前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >bwapp xss stored_babassl

bwapp xss stored_babassl

作者头像
全栈程序员站长
发布2022-11-09 19:10:07
7010
发布2022-11-09 19:10:07
举报

大家好,又见面了,我是你们的朋友全栈君。

0x01、XSS – Reflected (GET)

Low

输入的内容直接输出到页面中:

bwapp xss stored_babassl
bwapp xss stored_babassl

后台服务端没有对输入的参数进行过滤, 直接任选一个注入xss payload即可:

代码语言:javascript
复制
<script>alert(1)</script>
bwapp xss stored_babassl
bwapp xss stored_babassl

Medium

虽然服务端进行了过滤, 但只是addslashes()函数而已(防sql注入), 依旧可以xss:

bwapp xss stored_babassl
bwapp xss stored_babassl
代码语言:javascript
复制
<script>alert(2)</script>
bwapp xss stored_babassl
bwapp xss stored_babassl

High

将所有关键字转换为HTML实体, 安全:

bwapp xss stored_babassl
bwapp xss stored_babassl

0x02、XSS – Reflected (POST)

和GET型一样, 只不过区别在于GET型的注入在于URL, POST注入则要Post data:

GET型:

代码语言:javascript
复制
http://localhost:8080/bWAPP/xss_get.php?firstname=<script>alert(1)</script>&lastname=456&form=submit

POST型:

bwapp xss stored_babassl
bwapp xss stored_babassl

0x03、XSS – Reflected (JSON)

分析

当查找成功movie时, 就会提示找到:

bwapp xss stored_babassl
bwapp xss stored_babassl

反之, 查找失败就会将输入的字符串显示在界面上:

bwapp xss stored_babassl
bwapp xss stored_babassl

这就造成了可控变量的存在

Low

注入xss, 错误信息直接爆出来了..

bwapp xss stored_babassl
bwapp xss stored_babassl

很明显的Json注入,

尝试注入json数据:

代码语言:javascript
复制
{"result": "<script>alert(1)</script>"}

发现不行;

再看报错信息, 继续尝试闭合吧:

代码语言:javascript
复制
"}]}'; <script>alert(1)</script> //

发现不行, 查看HTML源码, 发现闭合出去之后是处于script之间的:

bwapp xss stored_babassl
bwapp xss stored_babassl

知道原因之后就简单了:

代码语言:javascript
复制
"}]}'; alert(document.cookie) //
bwapp xss stored_babassl
bwapp xss stored_babassl

Medium&High

将所有关键字转换为HTML实体, 安全:

bwapp xss stored_babassl
bwapp xss stored_babassl

0x04、XSS – Reflected (AJAX/JSON)

本页面是xss_ajax_2-1.php, 通过Ajax调用xss_ajax_2-2.php完成查询:

bwapp xss stored_babassl
bwapp xss stored_babassl

Low&Medium

有两种思路:

  1. 在页面内直接输入XSSPayload即可
  2. xss_ajax_2-2.php?title=页面也可以直接输入Payload
bwapp xss stored_babassl
bwapp xss stored_babassl
bwapp xss stored_babassl
bwapp xss stored_babassl

High

high等级利用了json的解析:

bwapp xss stored_babassl
bwapp xss stored_babassl

在输入框中注入是直接以字符串的形式输出的, 不会作为html元素或者js执行,

原因就在于xss_ajax_2-2.php中对输入进行了HTM实体编码:

bwapp xss stored_babassl
bwapp xss stored_babassl

0x05、XSS – Reflected (AJAX/XML)

和上一题一样, 同样通过Ajax跳转到另一个php解析,

发现是xml解析:

bwapp xss stored_babassl
bwapp xss stored_babassl

Low&Medium

payload:

代码语言:javascript
复制
<a xmlns:a='http://www.w3.org/1999/xhtml'><a:body onload='alert(1)'/></a>

xmlns是XML Namespaces的缩写,

当加载网站的时候执行alert(1)

bwapp xss stored_babassl
bwapp xss stored_babassl

Medium

源码中使用了addslashes()函数来进行过滤,因为有转义,所以该函数无效。payload仍可行

High

源码中使用了htmlspecialchars()函数来进行过滤

0x06、XSS – Reflected (Back Button)

点击Go back按钮, 页面会Header到上一个界面:

bwapp xss stored_babassl
bwapp xss stored_babassl

由于刚刚从上一题到这题, 点击按钮之后就返回了上一个页面

Low

分析源码, 看到是利用了Referer来进行相应地跳转:

bwapp xss stored_babassl
bwapp xss stored_babassl

于是抓包修改就行了,

  • 方法一: 利用JavaScript伪协议
bwapp xss stored_babassl
bwapp xss stored_babassl
  • 方法二: 闭合绕过

观察, 发现可以闭合绕出input标签, 然后加xss:

bwapp xss stored_babassl
bwapp xss stored_babassl
bwapp xss stored_babassl
bwapp xss stored_babassl
bwapp xss stored_babassl
bwapp xss stored_babassl

