XSS LABS - Level 15 过关思路

2024-08-28 06:44
文章标签 15 level xss labs 思路 过关

本文主要是介绍XSS LABS - Level 15 过关思路,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

关注这个靶场的其他相关笔记:XSS - LABS —— 靶场笔记合集-CSDN博客

0x01:过关流程

进入靶场,老流程,右击查看网页源码,看看有没有接收传参并回显的位置:

可以发现,src 接收的参数被回显了,当然,如果不确定的话,可以自己再传递几个参数测试一下。

我们还注意到了两个特殊的东西,一个是页面引入了 angular.js 的包,一个是回显点前的 ng-include:,这两者肯定是有联系的,说不定和破局有关,后面作者测试了 " 也被过滤了。

AngularJS ng-include 指令的介绍可以参考下面这个链接:

AngularJS ng-include 指令 | 菜鸟教程AngularJS ng-include 指令 AngularJS 参考手册 AngularJS 实例 包含 HTML 文件: <div ng-include=''myFile.htm''></div> 尝试一下 » 定义和用法 ng-include 指令用于包含外部的 HTML 文件。 包含的..icon-default.png?t=N7T8https://www.runoob.com/angularjs/ng-ng-include.html简而言之,AngularJS 里的 ng-include 是用来包含外部的文件的(虽然上面教程说是 HTML 文件,但是图片也是完全可以包含的),且默认情况下,包含的文件需要在同一个域名下(即不能包含其他人的站点资源)。

这里作者试图包含了 level15.png 的图片,如下图所示:

 ?src='level15.png'

既然会回显图片源码,那么我们完全往一张图片内部写入 Payload,然后上传(移动)到靶场上(至于上传点,Level 14 不就是个现成的上传点嘛,不过 Level 14 写了过滤,有点麻烦,需要一些特殊的小工具绕过,这里就不作解释了,下面还是用大家常见的移动法)。

首先是制作一张携带攻击 Payload 的图片,右击图片,使用文本编辑器(记事本)打开,将下面的内容,复制到开头的位置(因为下面的 a 标签没有做闭合,所以 a 标签以后的位置都会被算作是 a 标签内部,更容易触发攻击):

 <!-- XSS Payload --><a href="" onmouseover="alert(1)">

问题解决:为什么 Payload 不使用 <script> 标签包裹?

原文地址:ng-include指令-CSDN博客

简而言之,ng-include 包含文件具有以下特性:

  1. 如果单纯指定地址,必须要加引号。

  2. 加载外部 html,script 标签中的内容不会执行。

  3. 加载外部 html,style 标签样式可以识别。

  4. 加载外部 html,link 标签可以加载。

所以,如果你使用 <script> 标签进行包裹攻击代码,里面的内容是不会执行的。

保存修改后(图片会显示已损坏,这也是不推荐使用上面方式更改的原因),将图片移动到靶场目录下:

然后进入 Level 15 靶场,包含这张图片,然后鼠标划过被包含进来的内容,即可触发 XSS 攻击

 ?src='uploads/8.jpg'

0x02:源码分析

下面是 XSS LABS Level 15 的源码,以及我对其的部分笔记:

 <html ng-app>​<head><meta charset="utf-8"><!-- 这个文件在国内访问太慢了,甚至挂掉,所以我直接当到靶场里了 --><!-- <script src="https://ajax.googleapis.com/ajax/libs/angularjs/1.2.0/angular.min.js"></script> --><script src="./angular_1.2.0.min.js"></script><script>// 修改 alert 默认属性,跳转到下一关window.alert = function() {confirm("完成的不错!");window.location.href = "level16.php?keyword=test";}</script><title>欢迎来到level15</title></head><h1 align=center>欢迎来到第15关,自己想个办法走出去吧!</h1><p align=center><img src=level15.png></p><?phpini_set("display_errors", 0);$str = $_GET["src"];   echo '<body><span class="ng-include:' . htmlspecialchars($str) . '"></span></body>'; // 这边没啥,主要就是考 ng-include 的包含文件的特性?>

0x03:靶场复盘

0x0301:如何往图片中插入内容而不会破坏图片格式?

在上面的过关流程中,我们往图片中插入内容的方式是直接通过文本编辑器的形式,编辑图片文件的,虽然能过关,但是,这种方法不光会损坏图片,而且还很容易就被系统检测出来(连我写的那个 Level 14 都绕不过去):

attacker01.jpg 上传到 Level 14 关卡,直接被过滤了:

那么,如何才能制作一个可以上传的,且能触发 Payload 的无损图片,就成了我们的目标。

我们触发 XSS 攻击的标签是未闭合的 a 标签,因为我们想页面展示的绝大部分内容都被 a 标签包裹,这样触发 a 标签监听事件的概率会比较大。所以,常见的做图片马的方法并不适合这里(目前常见的教程都是将 Payload 插入到图片最末尾)。

那么,在这里,我们就需要借助专业的工具,“二进制编辑器” 了,下面我使用的工具叫作 “010Editor”(教程后面会专门出一期,当然工具包也会上传)。

我们直接将准备好的图片,拖入工具中,如下图所示,可以看到,图片是以二进制格式展示的:

图片上面几行都是不能更改的(是用来识别这个图片信息的),我们改的内容应该是图片像素点的位置,至于,怎么找,很简单,你找个位置,随便插入个内容,然后点击保存,看看图片裂不裂开,如果还是原图,那么就没啥,就从这里插就好了:

