一次存儲型XSS的攻防實戰

一次存儲型XSS的攻防實戰

什么是存儲型xss

它是通過對網頁注入可執行代碼且成功地被瀏覽器執行,達到攻擊的目的,一般是注入一段JavaScript腳本。在測試過程中,我們一般是使用:

<script>alert(1)</script>

通過這段JS代碼,彈個框來證明存在xss漏洞。那么,可能新手就會問了,彈個框有什么用呢?

其實,彈框只是為了證明存在此漏洞。而此漏洞的利用方式由很多種。

比如,你可以使用xss平臺:

一次存儲型XSS的攻防實戰

寫入一段平臺生成的xss腳本:

<script></script>

當某人進入帶有這個腳本的頁面時,js腳本會獲取他的Cookie并發往xss平臺。

你只需要登錄xss平臺等待即可,拿到cookie后,可以不需要密碼登錄他的賬號。

注意:本文的重點是一步一步以黑客的角度進行xss攻擊,再討論如何站在開發者的角度去一步一步防御xss攻擊。所以我會在本文中以開發的身份修正后端代碼,再以黑客的身份進行前端頁面的xss攻擊,這一點需要注意哦。

對于存儲型xss漏洞的表現形式,比較經典的是留言板。但是我們都是遵紀守法的好同學,不能對外面的網站進行測試,所以就花半個小時自己手擼一個留言板咯。

首先,應該有前端展示的頁面Message_Board.php和后端存儲數據的頁面addMessage.php

一次存儲型XSS的攻防實戰

前端代碼不是本文重點(感興趣的可以自行查看前端代碼),我們重點關注后端代碼addMessage.php:

<?php $nickname = @$_POST[&#39;nickname&#39;];//昵稱 	$email = @$_POST[&#39;email&#39;];//郵箱 	$content = @$_POST[&#39;content&#39;];//留言內容 	$now_time = @$_POST[&#39;now_time&#39;];//留言時間 	$ini= @parse_ini_file("config.ini");     $con = @mysql_connect($ini["servername"],$ini["username"],$ini["password"]);	if($con){ 		mysql_query("set names &#39;utf8&#39;");//解決中文亂碼問題 		mysql_select_db($ini["dbname"]); 		$sql1 = "select count(*) from message_board"; 		$result = mysql_query($sql1); 		$floor = mysql_fetch_row($result)[0] + 1; 		$sql = "insert into message_board values ($floor,"$nickname","$email","$content","$now_time")"; 		mysql_query($sql); 	}?>

可以看到,我們對傳入的四個參數完全沒有處理,而是直接存入數據庫中。

所以,只要我們這樣輸入:

一次存儲型XSS的攻防實戰

提交之后,系統會自動刷新頁面出現彈框:

一次存儲型XSS的攻防實戰

點擊確定后,你會發現留言內容和留言者的部分都為空。

一次存儲型XSS的攻防實戰

這是因為js腳本已經被解析了,這時我們按F12,打開瀏覽器的開發者工具,發現了js腳本。

一次存儲型XSS的攻防實戰

那么,問題來了。

畢竟我們還有另外一個身份,開發者該如何防御呢?

0×00、來個最簡單的,只修改前端代碼

input標簽里面加上maxlength屬性

<input>

至于原理嘛,就是因為js腳本的形式為<script></script>長度為17,所以只要我們在前端對長度進行限制,就可以阻止黑客進行xss攻擊了。

可是!開發可沒這么好做!

我們是想做開發的黑客,所以還得自己搞自己。

作為攻擊者,我們同樣可以修改前端代碼,具體的操作是使用瀏覽器的F12(開發者工具)

一次存儲型XSS的攻防實戰

可以看到,我們可以直接進行長度的修改。

另外,還可以用抓包的方法,在包里面直接寫,也是不受長度限制的。

0×01、對關鍵字script進行過濾

作為開發者,你很容易發現,要想進行xss攻擊,必須插入一段js腳本,而js腳本的特征是很明顯的,腳本中包含script關鍵字,那么我們只需要進行script過濾即可。

回到之前的代碼。

為方便說明,我只取nickname參數,其實傳入的四個參數需要做同樣的處理。

$nickname?=?str_replace("script",?"",?@$_POST['nickname']);//昵稱

上面這個str_replace()函數的意思是把script替換為空。

可以看到,script被替換為空,彈框失敗。

一次存儲型XSS的攻防實戰

那么黑客該如何繼續進行攻擊呢?

