摘要：一背景筆者最近在慕課錄制了一套跨站漏洞加強安全視頻教程，課程當中有講到的挖掘方式，所以在錄制課程之前需要做大量實踐案例，最近視頻已經(jīng)錄制完成，準備將這些漏洞的挖掘過程記錄下來，方便自己也方便他人。

筆者最近在慕課錄制了一套XSS跨站漏洞 加強Web安全視頻教程，課程當中有講到XSS的挖掘方式，所以在錄制課程之前需要做大量實踐案例，最近視頻已經(jīng)錄制完成，準備將這些XSS漏洞的挖掘過程記錄下來，方便自己也方便他人。

在本篇文章當中會一permeate生態(tài)測試系統(tǒng)為例，筆者此前寫過一篇文章當中筆者已經(jīng)講解如何安裝permeate滲透測試系統(tǒng)，因此這里不再重復講解如何安裝此滲透測試系統(tǒng)，參考文檔:利用PHP擴展Taint找出網(wǎng)站的潛在安全漏洞實踐

XSS漏洞原理

反射型挖掘

存儲型挖掘

在實踐漏洞之前，筆者準備先簡單介紹一下XSS漏洞，不過XSS的相關概念介紹并不是本文的重點，因此不會過多細講；XSS的漏洞類型主要分為三類：反射型、存儲型、DOM型

XSS的漏洞主要成因是后端接收參數(shù)時未經(jīng)過濾，導致參數(shù)改變了HTML的結(jié)構(gòu)，如下圖所示

在圖中可以看到攻擊者的參數(shù)被原樣放到了HTML代碼當中，導致原本的結(jié)構(gòu)被改變，當這份代碼被瀏覽器執(zhí)行之后，將執(zhí)行alert事件。

反射型XSS在筆者鬧鐘的定義是，如果URL地址當中的惡意參數(shù)會直接被輸出到頁面中，導致攻擊代碼被觸發(fā)，便稱之為反射型XSS，如下圖所示

在圖中可以看到，此處原本是輸入一個名字，單實際傳遞了一個script標簽，此標簽也被原樣放到了HTML結(jié)構(gòu)當中，結(jié)果script標簽代碼中的代碼被觸發(fā)

存儲型XSS，顧名思義便是惡意參數(shù)被存儲起來了，通常存儲在后端服務器當中，所以存儲型XSS在URL地址當中不會包含惡意參數(shù)，對于受害者來說，很難發(fā)現(xiàn)已經(jīng)被攻擊了，如下圖存儲型XSS被觸發(fā)

在圖中筆者并沒有在URL地址當中看到script代碼，但是攻擊代碼依然被觸發(fā)，說明攻擊代碼來自于服務器，而這個攻擊代碼確實是由攻擊者傳遞到服務器當中去的。

一般情況下，當攻擊者將攻擊代碼通過表單傳遞到服務器當中去，會得到一個新頁面的地址，這個地址中URL并沒有明顯異常，比如如下URL地址

http://permeate.songboy.net/article/1

但當存在存儲型XSS時，受害者打開此URL，攻擊代碼將會被觸發(fā)，這種情況下筆者便稱之為存儲型XSS漏洞。

DOM型XSS較為特殊，筆者前面反射型XSS和存儲型XSS都是以傳播方式來區(qū)分的，而DOM型XSS和傳參方式無關，而是當開發(fā)者做了一些安全防護之后，任出現(xiàn)安全問題的一種現(xiàn)象，如下圖所示

在圖片中，可以看到參數(shù)name已經(jīng)使用函數(shù)轉(zhuǎn)義了，按理說此時將參數(shù)傳遞到前端頁面是不會產(chǎn)生XSS漏洞的；但當JavaScript代碼將參數(shù)進行DOM節(jié)點操作之后，原本被轉(zhuǎn)義的代碼又會被還原，因此還是會被觸發(fā)，如下圖所示

在圖中看到XSS代碼已經(jīng)被觸發(fā)，這種DOM型XSS相對來說更加隱蔽，所以防御XSS漏洞的不能僅僅依靠后端開發(fā)者，前端開發(fā)者也應當了解XSS漏洞。

經(jīng)過上一節(jié)的原理介紹，筆者相信大家對XSS已經(jīng)有一些了解，現(xiàn)在筆者需要進行手工XSS漏洞挖掘，在手工挖掘之前筆者需要先逛逛網(wǎng)站有哪些功能點，如下圖是permeate的界面

