转载

米斯特白帽培训讲义漏洞篇 XSS

讲师： gh0stkey

整理：飞龙

协议： CC BY-NC-SA 4.0

原理：反射型

将这段代码保存为 xss.php 。

//XSS反射演示
<form action="" method="get">
    <input type="text" name="xss"/>
    <input type="submit" value="test"/>
</form>
<?php
$xss = @$_GET['xss'];
if($xss!==null){
    echo $xss;
}

我们看到，这段代码中首先包含一个表单，用于向页面自己发送 GET 请求，带一个名为 xss 的参数。然后 PHP 会读取该参数，如果不为空，则直接打印出来，我们看到这里不存在任何过滤。也就是说，如果 xss 中存在 HTML 结构性的内容，打印之后会直接解释为 HTML 元素。

我们部署好这个文件，访问 http://localhost/xss.php ，如图：

米斯特白帽培训讲义漏洞篇 XSS

我们直接输入一个 HTML 代码，比如 <script>alert(1)</script> ，之后点击 test ：

米斯特白帽培训讲义漏洞篇 XSS

我们可以看到弹窗，也就是我们输入的 HTML 代码被执行了。

之后我们查看元素，这表明，我们输出的内容直接插入到了页面中，解释为 <script> 标签。

米斯特白帽培训讲义漏洞篇 XSS

我们可以自定义弹窗中的内容来利用 XSS，比如改成 alert(document.cookie) 。

从上面的例子中，我们可以看出，反射型 XSS 的数据流向是：浏览器 -> 后端 -> 浏览器。

原理：存储型

这里我们把 xss.php 内容改为（同时数据库中需要配置相应的表）：

//存储XSS演示
<form action="" method="post">
    <input type="text" name="xss"/>
    <input type="submit" value="test"/>
</form>
<?php
$xss=@$_POST['xss'];
mysql_connect("localhost","root","root");
mysql_select_db("xss");
if($xss!==null){
    $sql="insert into test(id,payload) values('1',$xss)";
    $result=mysql_query($sql);
    echo $result;
}

可以看到，用户输入的内容还是没有过滤，但是不直接显示在页面中，而是插入到了数据库。

我们新建 res.php ，内容为：

mysql_connect("localhost","root","root");
mysql_select_db("xss");
$sql="select payload from test where id=1";
$result=mysql_query($sql);
while($row=mysql_fetch_array($result)){
   echo $row['payload'];
}

该代码从数据库读取了之前插入的内容，并将其显示出来。

我们部署之后首先查看 test 数据库，确认它是空的：

米斯特白帽培训讲义漏洞篇 XSS