XSS (Cross Site Scripting)
Wenn Sie an einer Hacking-Karriere interessiert sind und das Unhackbare hacken möchten - wir stellen ein! (fließendes Polnisch in Wort und Schrift erforderlich).
Methodik
Überprüfen Sie, ob irgendein Wert, den Sie kontrollieren (Parameter, Pfad, Header?, Cookies?) im HTML reflektiert oder von JS-Code verwendet wird.
Finden Sie den Kontext, in dem es reflektiert/verwendet wird.
Wenn reflektiert:
Überprüfen Sie, welche Symbole Sie verwenden können und bereiten Sie je nach dem die Payload vor:
In rohem HTML:
Können Sie neue HTML-Tags erstellen?
Können Sie Ereignisse oder Attribute verwenden, die das
javascript:
-Protokoll unterstützen?Können Sie Schutzmaßnahmen umgehen?
Wird der HTML-Inhalt von einer Client-seitigen JS-Engine (AngularJS, VueJS, Mavo...) interpretiert, könnten Sie eine Client Side Template Injection ausnutzen.
Wenn Sie keine HTML-Tags erstellen können, die JS-Code ausführen, könnten Sie eine Dangling Markup - HTML scriptless injection ausnutzen?
Innerhalb eines HTML-Tags:
Können Sie in den rohen HTML-Kontext wechseln?
Können Sie neue Ereignisse/Attribute erstellen, um JS-Code auszuführen?
Unterstützt das Attribut, in dem Sie gefangen sind, die Ausführung von JS?
Können Sie Schutzmaßnahmen umgehen?
Innerhalb JavaScript-Code:
Können Sie das
<script>
-Tag entkommen?Können Sie den String entkommen und anderen JS-Code ausführen?
Ist Ihre Eingabe in Template-Literalen ``?
Können Sie Schutzmaßnahmen umgehen?
Javascript Funktion, die ausgeführt wird:
Sie können den Namen der auszuführenden Funktion angeben. z.B.:
?callback=alert(1)
Wenn verwendet:
Sie könnten eine DOM XSS ausnutzen, achten Sie darauf, wie Ihre Eingabe kontrolliert wird und ob Ihre kontrollierte Eingabe von einem Sink verwendet wird.
Wenn Sie an einer komplexen XSS arbeiten, könnte es interessant sein, über Folgendes Bescheid zu wissen:
Debugging Client Side JSReflektierte Werte
Um eine XSS erfolgreich auszunutzen, müssen Sie zuerst einen Wert finden, der von Ihnen kontrolliert wird und in der Webseite reflektiert wird.
Zwischendurch reflektiert: Wenn Sie feststellen, dass der Wert eines Parameters oder sogar der Pfad in der Webseite reflektiert wird, könnten Sie eine Reflected XSS ausnutzen.
Gespeichert und reflektiert: Wenn Sie feststellen, dass ein von Ihnen kontrollierter Wert auf dem Server gespeichert wird und jedes Mal reflektiert wird, wenn Sie auf eine Seite zugreifen, könnten Sie eine Stored XSS ausnutzen.
Über JS zugegriffen: Wenn Sie feststellen, dass ein von Ihnen kontrollierter Wert über JS zugegriffen wird, könnten Sie eine DOM XSS ausnutzen.
Kontexte
Wenn Sie versuchen, eine XSS auszunutzen, müssen Sie zuerst wissen, wo Ihre Eingabe reflektiert wird. Je nach Kontext können Sie auf unterschiedliche Weise beliebigen JS-Code ausführen.
Rohes HTML
Wenn Ihre Eingabe im rohen HTML der Seite reflektiert wird, müssen Sie einige HTML-Tags ausnutzen, um JS-Code auszuführen: <img , <iframe , <svg , <script
... dies sind nur einige der vielen möglichen HTML-Tags, die Sie verwenden könnten.
Denken Sie auch an Client Side Template Injection.
Innerhalb von HTML-Tag-Attributen
Wenn Ihre Eingabe im Wert des Attributs eines Tags reflektiert wird, könnten Sie versuchen:
Von dem Attribut und dem Tag zu entkommen (dann sind Sie im rohen HTML) und ein neues HTML-Tag zu erstellen, um es auszunutzen:
"><img [...]