在知道反射型XSS，是通過URL地址傳播的，那么筆者就需要思考那些地方會讓URL地址的參數(shù)在頁面中顯示；相信讀者都用過一些網(wǎng)站的站內(nèi)搜索，在站內(nèi)搜索的位置往往會將搜索的關鍵詞展示在頁面當中，如下圖所示

而在首頁筆者也看見此網(wǎng)站有搜索功能，因此可以從搜索位置著手，可以在搜索位置輸入一個簡單的payload,參考如下

當點擊搜索后，會自動跳轉(zhuǎn)到以下URL當中，此時瀏覽器的URL地址已經(jīng)發(fā)生了變化，URL地址如下：

http://permeate.songboy.net/home/search.php?keywords=

搜索的表單是使用了GET傳參，滿足了測試反射型的第一步要求

接下來就需要看看筆者的payload有沒有被觸發(fā),結(jié)果很意外，不但沒有被觸發(fā)還被瀏覽器所阻止了，如下圖

這里就需要跟讀者說明一下，谷歌內(nèi)核瀏覽器自帶XSS篩選器，所以對于反射型XSS測試，盡量不使用谷歌瀏覽器，筆者建議使用火狐瀏覽器進行測試；

現(xiàn)在筆者將上面的URL地址復制下來，并粘貼到火狐瀏覽器當中，并按下回車，看到效果如下圖

此時payload已經(jīng)被觸發(fā)，說明找到了一個反射型XSS的漏洞，這種漏洞相對來說非常初級，隨著瀏覽器的XSS篩選器變得更加智能，這種漏洞也越來越少，在下面的內(nèi)容當中筆者將會提到存儲型XSS挖掘與繞過。

現(xiàn)在筆者來尋找存儲型XSS，存儲型的攻擊代碼是存儲在服務端，因此需要找出一些會將表單內(nèi)容存儲到服務端的位置，筆者在之前已經(jīng)對permeate做了一番了解，因此知道permeate擁有發(fā)帖和回帖功能，這些功能正是需要將參數(shù)存儲起來并展示的地方。

在首頁點擊XSS板塊，進入到了板塊列表當中，如下圖

在右下角能看到有一個發(fā)帖按鈕，點擊發(fā)帖按鈕后，即可進入發(fā)帖界面，如下圖

在permeate滲透測試系統(tǒng)當中，筆者如果要發(fā)表帖子，那么就需要有賬號，筆者這里隨便注冊一個賬號，注冊過程筆者就不詳細講解了

在注冊賬號完成并登陸之后，筆者再次打開發(fā)帖頁面，并在標題處和內(nèi)容處都填寫payload,參考內(nèi)容如下：

在標題處和帖子內(nèi)容中分別填寫payload，填寫好之后，應和與下圖一致

填寫好內(nèi)容之后，筆者點擊下方的發(fā)表按鈕，即可進行發(fā)帖，發(fā)帖成功會彈出一個提示成功，如下圖所示

點擊確定之后，會跳轉(zhuǎn)到發(fā)帖列表，并彈出一個123的提示框，如下圖所示

如果看到這個彈框，說明筆者的payload已經(jīng)被執(zhí)行，點擊確定就可以看到列表的內(nèi)容，如下圖所示

在列表中只顯示標題，所以帖子內(nèi)容中的payload并沒有被執(zhí)行；

現(xiàn)在點擊標題，進入帖子詳情頁面，在詳情頁筆者發(fā)現(xiàn)payload也只觸發(fā)了一次，而且內(nèi)容當中的標簽被直接顯示了出來，如下圖

當標簽被直接顯示出來，這說明筆者的參數(shù)被轉(zhuǎn)義了；轉(zhuǎn)義分為兩種，前端轉(zhuǎn)義和后端轉(zhuǎn)義，如果是后端轉(zhuǎn)義通常筆者會放棄測試，如果是前端轉(zhuǎn)義則可以繞過這個限制；在這里筆者發(fā)現(xiàn)標題沒有被轉(zhuǎn)義，而內(nèi)容被轉(zhuǎn)，猜測可能是前端做的轉(zhuǎn)義，因此可以通過瀏覽器的審查工具將數(shù)據(jù)包拷貝下來；

