目录
一、测试环境
1、系统环境
2、使用工具/软件
二、测试目的
三、操作过程
1、注入点寻找
2、使用hackbar进行payload测试
3、绕过结果
四、源代码分析
五、结论
一、测试环境
1、系统环境
渗透机:本机(127.0.0.1)
靶 机:本机(127.0.0.1)
2、使用工具/软件
火狐浏览器的hackbar插件,版本:2.3.1;
测试网址:http://127.0.0.1/xss-labs-master/leve117.php?arg01=a&arg02=b
二、测试目的
实现基于get型的反射型xss攻击,构造payload绕过过滤方法。
三、操作过程
1、注入点寻找
查看页面源代码,发现url中传入的两个参数,arg01和arg02的值使用了=在src参数中。正好js事件就是=运算符,注入点就在这里
2、使用hackbar进行payload测试
根据分析 给arg01赋值 “ onfocus arg02 赋值javascript:alert(1)
?arg01=" onfocus&arg02=javascript:alert(1)
点击插件的地方成功弹窗(火狐浏览器做不了)
3、绕过结果
拼接参数进行绕过,需要使用双引号 “ 闭合前一个标签
?arg01=" onfocus&arg02=javascript:alert(1)
四、源代码分析
查看源代码发现使用=将获取的参数进行拼接,刚好可以构成js事件
但是使用了htmlspecialchars函数将参数的标签转换为实体字符,包括双引号”,因此,输入的双引号是没有作用的
只需要在onfocus前加一个空格,隔开参数即可使事件生效
?arg01= onfocus&arg02=javascript:alert(1)
五、结论
可以利用给定的参数进行构造payload,这关就是特殊情况。
给两个参数分别赋值,使得拼接完成后,形成payload,完成绕过。
这关embed标签的属性省略了引号,方便进行绕过,这是靶机的设计,不然要多绕一个双引号可太难了。
需要绕过htmlspecialchars标签。