Wenn Sie vom Attribut, aber nicht vom Tag entkommen können (
>
ist kodiert oder gelöscht), könnten Sie je nach Tag ein Ereignis erstellen, das JS-Code ausführt:" autofocus onfocus=alert(1) x="
Wenn Sie nicht vom Attribut entkommen können (
"
wird kodiert oder gelöscht), dann können Sie je nach welchem Attribut Ihr Wert reflektiert wird ob Sie den gesamten Wert oder nur einen Teil kontrollieren, es ausnutzen. Zum Beispiel, wenn Sie ein Ereignis wieonclick=
kontrollieren, können Sie es dazu bringen, beliebigen Code auszuführen, wenn es angeklickt wird. Ein weiteres interessantes Beispiel ist das Attributhref
, wo Sie dasjavascript:
-Protokoll verwenden können, um beliebigen Code auszuführen:href="javascript:alert(1)"
Wenn Ihre Eingabe innerhalb von "nicht ausnutzbaren Tags" reflektiert wird, könnten Sie versuchen, den
accesskey
-Trick zu verwenden, um die Schwachstelle auszunutzen (Sie benötigen eine Art von Social Engineering, um dies auszunutzen):" accesskey="x" onclick="alert(1)" x="
Seltsames Beispiel von Angular, das XSS ausführt, wenn Sie einen Klassennamen kontrollieren:
Inside JavaScript code
In diesem Fall wird Ihre Eingabe zwischen <script> [...] </script>
Tags einer HTML-Seite, in einer .js
-Datei oder innerhalb eines Attributs mit dem javascript:
Protokoll reflektiert:
Wenn sie zwischen
<script> [...] </script>
Tags reflektiert wird, können Sie versuchen,</script>
einzufügen und aus diesem Kontext zu entkommen, selbst wenn Ihre Eingabe in irgendeiner Art von Anführungszeichen steht. Dies funktioniert, weil der Browser zuerst die HTML-Tags parst und dann den Inhalt, daher wird er nicht bemerken, dass Ihr injiziertes</script>
Tag im HTML-Code enthalten ist.Wenn sie innerhalb eines JS-Strings reflektiert wird und der letzte Trick nicht funktioniert, müssen Sie den String verlassen, Ihren Code ausführen und den JS-Code rekonstruieren (wenn ein Fehler auftritt, wird er nicht ausgeführt):
'-alert(1)-'
';-alert(1)//
\';alert(1)//
Wenn sie innerhalb von Template-Literalen reflektiert wird, können Sie JS-Ausdrücke einbetten mit der
${ ... }
Syntax:var greetings = `Hello, ${alert(1)}`
Unicode-Encoding funktioniert, um gültigen JavaScript-Code zu schreiben:
Javascript Hoisting
Javascript Hoisting bezieht sich auf die Möglichkeit, Funktionen, Variablen oder Klassen nach ihrer Verwendung zu deklarieren, sodass Sie Szenarien ausnutzen können, in denen ein XSS nicht deklarierte Variablen oder Funktionen verwendet. Überprüfen Sie die folgende Seite für weitere Informationen:
JS HoistingJavascript Funktion
Mehrere Webseiten haben Endpunkte, die den Namen der auszuführenden Funktion als Parameter akzeptieren. Ein häufiges Beispiel, das man in der Wildnis sieht, ist etwas wie: ?callback=callbackFunc
.
Eine gute Möglichkeit herauszufinden, ob etwas, das direkt vom Benutzer gegeben wird, versucht wird auszuführen, ist den Parameterwert zu ändern (zum Beispiel auf 'Vulnerable') und in der Konsole nach Fehlern zu suchen wie:
Falls es anfällig ist, könnten Sie in der Lage sein, einen Alert auszulösen, indem Sie einfach den Wert senden: ?callback=alert(1)
. Es ist jedoch sehr häufig, dass diese Endpunkte den Inhalt validieren, um nur Buchstaben, Zahlen, Punkte und Unterstriche zuzulassen ([\w\._]
).
Dennoch ist es selbst mit dieser Einschränkung möglich, einige Aktionen durchzuführen. Das liegt daran, dass Sie diese gültigen Zeichen verwenden können, um auf jedes Element im DOM zuzugreifen:
Einige nützliche Funktionen dafür:
Du kannst auch versuchen, Javascript-Funktionen direkt auszulösen: obj.sales.delOrders
.
In der Regel sind die Endpunkte, die die angegebene Funktion ausführen, Endpunkte ohne viel interessantes DOM, andere Seiten im gleichen Ursprung haben ein interessanteres DOM, um mehr Aktionen durchzuführen.
Daher wurde zur Ausnutzung dieser Schwachstelle in einem anderen DOM die Same Origin Method Execution (SOME)-Ausnutzung entwickelt:
SOME - Same Origin Method ExecutionDOM
Es gibt JS-Code, der unsicher einige von einem Angreifer kontrollierte Daten wie location.href
verwendet. Ein Angreifer könnte dies ausnutzen, um beliebigen JS-Code auszuführen.