首先重新打開發(fā)帖頁面，然后在網(wǎng)頁隨便一個位置單擊鼠標右鍵->選擇審查元素->切換到network標簽并勾選Preserve log，打開網(wǎng)絡并勾選Preserve log的目的是讓發(fā)表帖子之后，能在網(wǎng)絡請求中找到該記錄，現(xiàn)在筆者可以填寫新的payload，如下圖

點擊發(fā)表按鈕之后，筆者可以在控制臺中找到剛才的post請求，從請求中可以看出，這個數(shù)據(jù)發(fā)出去就已經(jīng)被轉(zhuǎn)義了，如下圖

當確定這個地方存在前端做了轉(zhuǎn)義處理，如果后端沒有做處理，筆者就可以繞過它，現(xiàn)在筆者將請求復制出來，然后改變里面的數(shù)據(jù)，如下圖

復制出來的數(shù)據(jù)如下

curl "http://permeate.songboy.net/home/_fatie.php?bk=6&zt=0" -H "Connection: keep-alive" -H "Cache-Control: max-age=0" -H "Origin: http://permeate.songboy.net" -H "Upgrade-Insecure-Requests: 1" -H "Content-Type: application/x-www-form-urlencoded" -H "User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_4) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.106 Safari/537.36" -H "Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8" -H "Referer: http://permeate.songboy.net/home/fatie.php?bk=6" -H "Accept-Encoding: gzip, deflate" -H "Accept-Language: zh-CN,zh;q=0.9,en;q=0.8" -H "Cookie: __cfduid=defc970ef7081e30aedd761da5762b1891532003579; UM_distinctid=1655a61a23343c-03f0904540a333-34657908-1fa400-1655a61a234323; PHPSESSID=rufhm0741qfv55cpfnc80k1g4l" --data "csrf_token=3908&bk=6&title=222%3Cscript+%3Ealert%28123%29%3C%2Fscript%3E&content=%3Cp%3E222%26lt%3Bscript+%26gt%3Balert%28123%29%26lt%3B%2Fscript%26gt%3B%3C%2Fp%3E" --compressed

筆者找到參數(shù)中的title和content參數(shù)值，將title的參數(shù)值復制下來，然后替換content的參數(shù)值，替換后的內(nèi)容如下

curl "http://permeate.songboy.net/home/_fatie.php?bk=6&zt=0" -H "Connection: keep-alive" -H "Cache-Control: max-age=0" -H "Origin: http://permeate.songboy.net" -H "Upgrade-Insecure-Requests: 1" -H "Content-Type: application/x-www-form-urlencoded" -H "User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_4) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.106 Safari/537.36" -H "Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8" -H "Referer: http://permeate.songboy.net/home/fatie.php?bk=6" -H "Accept-Encoding: gzip, deflate" -H "Accept-Language: zh-CN,zh;q=0.9,en;q=0.8" -H "Cookie: __cfduid=defc970ef7081e30aedd761da5762b1891532003579; UM_distinctid=1655a61a23343c-03f0904540a333-34657908-1fa400-1655a61a234323; PHPSESSID=rufhm0741qfv55cpfnc80k1g4l" --data "csrf_token=3908&bk=6&title=222%3Cscript+%3Ealert%28123%29%3C%2Fscript%3E&content=222%3Cscript+%3Ealert%28123%29%3C%2Fscript%3E" --compressed

替換完成之后，筆者將此內(nèi)容復制到終端當中（如果讀者用的是windows操作系統(tǒng)，可以下載一個cmder），然后按下回車鍵，結(jié)果如下圖

在返回結(jié)果當中可以看到提示發(fā)帖成功，此時就筆者已經(jīng)成功發(fā)布了一個新帖子，回到帖子列表當中看到有三條帖子，在最后面的帖子則是筆者新發(fā)布的，如下圖

打開詳情頁，筆者被彈了兩次提示框，說明標題和內(nèi)容當中的payload都被觸發(fā),并且在控制臺當中也可以看到script變成了DOM節(jié)點，而不是文本展現(xiàn)出來，如下圖所示

看到此處說明筆者已經(jīng)成功繞過前端XSS過濾器，晚一些在發(fā)表一篇工具盤，和防御篇，大家有興趣也可以支持一下筆者的視頻教程，URL地址如下

https://coding.imooc.com/class/242.html

Thanks?(?ω?)?

作者:湯青松

微信:songboy8888

日期:2018-08-21