High

将所有关键字转换为HTML实体, 安全:

bwapp xss stored_babassl
bwapp xss stored_babassl

0x07、XSS – Reflected (Custom Header)

bwapp xss stored_babassl
bwapp xss stored_babassl

有的web会加上自定义的http字段信息, 且没有做好过滤

Low

直接在Http头中加入bWAPP字段信息:

bwapp xss stored_babassl
bwapp xss stored_babassl
bwapp xss stored_babassl
bwapp xss stored_babassl

Medium

由于采用了addslashes()函数转义单引号等字符, 但是仍可以xss注入

High

将所有关键字转换为HTML实体, 安全:

bwapp xss stored_babassl
bwapp xss stored_babassl

0x08、XSS – Reflected (Eval)

Low&High

很明显的一个执行函数eval(), 通过参数date传入可执行的js:

代码语言:javascript
复制
http://localhost:8080/bWAPP/xss_eval.php?date=alert(1)

Medium

bwapp xss stored_babassl
bwapp xss stored_babassl

不影响js代码的执行

0x09、XSS – Reflected (HREF)

web流程大致是先输入姓名, 再进行电影投票:

bwapp xss stored_babassl
bwapp xss stored_babassl
bwapp xss stored_babassl
bwapp xss stored_babassl

Low

分析

观察名字被写入了页面中:

bwapp xss stored_babassl
bwapp xss stored_babassl

于是直接在输入名字的地方xss:

发现在p标签中:

bwapp xss stored_babassl
bwapp xss stored_babassl

于是绕过闭合, 成功:

代码语言:javascript
复制
</p> <script>alert(1)</script>
bwapp xss stored_babassl
bwapp xss stored_babassl

再者, 注意到链接处也可以闭合绕出:

bwapp xss stored_babassl
bwapp xss stored_babassl

注入:

代码语言:javascript
复制
1>Vote</a> <script>alert(1)</script>
bwapp xss stored_babassl
bwapp xss stored_babassl

Medium&High

源码中使用了urlencode()函数来进行过滤。

0x0A、XSS – Reflected (Login Form)

Low

开始先xss盲打一下:

bwapp xss stored_babassl
bwapp xss stored_babassl

不行, 输入单引号, 尝试sql注入:

bwapp xss stored_babassl
bwapp xss stored_babassl
  • 划重点

发现单引号后面的内容(123)被输出到页面上, 并且应该是没做过滤的。

于是在单引号后面xss:

代码语言:javascript
复制
bee' 123 <script>alert(1)</script>
bwapp xss stored_babassl
bwapp xss stored_babassl

Medium

使用了addslashes()函数来进行过滤,因为有转义,所以该函数无效。

High

用了htmlspecialchars()函数来进行过滤。

0x0B、XSS – Reflected (Referer)

和0x06那关一样, 抓包修改Referer即可。

0x0C、XSS – Reflected (User-Agent)

同理, 抓包修改User-Agent即可。

0x0D、 XSS – Stored (Blog)

SQL Injection – Stored (Blog)

0x0E、XSS – Stored (Change Secret)

  • xss盲打

先把密码修改为xss的payload:

bwapp xss stored_babassl
bwapp xss stored_babassl

然后当用户登录的时候, 就会触发xss:

bwapp xss stored_babassl
bwapp xss stored_babassl
  • 修改前端代码

观察前端, 发现有一个隐藏的input标签:

bwapp xss stored_babassl
bwapp xss stored_babassl

将type改为text, 然后再其中输入绕出闭合即可xss:

代码语言:javascript
复制
123"> <script>alert(1)</script>
bwapp xss stored_babassl
bwapp xss stored_babassl
bwapp xss stored_babassl
bwapp xss stored_babassl

Medium

使用了addslashes()函数来进行过滤,因为有转义,所以该函数无效。

High

用了htmlspecialchars()函数来进行过滤。

0x0F、XSS – Stored (User-Agent)

SQL Injection – Stored (User-Agent)

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn/190245.html原文链接:https://javaforall.cn

本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
原始发表:2022年9月23日 ,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 作者个人站点/博客 前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 0x01、XSS – Reflected (GET)
    • Low
      • Medium
        • High
        • 0x02、XSS – Reflected (POST)
        • 0x03、XSS – Reflected (JSON)
          • 分析
            • Low
              • Medium&High
              • 0x04、XSS – Reflected (AJAX/JSON)
                • Low&Medium
                  • High
                  • 0x05、XSS – Reflected (AJAX/XML)
                    • Low&Medium
                      • Medium
                        • High
                        • 0x06、XSS – Reflected (Back Button)
                          • Low
                            • High
                            • 0x07、XSS – Reflected (Custom Header)
                              • Low
                                • Medium
                                  • High
                                  • 0x08、XSS – Reflected (Eval)
                                    • Low&High
                                      • Medium
                                      • 0x09、XSS – Reflected (HREF)
                                        • Low
                                          • 分析
                                        • Medium&High
                                        • 0x0A、XSS – Reflected (Login Form)
                                          • Low
                                            • Medium
                                              • High
                                              • 0x0B、XSS – Reflected (Referer)
                                              • 0x0C、XSS – Reflected (User-Agent)
                                              • 0x0D、 XSS – Stored (Blog)
                                              • 0x0E、XSS – Stored (Change Secret)
                                                • Medium
                                                  • High
                                                  • 0x0F、XSS – Stored (User-Agent)
                                                  领券
                                                  问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档