Universelles XSS
Diese Art von XSS kann überall gefunden werden. Sie hängt nicht nur von der Client-Ausnutzung einer Webanwendung ab, sondern von jedem Kontext. Diese Art der beliebigen JavaScript-Ausführung kann sogar ausgenutzt werden, um RCE zu erhalten, beliebige Dateien auf Clients und Servern zu lesen und mehr. Einige Beispiele:
Server Side XSS (Dynamic PDF)Electron Desktop AppsWAF-Bypass-Codierung Bild
In rohem HTML injizieren
Wenn deine Eingabe innerhalb der HTML-Seite widergespiegelt wird oder du HTML-Code in diesem Kontext entkommen und injizieren kannst, ist das erste, was du tun musst, zu überprüfen, ob du <
ausnutzen kannst, um neue Tags zu erstellen: Versuche einfach, dieses Zeichen zu reflektieren und überprüfe, ob es HTML-codiert oder gelöscht wird oder ob es unverändert widergespiegelt wird. Nur im letzten Fall wirst du in der Lage sein, diesen Fall auszunutzen.
Für diese Fälle solltest du auch im Hinterkopf behalten Client Side Template Injection.
Hinweis: Ein HTML-Kommentar kann mit******** -->
oder ****--!>
In diesem Fall und wenn keine Black/Whitelisting verwendet wird, könntest du Payloads wie verwenden:
Aber wenn Tags/Attribute Black-/Whitelisting verwendet wird, müssen Sie brute-forcen, welche Tags Sie erstellen können. Sobald Sie herausgefunden haben, welche Tags erlaubt sind, müssen Sie brute-forcen, welche Attribute/Ereignisse innerhalb der gefundenen gültigen Tags vorhanden sind, um zu sehen, wie Sie den Kontext angreifen können.
Tags/Ereignisse brute-force
Gehen Sie zu https://portswigger.net/web-security/cross-site-scripting/cheat-sheet und klicken Sie auf Tags in die Zwischenablage kopieren. Senden Sie dann alle mit Burp Intruder und überprüfen Sie, ob irgendwelche Tags nicht als bösartig vom WAF entdeckt wurden. Sobald Sie herausgefunden haben, welche Tags Sie verwenden können, können Sie alle Ereignisse brute-forcen mit den gültigen Tags (klicken Sie auf derselben Webseite auf Ereignisse in die Zwischenablage kopieren und folgen Sie dem gleichen Verfahren wie zuvor).
Benutzerdefinierte Tags
Wenn Sie kein gültiges HTML-Tag gefunden haben, können Sie versuchen, ein benutzerdefiniertes Tag zu erstellen und JS-Code mit dem onfocus
-Attribut auszuführen. In der XSS-Anfrage müssen Sie die URL mit #
beenden, um die Seite auf dieses Objekt zu fokussieren und den Code auszuführen:
Blacklist Bypasses
Wenn eine Art von Blacklist verwendet wird, könnten Sie versuchen, sie mit einigen einfachen Tricks zu umgehen:
Length bypass (kleine XSS)
Weitere kleine XSS für verschiedene Umgebungen Payloads sind hier zu finden und hier.
Die letzte Methode verwendet 2 Unicode-Zeichen, die sich auf 5 erweitern: telsr Mehr dieser Zeichen finden Sie hier. Um zu überprüfen, in welche Zeichen zerlegt werden, schauen Sie hier.
Click XSS - Clickjacking
Wenn Sie zur Ausnutzung der Schwachstelle den Benutzer dazu bringen müssen, auf einen Link oder ein Formular mit vorausgefüllten Daten zu klicken, könnten Sie versuchen, Clickjacking auszunutzen (wenn die Seite anfällig ist).
Unmöglich - Dangling Markup
Wenn Sie nur denken, dass es unmöglich ist, ein HTML-Tag mit einem Attribut zu erstellen, um JS-Code auszuführen, sollten Sie Dangling Markup überprüfen, da Sie die Schwachstelle ausnutzen könnten, ohne JS-Code auszuführen.