答案是:大小寫繞過

<script>alert(1)</script>

一次存儲型XSS的攻防實戰

因為js是不區分大小寫的,所以我們的大小寫不影響腳本的執行。

成功彈框!

一次存儲型XSS的攻防實戰

0×02、使用str_ireplace()函數進行不區分大小寫地過濾script關鍵字

作為一名優秀的開發,發現了問題當然要及時改正,不區分大小寫不就行了嘛。

后端代碼修正如下:

$nickname?=?str_ireplace("script",?"",?@$_POST['nickname']);//昵稱

str_ireplace()函數類似于上面的str_replace(),但是它不區分大小寫。

那么,黑客該如何繞過?

答案是:雙寫script

<sscriptcript>alert(1)</sscriptcript>

一次存儲型XSS的攻防實戰

原理就是str_ireplace()函數只找出了中間的script關鍵字,前面的S和后面的cript組合在一起,構成了新的Script關鍵字。

彈框成功!

一次存儲型XSS的攻防實戰

0×03、使用preg_replace()函數進行正則表達式過濾script關鍵字

$nickname?=?preg_replace(?"/<p>顯然,彈框失敗。</p><p><img src="https://img.php.cn/upload/image/887/790/455/1575365135372860.jpg" title="1575365135372860.jpg" alt="11.jpg"></p><p>攻擊者如何再一次繞過?</p><p>答案是:用img標簽的oneerror屬性</p><pre class="brush:php;toolbar:false">@@##@@

0×04、過濾alert關鍵字

看到這里,不知道你煩了沒有,以開發的角度來講,我都有點煩。大黑闊你不是喜歡彈窗么?我過濾alert關鍵字看你怎么彈!

$nickname?=?preg_replace(?"/<p>那么,攻擊者該怎么辦呢?</p><p>答案是:編碼繞過</p><div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false"><a>a</a>

當點擊頁面上的超鏈接時,會彈框。

一次存儲型XSS的攻防實戰

但是為什么呢?

這種編碼方式為字符編碼

字符編碼:十進制、十六進制ASCII碼或unicode?字符編碼,樣式為“數值;”,?例如“j”可以編碼為“j”或“j?”

上述代碼解碼之后如下:

<a>a</a>

你能明顯感覺到限制:由于使用到了a標簽,所以只有點擊時,才會彈框。

作為一個大黑闊,我們當然是不滿意的,能不能讓所有進入這個頁面的人都彈框?

當然可以了:用iframe標簽編碼

<iframe></iframe>

這種寫法,同樣既沒有script關鍵字,又沒有alert關鍵字。

一次存儲型XSS的攻防實戰

可以看到彈框成功!

一次存儲型XSS的攻防實戰

可是你也能看到,由于使用了iframe標簽,留言板的樣式已經變形了。實戰中盡量不要用。

0×05、過濾特殊字符

優秀的開發,永不認輸!你個小小的黑闊,不就是會插入js代碼么?我過濾特殊字符,看你代碼咋被解析?

可是我不想手擼代碼來列舉那么多特殊字符怎么辦?

php給我們提供了htmlentities()函數:

$nickname?=?htmlentities(@$_POST['nickname']);//昵稱

htmlentities()函數的作用是把字符轉換為 HTML 實體。

一次存儲型XSS的攻防實戰

看到這里,你可能還是不明白HTML字符實體是什么。我舉個例子吧,當你想在HTML頁面上顯示一個小于號(

可以看到,我們輸入的內容全部顯示在頁面上了。

一次存儲型XSS的攻防實戰

可是卻沒有彈框。

我們鼠標右鍵,查看網頁源代碼

一次存儲型XSS的攻防實戰

際上,我們輸入的內容已經變成了HTML實體:

<iframe></iframe>

無法被解析為js腳本。

黑客在當前場景下已經無法攻擊了(在某些其他場景,即使使用了htmlentities()函數,仍然是可以攻擊的,這就不在本文討論范圍之內了)

0×06、總結

開發者不應該只考慮關鍵字的過濾,還應該考慮特殊符號的過濾 。

黑客在面對未知的情況時,要不斷嘗試,這對于知識的儲備量有較高的要求。

對于xss攻擊,站在開發者角度來講,僅僅用一個htmlentities()函數基本可以做到防御,可是一個優秀的開發者應該明白它的原理。站在黑客的角度來講,面對環境的逐步變化,條件的逐步限制,攻擊思路靈活變化是對整個職業生涯有益的。

相關文章教程推薦:前端代碼

一次存儲型XSS的攻防實戰

? 版權聲明
THE END
喜歡就支持一下吧
點贊14 分享