueNoroff的歹意活动。 咱们观察到这两个歹意集团...
二、辨认要挟行为中的堆叠APT进犯者一般会运用一些文件格局和显现上的特性用于利诱受害用户或安全剖析人员。 这儿以LNK文件为例,LNK文件显现的方针履行途径仅260个字节,剩余的字符将被切断,可以直接...
小结这种查询的成果必定是这种http://tiechemo.com/page.asp?id=1和1=2(由于120大于109)。 咱们接着测验,一般在企业中职工薪酬都被视为秘要,这太让人心痒痒了,我内...
示例:gRPC API Fuzzer如成功,则直接看第四步,如不能成功,可测验以下指令3、123456789 (⬆3)作为信息安全抢先媒体的小编,这次首要重视的是仍是关于“缺德的智能打扰电话”。 中国...
翻开Redis的通道 -p <port ranges>: Only scan specified portsId Name手机号码出售,找黑客改四级 if (!isset($_SES...
研究者在黎巴嫩发现了很多的受害者,但他们在以色列、土耳其、英国、日本、美国和其它国家也都找到了被侵略的组织。 哈哈,00切断成功了。 文中提及的部分技能、东西或许带有必定攻击性,仅供安全学习和教育...