Injizieren innerhalb eines HTML-Tags
Innerhalb des Tags/Entkommen aus dem Attributwert
Wenn Sie innerhalb eines HTML-Tags sind, ist das Erste, was Sie versuchen könnten, aus dem Tag zu entkommen und einige der in der vorherigen Sektion erwähnten Techniken zu verwenden, um JS-Code auszuführen. Wenn Sie nicht aus dem Tag entkommen können, könnten Sie neue Attribute innerhalb des Tags erstellen, um zu versuchen, JS-Code auszuführen, zum Beispiel mit einem Payload wie (beachten Sie, dass in diesem Beispiel doppelte Anführungszeichen verwendet werden, um aus dem Attribut zu entkommen, Sie benötigen sie nicht, wenn Ihre Eingabe direkt im Tag reflektiert wird):
Stilereignisse
Innerhalb des Attributs
Selbst wenn Sie nicht aus dem Attribut entkommen können ("
wird kodiert oder gelöscht), je nachdem, in welchem Attribut Ihr Wert reflektiert wird ob Sie den gesamten Wert oder nur einen Teil kontrollieren, werden Sie in der Lage sein, es auszunutzen. Zum Beispiel, wenn Sie ein Ereignis wie onclick=
kontrollieren, können Sie es dazu bringen, beliebigen Code auszuführen, wenn es angeklickt wird.
Ein weiteres interessantes Beispiel ist das Attribut href
, wo Sie das javascript:
-Protokoll verwenden können, um beliebigen Code auszuführen: href="javascript:alert(1)"
Umgehung innerhalb des Ereignisses mit HTML-Kodierung/URL-Kodierung
Die HTML-kodierten Zeichen innerhalb des Wertes von HTML-Tag-Attributen werden zur Laufzeit dekodiert. Daher wird etwas wie das Folgende gültig sein (die Payload ist fett): <a id="author" href="http://none" onclick="var tracker='http://foo?
'-alert(1)-'
';">Zurück</a>
Beachten Sie, dass jede Art von HTML-Kodierung gültig ist:
Beachten Sie, dass die URL-Codierung ebenfalls funktioniert:
Umgehung von Innenereignissen mit Unicode-Kodierung
Besondere Protokolle innerhalb des Attributs
Dort können Sie die Protokolle javascript:
oder data:
an einigen Stellen verwenden, um willkürlichen JS-Code auszuführen. Einige erfordern Benutzerinteraktion, andere nicht.
Orte, an denen Sie diese Protokolle injizieren können
Im Allgemeinen kann das javascript:
-Protokoll in jedem Tag verwendet werden, der das Attribut href
akzeptiert und in den meisten der Tags, die das Attribut src
akzeptieren (aber nicht <img>
)
Andere Obfuskationstricks
In diesem Fall ist der HTML-Encoding- und der Unicode-Encoding-Trick aus dem vorherigen Abschnitt ebenfalls gültig, da Sie sich innerhalb eines Attributs befinden.
Außerdem gibt es einen weiteren schönen Trick für diese Fälle: Selbst wenn Ihre Eingabe innerhalb von javascript:...
URL-kodiert ist, wird sie vor der Ausführung URL-dekodiert. Wenn Sie also aus der Zeichenkette mit einem einzelnen Anführungszeichen entkommen müssen und sehen, dass es URL-kodiert ist, denken Sie daran, dass es keine Rolle spielt, es wird während der Ausführungszeit als einzelnes Anführungszeichen interpretiert.
Beachten Sie, dass es nicht funktioniert, wenn Sie beide URLencode + HTMLencode
in beliebiger Reihenfolge verwenden, um die Payload zu kodieren, aber Sie können sie innerhalb der Payload mischen.
Verwendung von Hex- und Oktal-Kodierung mit javascript:
Sie können Hex und Oktal-Kodierung innerhalb des src
-Attributs von iframe
(mindestens) verwenden, um HTML-Tags auszuführen, um JS auszuführen:
Reverse Tab-Nabbing
Wenn Sie eine beliebige URL in ein beliebiges <a href=
Tag einfügen können, das die Attribute target="_blank"
und rel="opener"
enthält, überprüfen Sie die folgende Seite, um dieses Verhalten auszunutzen:
zum Umgehen von Ereignis-Handlern
Überprüfen Sie zunächst diese Seite (https://portswigger.net/web-security/cross-site-scripting/cheat-sheet) auf nützliche "on" Ereignis-Handler. Falls es eine Blacklist gibt, die Sie daran hindert, diese Ereignis-Handler zu erstellen, können Sie die folgenden Umgehungen ausprobieren:
XSS in "Unexploitable tags" (hidden input, link, canonical, meta)
Von hier ist es jetzt möglich, versteckte Eingaben zu missbrauchen mit:
Und in meta-Tags:
Von hier: Sie können eine XSS-Nutzlast in einem versteckten Attribut ausführen, vorausgesetzt, Sie können den Opfer dazu überreden, die Tastenkombination zu drücken. Unter Firefox Windows/Linux ist die Tastenkombination ALT+SHIFT+X und unter OS X ist es CTRL+ALT+X. Sie können eine andere Tastenkombination angeben, indem Sie eine andere Taste im Attribut für den Zugriffsschlüssel verwenden. Hier ist der Vektor:
Die XSS-Nutzlast wird etwa so aussehen: " accesskey="x" onclick="alert(1)" x="
Blacklist-Umgehungen
Mehrere Tricks mit verschiedenen Kodierungen wurden bereits in diesem Abschnitt vorgestellt. Gehe zurück, um zu lernen, wo du verwenden kannst:
HTML-Kodierung (HTML-Tags)
Unicode-Kodierung (kann gültiger JS-Code sein):
\u0061lert(1)
URL-Kodierung
Hex- und Oktal-Kodierung
Datenkodierung
Umgehungen für HTML-Tags und Attribute
Lies die Blacklist-Umgehungen des vorherigen Abschnitts.
