A-XSS-Reflected
一刀森、XSS:(中級別)
- 測試payload:“<script>alert(“xss”)</script>”:測試結(jié)果:
- 發(fā)現(xiàn)輸入的<script>被去掉了枕屉,那么猜測是否后臺過濾了此標簽:進行第二步如下
輸入Payload:“<scr<script>ipt>alert("xss")</script>”此設計是后臺假如去掉了中間的<script>,則兩邊的剛好又拼湊成一個完整的script標簽。所以這樣進行嘗試繞過:結(jié)果如下:被繞過:說明猜測正確:
二、XSS(高)
用先前的Payload“<scr<script>ipt>alert("xss")</script>”已經(jīng)不能進行注入,因為顯示結(jié)果如下:
2.則猜測可能后臺將所有的<script>字符都去除掉了睛榄。但是JS執(zhí)行的地方不只是只能通過<script>標簽,比如img的onerror屬性想帅,html的onload屬性场靴,分別用下面兩個payload測試:
(1)Payload: “<body onload=alert(/xss/)>”,如下:成功注入:
(2)Payload:“<img scr=’das’ onerror=alert(“XSS-HAHA”)>”,
A-XSS-Stored:
一.中級別:
1.測試是否對特殊字符有轉(zhuǎn)義或者過濾:輸入payload 如下:
Nmae: <'>"/ln; Messages: <liuning'/">, 結(jié)果如下圖:
可見,Name值沒有過濾港准,而messages值全部過濾掉了旨剥。則重點測試對象為name。
2.name輸入Payload如下:<script>alert(XSS-Stored)</script>,輸入如圖:
期間name框輸入長度不夠叉趣,更改代碼后輸入泞边,結(jié)果如下圖:
則推測后臺將script標簽過濾了,所以進行嘗試繞過:輸入Name字段為<scr<script>ipt>alert(“xssSSSS”)</script>, 發(fā)現(xiàn)沒有成功疗杉,可能是將拼湊的又過濾了阵谚,那么試試大寫:<Script>alert(/xss/)</script>蚕礼,成功破解:
,那么再次思考下梢什,可能其他的HTML事件屬性如onerror, onload奠蹬,onresize也沒有做過濾。測試onerror如下(Name的payload=<body onload=alert(/XSS_STORED/)>)成功入侵嗡午,
二.高級別:
測試onload事件是否做了過濾:
Name的Payload:<body onload=alert(/XSS_STORED-HIGH-LALA/)> 結(jié)果如下:
同樣囤躁,這個沒有過濾,說明此屬性沒有被過濾荔睹。那么再來測測是否對多有的script標簽進行了過濾:輸入payload如下:<Script>alert(/xss/)</script>狸演,結(jié)果如下,說明后臺對所有的script標簽都進行了過濾僻他、
B-CSRF-MIDDLE級別
1.在自己的機器上(這里為了方便宵距,也只是在本地的127.0.0.1上開了個4413端口進行模擬黑客服務器)。腳本如下:(命名為crsf.py)
# coding:utf-8
# author: chaser
from flask import *
app = Flask(__name__)
@app.route('/')
def scan_enter():
return render_template('csrf1.html')
if __name__ == '__main__':
app.run('127.0.0.1', port=4413, debug=True)
然后在templates目錄下放置頁面html: 命名為csrf1.html吨拗。
<!DOCTYPE html>
<html>
<head>
<title>CSRF1</title>
</head>
<body>
<p>Wa!You are so cute!</p>
</body>
</html>
當受害者在沒有登出自己的dvwa程序時满哪,(保留有自己的登錄態(tài))突然瀏覽其他網(wǎng)站,比如某一個廣告的美女站點(我的站點可以模仿為充滿了美女的站點)劝篷,或者是我自己的博客網(wǎng)站哨鸭。當他點擊進來后,發(fā)現(xiàn)一個“Wa娇妓!You are so cute! ”(被贊美了像鸡,或者是在瀏覽我的正常的一個博客)那么此時CSRF已經(jīng)完成。因為我的頁面上有一個<img>標簽峡蟋,而標簽的src是一個鏈接坟桅,此鏈接的功能是修改這個受害人的admin密碼华望。(當然我事先要捕獲到這個修改密碼的鏈接)蕊蝗。當他沉浸在我站點的美女圖或者博文里時,自己的密碼已經(jīng)被我改了而不自知赖舟。哈哈蓬戚。如下:
點擊后(同一瀏覽器)的結(jié)果:
然后他返回到自己的被攻擊的站點中,這里是dvwa的站點宾抓。(或者我們可以做成將他跳轉(zhuǎn)回他來源的那個站點的主頁子漩,只需要在我們的惡意網(wǎng)址上添加代碼就可以)
setTimeout("javascript:location.href='127.0.0.1/dvwa/'", 5000); 這個是5秒后跳轉(zhuǎn)到主頁的方式。
當它退出后石洗,下次重新登錄就會發(fā)現(xiàn)登陸不進來幢泼,密碼錯誤。
而正確的密碼是hacker_ln:
成功登陸:
