用户
搜索

[思路/技术] xss挖掘初上手

  • TA的每日心情
    慵懒
    2018-12-6 09:23
  • 签到天数: 44 天

    连续签到: 1 天

    [LV.5]常住居民I

    i春秋作家

    推荐小组成员

    Rank: 7Rank: 7Rank: 7

    43

    主题

    220

    帖子

    457

    魔法币
    收听
    3
    粉丝
    14
    注册时间
    2017-7-25

    i春秋签约作者i春秋推荐小组春秋文阁积极活跃奖秦

    xmidf i春秋作家 推荐小组成员 i春秋签约作者 i春秋推荐小组 春秋文阁 积极活跃奖 秦 楼主
    发表于 2018-12-5 14:26:10 78558
    本帖最后由 xmidf 于 2018-12-5 06:30 编辑

    本文主要总结了xss可能出现的场景。
    偏向于案例,最后分享一哈简单的绕过和比较好用的标签。



    1.搜索框
    • 首先看能否闭合前面的标签。
    如输入111”><svg/onload=alert(1)>
    查看源码是否将前面标签闭合,可闭合的话可触发xss
    • 如过无法闭合时,用事件来触发xss.
    输入1111”><svg/onload=alert(1)>,F12看源码
    图片 1.png

    发现”>无法闭合前面的标签。那么就用事件。
    输入1111”onmouseout=”alert(1) 此处的事件是当鼠标放上去移走时触发xss
    图片 2.png


    2.    url参数


    直接在url参数上插入xss代码。
    图片 3.png


    3.    Post传递的参数
    在Post数据包的参数的xss
    图片 4.png


    4.    留言板
    留言板的基本都是存储xss
    一般都是闭合前面字符,再插入xss代码。
    具体要看插入的xss在源码中的位置。

    5.    发布文章
    发布文章处就和自定义一个html页面差不多。
    可以自己自定义代码。同时要看系统的过滤了哪些标签。
    src中存在较多的一般是某某智能系统,给你了模版,还可以自定义的。
    图片 5.png

    图片 6.png

    6.    文件上传的名称处
    此处xss较为少见,是因为返回包将输入的文件名重新输出了出来,造成了xss。
    图片 7.png

    7.    文件上传内容(可定义html页面)
    此处一般是上传文件php,asp,jsp等文件,系统会将其存储起来,而不解析。从而上传一个自定义的html让其解析。
    图片 8.png

    访问返回的路径即可
    图片 9.png

    8.    数据包的cookie处
    图片 10.png

    9.    url无参数处
    图片 11.png

    一般的提交框中插入xss
    图片 12.png

    无参数时
    图片 13.png
    图片 14.png


    • 简单的绕过和标签

    最后分享一下简单xss绕过。(还是要看输入的代码在源码中的位置)
    三个弹窗函数 alert  confirm prompt
    如设置了黑名单可通过编码绕过(url编码,html编码,bs64编码)
    过滤了()或者将()输出成中文的()可以用``代替。


    拿出较为好用的payload
    <details/open/ontoggle=alert(1)>
    <svg/onload=alert(1)>
    <img/src/onerror=alert(1)>
    <video/src/onerror=alert(1)>
    <script>(alert)(1)</script>
    <video><sourceonerror="javascript:alert(1)">
    <video/src/onloadstart="alert(1)">
    <ahref=javascript:alert(1)>222</a>












    当你凝望深渊时,你就不怕吗?
    长知识,学到了一些新的插入地方
    使用道具 举报 回复
    又学到了一些新的姿势
    一位热衷于分享,积极向上的小白
    使用道具 举报 回复
    感谢分享
    使用道具 举报 回复
    发表于 2018-12-8 09:52:08
    不错,学到了新的姿势
    使用道具 举报 回复
    发表于 2018-12-17 10:08:28
    感谢楼主分享~
    Just do it!
    使用道具 举报 回复
    发表于 2019-1-2 17:10:42
    过滤了()或者将()输出成中文的()可以用``代替。
    这是反单引号吗,为什么我试了不行?
    使用道具 举报 回复
    发表于 2019-1-8 17:44:42
    SoloXwp 发表于 2019-1-2 09:10
    过滤了()或者将()输出成中文的()可以用``代替。
    这是反单引号吗,为什么我试了不行? ...

    反引号 ``不是单引号
    当你凝望深渊时,你就不怕吗?
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册