Umgehungen für JavaScript-Code
Lies die JavaScript-Umgehungs-Blacklist des folgenden Abschnitts.
CSS-Gadgets
Wenn du ein XSS in einem sehr kleinen Teil des Webs gefunden hast, das eine Art Interaktion erfordert (vielleicht ein kleiner Link im Footer mit einem onmouseover-Element), kannst du versuchen, den Raum, den dieses Element einnimmt, zu modifizieren, um die Wahrscheinlichkeit zu maximieren, dass der Link ausgelöst wird.
Zum Beispiel könntest du einige Stile im Element hinzufügen wie: position: fixed; top: 0; left: 0; width: 100%; height: 100%; background-color: red; opacity: 0.5
Aber, wenn das WAF das Stil-Attribut filtert, kannst du CSS-Styling-Gadgets verwenden, also wenn du zum Beispiel findest
.test {display:block; color: blue; width: 100%}
und
#someid {top: 0; font-family: Tahoma;}
Jetzt kannst du unseren Link modifizieren und in die Form bringen
<a href="" id=someid class=test onclick=alert() a="">
Dieser Trick wurde von https://medium.com/@skavans_/improving-the-impact-of-a-mouse-related-xss-with-styling-and-css-gadgets-b1e5dec2f703 übernommen.
Injektion innerhalb von JavaScript-Code
In diesem Fall wird dein Eingang innerhalb des JS-Codes einer .js
-Datei oder zwischen <script>...</script>
-Tags oder zwischen HTML-Ereignissen, die JS-Code ausführen können, oder zwischen Attributen, die das javascript:
-Protokoll akzeptieren, reflektiert.
Escaping <script>-Tag
Wenn dein Code innerhalb von <script> [...] var input = 'reflected data' [...] </script>
eingefügt wird, könntest du leicht das schließende <script>
-Tag escapen:
Beachten Sie, dass wir in diesem Beispiel nicht einmal das einfache Anführungszeichen geschlossen haben. Dies liegt daran, dass die HTML-Analyse zuerst vom Browser durchgeführt wird, was die Identifizierung von Seitenelementen, einschließlich Skriptblöcken, umfasst. Die Analyse von JavaScript, um die eingebetteten Skripte zu verstehen und auszuführen, erfolgt erst danach.
Innerhalb des JS-Codes
Wenn <>
bereinigt werden, können Sie dennoch den String escapen, wo Ihre Eingabe lokalisiert ist und willkürliches JS ausführen. Es ist wichtig, die JS-Syntax zu korrigieren, da der JS-Code nicht ausgeführt wird, wenn es Fehler gibt:
Template literals ``
Um Strings neben einfachen und doppelten Anführungszeichen zu erstellen, akzeptiert JS auch Backticks ``
. Dies wird als Template-Literale bezeichnet, da sie es ermöglichen, JS-Ausdrücke einzubetten mit der ${ ... }
Syntax.