如上图,找一个好位置,尽量确保不会损坏图片的展示效果即可。

然后将携带 Payload 的内容,通过 Level 14 关卡上传:

上传后的图片,统一是放在 uploads/ 目录下的,所以在 Level 15 中应该这么包含:

 <!-- original.jpg 是携带 Payload 的图片文件 -->?src='uploads/original.jpg'

这篇关于XSS LABS - Level 15 过关思路的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1114022

相关文章

Ilya-AI分享的他在OpenAI学习到的15个提示工程技巧

Ilya(不是本人,claude AI)在社交媒体上分享了他在OpenAI学习到的15个Prompt撰写技巧。 以下是详细的内容: 提示精确化:在编写提示时,力求表达清晰准确。清楚地阐述任务需求和概念定义至关重要。例:不用"分析文本",而用"判断这段话的情感倾向:积极、消极还是中性"。 快速迭代:善于快速连续调整提示。熟练的提示工程师能够灵活地进行多轮优化。例:从"总结文章"到"用

这15个Vue指令,让你的项目开发爽到爆

1. V-Hotkey 仓库地址: github.com/Dafrok/v-ho… Demo: 戳这里 https://dafrok.github.io/v-hotkey 安装: npm install --save v-hotkey 这个指令可以给组件绑定一个或多个快捷键。你想要通过按下 Escape 键后隐藏某个组件,按住 Control 和回车键再显示它吗?小菜一碟: <template

透彻!驯服大型语言模型(LLMs)的五种方法,及具体方法选择思路

引言 随着时间的发展,大型语言模型不再停留在演示阶段而是逐步面向生产系统的应用,随着人们期望的不断增加,目标也发生了巨大的变化。在短短的几个月的时间里,人们对大模型的认识已经从对其zero-shot能力感到惊讶,转变为考虑改进模型质量、提高模型可用性。 「大语言模型(LLMs)其实就是利用高容量的模型架构(例如Transformer)对海量的、多种多样的数据分布进行建模得到,它包含了大量的先验

三相直流无刷电机(BLDC)控制算法实现:BLDC有感启动算法思路分析

一枚从事路径规划算法、运动控制算法、BLDC/FOC电机控制算法、工控、物联网工程师,爱吃土豆。如有需要技术交流或者需要方案帮助、需求:以下为联系方式—V 方案1:通过霍尔传感器IO中断触发换相 1.1 整体执行思路 霍尔传感器U、V、W三相通过IO+EXIT中断的方式进行霍尔传感器数据的读取。将IO口配置为上升沿+下降沿中断触发的方式。当霍尔传感器信号发生发生信号的变化就会触发中断在中断

Jenkins 插件 地址证书报错问题解决思路

问题提示摘要: SunCertPathBuilderException: unable to find valid certification path to requested target...... 网上很多的解决方式是更新站点的地址,我这里修改了一个日本的地址(清华镜像也好),其实发现是解决不了上述的报错问题的,其实,最终拉去插件的时候,会提示证书的问题,几经周折找到了其中一遍博文

Adblock Plus官方规则Easylist China说明与反馈贴(2015.12.15)

-------------------------------特别说明--------------------------------------- 视频广告问题:因Adblock Plus的局限,存在以下现象,优酷、搜狐、17173黑屏并倒数;乐视、爱奇艺播放广告。因为这些视频网站的Flash播放器被植入了检测代码,而Adblock Plus无法修改播放器。 如需同时使用ads

文章解读与仿真程序复现思路——电力自动化设备EI\CSCD\北大核心《考虑燃料电池和电解槽虚拟惯量支撑的电力系统优化调度方法》

本专栏栏目提供文章与程序复现思路,具体已有的论文与论文源程序可翻阅本博主免费的专栏栏目《论文与完整程序》 论文与完整源程序_电网论文源程序的博客-CSDN博客https://blog.csdn.net/liang674027206/category_12531414.html 电网论文源程序-CSDN博客电网论文源程序擅长文章解读,论文与完整源程序,等方面的知识,电网论文源程序关注python

如何打造个性化大学生线上聊天交友系统?Java SpringBoot Vue教程,2025最新设计思路

✍✍计算机编程指导师 ⭐⭐个人介绍:自己非常喜欢研究技术问题!专业做Java、Python、微信小程序、安卓、大数据、爬虫、Golang、大屏等实战项目。 ⛽⛽实战项目:有源码或者技术上的问题欢迎在评论区一起讨论交流! ⚡⚡ Java实战 | SpringBoot/SSM Python实战项目 | Django 微信小程序/安卓实战项目 大数据实战项目 ⚡⚡文末获取源码 文章目录

15 组件的切换和对组件的data的使用

划重点 a 标签的使用事件修饰符组件的定义组件的切换:登录 / 注册 泡椒鱼头 :微辣 <!DOCTYPE html><html lang="en"><head><meta charset="UTF-8"><meta name="viewport" content="width=device-width, initial-scale=1.0"><meta http-equiv="X-UA-

【CTF Web】BUUCTF Upload-Labs-Linux Pass-13 Writeup(文件上传+PHP+文件包含漏洞+PNG图片马)

Upload-Labs-Linux 1 点击部署靶机。 简介 upload-labs是一个使用php语言编写的,专门收集渗透测试和CTF中遇到的各种上传漏洞的靶场。旨在帮助大家对上传漏洞有一个全面的了解。目前一共20关,每一关都包含着不同上传方式。 注意 1.每一关没有固定的通关方法,大家不要自限思维! 2.本项目提供的writeup只是起一个参考作用,希望大家可以分享出自己的通关思路