Daher, wenn Sie feststellen, dass Ihre Eingabe innerhalb eines JS-Strings, der Backticks verwendet, reflektiert wird, können Sie die Syntax ${ ... }
missbrauchen, um willkürlichen JS-Code auszuführen:
Dies kann missbraucht werden mit:
Kodierte Codeausführung
Unicode Encode JS-Ausführung
JavaScript-Umgehung von Blacklist-Techniken
Strings
Spezielle Escapes
Raumersetzungen innerhalb von JS-Code
JavaScript-Kommentare (aus JavaScript-Kommentare Trick)
JavaScript-Zeilenumbrüche (aus JavaScript-Zeilenumbruch Trick)
JavaScript Leerzeichen
Javascript innerhalb eines Kommentars
JavaScript ohne Klammern
Willkürlicher Funktionsaufruf (alert)
DOM-Schwachstellen
Es gibt JS-Code, der unsichere Daten verwendet, die von einem Angreifer kontrolliert werden, wie location.href
. Ein Angreifer könnte dies ausnutzen, um beliebigen JS-Code auszuführen.
Aufgrund der Erweiterung der Erklärung von DOM-Schwachstellen wurde es auf diese Seite verschoben:
Dort finden Sie eine detaillierte Erklärung, was DOM-Schwachstellen sind, wie sie provoziert werden und wie man sie ausnutzt. Vergessen Sie auch nicht, dass am Ende des erwähnten Beitrags eine Erklärung über DOM Clobbering-Angriffe zu finden ist.
Selbst-XSS aufrüsten
Cookie-XSS
Wenn Sie ein XSS auslösen können, indem Sie die Payload in einem Cookie senden, handelt es sich normalerweise um ein Selbst-XSS. Wenn Sie jedoch eine anfällige Subdomain für XSS finden, könnten Sie dieses XSS ausnutzen, um ein Cookie in der gesamten Domain einzufügen und so das Cookie-XSS in der Hauptdomain oder anderen Subdomains (denen, die anfällig für Cookie-XSS sind) auszulösen. Dafür können Sie den Cookie-Tossing-Angriff verwenden:
Cookie TossingSie finden einen großartigen Missbrauch dieser Technik in diesem Blogbeitrag.
Ihre Sitzung an den Administrator senden
Vielleicht kann ein Benutzer sein Profil mit dem Administrator teilen, und wenn das Selbst-XSS im Profil des Benutzers ist und der Administrator darauf zugreift, wird er die Schwachstelle auslösen.
Sitzungs-Spiegelung
Wenn Sie ein Selbst-XSS finden und die Webseite eine Sitzungs-Spiegelung für Administratoren hat, die es beispielsweise den Kunden ermöglicht, um Hilfe zu bitten, wird der Administrator sehen, was Sie in Ihrer Sitzung sehen, aber von seiner Sitzung aus.
Sie könnten den Administrator dazu bringen, Ihr Selbst-XSS auszulösen und seine Cookies/Sitzung stehlen.
Andere Umgehungen
Normalisierte Unicode
Sie könnten überprüfen, ob die reflektierten Werte auf dem Server (oder auf der Client-Seite) unicode-normalisiert werden und diese Funktionalität ausnutzen, um Schutzmaßnahmen zu umgehen. Hier ein Beispiel finden.
PHP FILTER_VALIDATE_EMAIL-Flag-Umgehung
Ruby-On-Rails bypass
Aufgrund der RoR-Massenzuweisung werden Zitate in das HTML eingefügt und dann wird die Zitatbeschränkung umgangen, sodass zusätzliche Felder (onfocus) innerhalb des Tags hinzugefügt werden können. Formularbeispiel (aus diesem Bericht), wenn Sie die Payload senden:
Das Paar "Key","Value" wird wie folgt zurückgegeben:
Dann wird das onfocus-Attribut eingefügt und XSS tritt auf.
Besondere Kombinationen
XSS mit Header-Injection in einer 302-Antwort
Wenn Sie feststellen, dass Sie Header in einer 302-Redirect-Antwort injizieren können, könnten Sie versuchen, den Browser dazu zu bringen, beliebiges JavaScript auszuführen. Dies ist nicht trivial, da moderne Browser den HTTP-Antwortkörper nicht interpretieren, wenn der HTTP-Antwortstatuscode 302 ist, sodass eine Cross-Site-Scripting-Nutzlast nutzlos ist.
In diesem Bericht und diesem hier können Sie lesen, wie Sie mehrere Protokolle im Location-Header testen und sehen, ob eines von ihnen es dem Browser ermöglicht, die XSS-Nutzlast im Körper zu inspizieren und auszuführen.
Frühere bekannte Protokolle: mailto://
, //x:1/
, ws://
, wss://
, leerer Location-Header, resource://
.
Nur Buchstaben, Zahlen und Punkte
Wenn Sie in der Lage sind, den Callback anzugeben, den JavaScript ausführen wird, beschränkt auf diese Zeichen. Lesen Sie diesen Abschnitt dieses Beitrags, um herauszufinden, wie Sie dieses Verhalten ausnutzen können.
Gültige <script>
Content-Types für XSS
<script>
Content-Types für XSS(Von hier) Wenn Sie versuchen, ein Skript mit einem Content-Type wie application/octet-stream
zu laden, wird Chrome den folgenden Fehler ausgeben:
Weigerte sich, das Skript von ‘https://uploader.c.hc.lc/uploads/xxx' auszuführen, da sein MIME-Typ (‘application/octet-stream’) nicht ausführbar ist und die strenge MIME-Typ-Prüfung aktiviert ist.
Die einzigen Content-Types, die Chrome unterstützen, um ein geladenes Skript auszuführen, sind die, die im const kSupportedJavascriptTypes
von https://chromium.googlesource.com/chromium/src.git/+/refs/tags/103.0.5012.1/third_party/blink/common/mime_util/mime_util.cc enthalten sind.
Script-Typen für XSS
(From here) Also, welche Typen könnten angezeigt werden, um ein Skript zu laden?
Modul (Standard, nichts zu erklären)
Webbundle: Web Bundles ist eine Funktion, mit der Sie eine Menge Daten (HTML, CSS, JS…) in einer
.wbn
-Datei bündeln können.
importmap: Ermöglicht die Verbesserung der Import-Syntax
Dieses Verhalten wurde in diesem Bericht verwendet, um eine Bibliothek auf eval umzuleiten, um auszunutzen, dass es XSS auslösen kann.
speculationrules: Diese Funktion dient hauptsächlich dazu, einige Probleme zu lösen, die durch das Vorab-Rendering verursacht werden. Es funktioniert so:
Web-Inhaltstypen für XSS
(From here) Die folgenden Inhaltstypen können XSS in allen Browsern ausführen:
text/html
application/xhtml+xml
application/xml
text/xml
image/svg+xml
text/plain (?? nicht in der Liste, aber ich glaube, ich habe das in einem CTF gesehen)
application/rss+xml (aus)
application/atom+xml (aus)
In anderen Browsern können andere Content-Types
verwendet werden, um beliebiges JS auszuführen, siehe: https://github.com/BlackFan/content-type-research/blob/master/XSS.md
xml Inhaltstyp
Wenn die Seite einen text/xml Inhaltstyp zurückgibt, ist es möglich, einen Namensraum anzugeben und beliebiges JS auszuführen:
Besondere Ersetzungsmuster
Wenn etwas wie "some {{template}} data".replace("{{template}}", <user_input>)
verwendet wird. Der Angreifer könnte besondere Zeichenersetzungen verwenden, um zu versuchen, einige Schutzmaßnahmen zu umgehen: "123 {{template}} 456".replace("{{template}}", JSON.stringify({"name": "$'$`alert(1)//"}))
Zum Beispiel in diesem Bericht wurde dies verwendet, um einen JSON-String innerhalb eines Skripts zu escapen und beliebigen Code auszuführen.
Chrome-Cache zu XSS
Chrome Cache to XSSXS Jails Escape
Wenn Sie nur eine begrenzte Anzahl von Zeichen verwenden können, überprüfen Sie diese anderen gültigen Lösungen für XSJail-Probleme:
Wenn alles undefiniert ist, bevor untrusted code ausgeführt wird (wie in diesem Bericht), ist es möglich, nützliche Objekte "aus dem Nichts" zu generieren, um die Ausführung beliebigen untrusted codes auszunutzen:
Verwendung von import()
Indirektes Zugreifen auf
require
Nach diesem werden Module von Node.js innerhalb einer Funktion eingekapselt, so:
Daher, wenn wir aus diesem Modul eine andere Funktion aufrufen können, ist es möglich, arguments.callee.caller.arguments[1]
aus dieser Funktion zu verwenden, um auf require
zuzugreifen:
Auf ähnliche Weise wie im vorherigen Beispiel ist es möglich, Fehlerbehandler zu verwenden, um auf den Wrapper des Moduls zuzugreifen und die require
-Funktion zu erhalten:
Obfuskation & Fortgeschrittener Bypass
Verschiedene Obfuskationen auf einer Seite: https://aem1k.com/aurebesh.js/
Mehr ausgeklügeltes JSFuck: https://medium.com/@Master_SEC/bypass-uppercase-filters-like-a-pro-xss-advanced-methods-daf7a82673ce
XSS häufige Payloads
Mehrere Payloads in 1
Steal Info JSIframe Falle
Lassen Sie den Benutzer auf der Seite navigieren, ohne ein Iframe zu verlassen, und stehlen Sie seine Aktionen (einschließlich Informationen, die in Formularen gesendet werden):
Iframe TrapsCookies abrufen
Sie werden nicht in der Lage sein, auf die Cookies von JavaScript zuzugreifen, wenn das HTTPOnly-Flag im Cookie gesetzt ist. Aber hier haben Sie einige Möglichkeiten, diesen Schutz zu umgehen, wenn Sie genug Glück haben.
Seiteninhalt stehlen
Interne IPs finden
Port Scanner (fetch)
Port Scanner (websockets)
Kurze Zeiten deuten auf einen antwortenden Port hin Längere Zeiten deuten auf keine Antwort hin.
Überprüfen Sie die Liste der in Chrome hier und in Firefox hier gesperrten Ports.
Box zur Abfrage von Anmeldeinformationen
Auto-fill Passworterfassung
Wenn Daten im Passwortfeld eingegeben werden, werden der Benutzername und das Passwort an den Server des Angreifers gesendet, selbst wenn der Client ein gespeichertes Passwort auswählt und nichts eingibt, werden die Anmeldeinformationen exfiltriert.
Keylogger
Nur durch eine Suche auf GitHub habe ich einige verschiedene gefunden:
Sie können auch metasploit
http_javascript_keylogger
verwenden
Stehlen von CSRF-Token
Stehlen von PostMessage-Nachrichten
Missbrauch von Service Workern
Abusing Service WorkersZugriff auf Shadow DOM
Shadow DOMPolyglots
Blinde XSS-Payloads
Sie können auch verwenden: https://xsshunter.com/
Regex - Zugriff auf versteckte Inhalte
Aus diesem Bericht ist es möglich zu lernen, dass selbst wenn einige Werte aus JS verschwinden, es immer noch möglich ist, sie in JS-Attributen in verschiedenen Objekten zu finden. Zum Beispiel ist es möglich, einen Eingabewert eines REGEX zu finden, nachdem der Wert der Eingabe des regex entfernt wurde:
Brute-Force Liste
XSS Ausnutzung anderer Schwachstellen
XSS in Markdown
Kann Markdown-Code injiziert werden, der gerendert wird? Vielleicht kannst du XSS bekommen! Überprüfe:
XSS in MarkdownXSS zu SSRF
Hast du XSS auf einer Seite, die Caching verwendet? Versuche, das auf SSRF zu aktualisieren durch Edge Side Include Injection mit diesem Payload:
Verwenden Sie es, um Cookie-Einschränkungen, XSS-Filter und vieles mehr zu umgehen! Weitere Informationen zu dieser Technik finden Sie hier: XSLT.
XSS in dynamisch erstellten PDF
Wenn eine Webseite ein PDF mit benutzergesteuerten Eingaben erstellt, können Sie versuchen, den Bot zu täuschen, der das PDF erstellt, um willkürlichen JS-Code auszuführen. Wenn der PDF-Ersteller-Bot eine Art von HTML Tags findet, wird er diese interpretieren, und Sie können dieses Verhalten ausnutzen, um ein Server XSS zu verursachen.
Server Side XSS (Dynamic PDF)Wenn Sie keine HTML-Tags injizieren können, könnte es sich lohnen, zu versuchen, PDF-Daten zu injizieren:
PDF InjectionXSS in Amp4Email
AMP, das darauf abzielt, die Leistung von Webseiten auf mobilen Geräten zu beschleunigen, integriert HTML-Tags, die durch JavaScript ergänzt werden, um die Funktionalität mit einem Schwerpunkt auf Geschwindigkeit und Sicherheit zu gewährleisten. Es unterstützt eine Reihe von Komponenten für verschiedene Funktionen, die über AMP-Komponenten zugänglich sind.
Das AMP für E-Mail Format erweitert bestimmte AMP-Komponenten auf E-Mails, sodass die Empfänger direkt innerhalb ihrer E-Mails mit Inhalten interagieren können.
Beispiel Writeup XSS in Amp4Email in Gmail.
XSS Hochladen von Dateien (svg)
Laden Sie eine Datei wie die folgende als Bild hoch (von http://ghostlulz.com/xss-svg/):
Finde weitere SVG-Payloads in https://github.com/allanlw/svg-cheatsheet
Verschiedene JS-Tricks & relevante Informationen
Misc JS Tricks & Relevant InfoXSS-Ressourcen
Wenn du an einer Hacking-Karriere interessiert bist und das Unhackbare hacken möchtest - wir stellen ein! (fließend Polnisch in Wort und Schrift erforderlich).
Last updated