XSS LABS - Level 15 过关思路

news2024/12/26 22:52:39

关注这个靶场的其他相关笔记:XSS - LABS —— 靶场笔记合集-CSDN博客

0x01:过关流程

进入靶场,老流程,右击查看网页源码,看看有没有接收传参并回显的位置:

可以发现,src 接收的参数被回显了,当然,如果不确定的话,可以自己再传递几个参数测试一下。

我们还注意到了两个特殊的东西,一个是页面引入了 angular.js 的包,一个是回显点前的 ng-include:,这两者肯定是有联系的,说不定和破局有关,后面作者测试了 " 也被过滤了。

AngularJS ng-include 指令的介绍可以参考下面这个链接:

AngularJS ng-include 指令 | 菜鸟教程AngularJS ng-include 指令 AngularJS 参考手册 AngularJS 实例 包含 HTML 文件: <div ng-include=''myFile.htm''></div> 尝试一下 » 定义和用法 ng-include 指令用于包含外部的 HTML 文件。 包含的..icon-default.png?t=N7T8https://www.runoob.com/angularjs/ng-ng-include.html简而言之,AngularJS 里的 ng-include 是用来包含外部的文件的(虽然上面教程说是 HTML 文件,但是图片也是完全可以包含的),且默认情况下,包含的文件需要在同一个域名下(即不能包含其他人的站点资源)。

这里作者试图包含了 level15.png 的图片,如下图所示:

 ?src='level15.png'

既然会回显图片源码,那么我们完全往一张图片内部写入 Payload,然后上传(移动)到靶场上(至于上传点,Level 14 不就是个现成的上传点嘛,不过 Level 14 写了过滤,有点麻烦,需要一些特殊的小工具绕过,这里就不作解释了,下面还是用大家常见的移动法)。

首先是制作一张携带攻击 Payload 的图片,右击图片,使用文本编辑器(记事本)打开,将下面的内容,复制到开头的位置(因为下面的 a 标签没有做闭合,所以 a 标签以后的位置都会被算作是 a 标签内部,更容易触发攻击):

 <!-- XSS Payload -->
 <a href="" onmouseover="alert(1)">

问题解决:为什么 Payload 不使用 <script> 标签包裹?

原文地址:ng-include指令-CSDN博客

简而言之,ng-include 包含文件具有以下特性:

  1. 如果单纯指定地址,必须要加引号。

  2. 加载外部 html,script 标签中的内容不会执行。

  3. 加载外部 html,style 标签样式可以识别。

  4. 加载外部 html,link 标签可以加载。

所以,如果你使用 <script> 标签进行包裹攻击代码,里面的内容是不会执行的。

保存修改后(图片会显示已损坏,这也是不推荐使用上面方式更改的原因),将图片移动到靶场目录下:

然后进入 Level 15 靶场,包含这张图片,然后鼠标划过被包含进来的内容,即可触发 XSS 攻击

 ?src='uploads/8.jpg'

0x02:源码分析

下面是 XSS LABS Level 15 的源码,以及我对其的部分笔记:

 <html ng-app>
 ​
 <head>
         <meta charset="utf-8">
         <!-- 这个文件在国内访问太慢了,甚至挂掉,所以我直接当到靶场里了 -->
         <!-- <script src="https://ajax.googleapis.com/ajax/libs/angularjs/1.2.0/angular.min.js"></script> -->
         <script src="./angular_1.2.0.min.js"></script>
         <script>
                 // 修改 alert 默认属性,跳转到下一关
                 window.alert = function() {
                         confirm("完成的不错!");
                         window.location.href = "level16.php?keyword=test";
                 }
         </script>
         <title>欢迎来到level15</title>
 </head>
 <h1 align=center>欢迎来到第15关,自己想个办法走出去吧!</h1>
 <p align=center><img src=level15.png></p>
 <?php
 ini_set("display_errors", 0);
 $str = $_GET["src"];   
 echo '<body><span class="ng-include:' . htmlspecialchars($str) . '"></span></body>'; // 这边没啥,主要就是考 ng-include 的包含文件的特性
 ?>

0x03:靶场复盘

0x0301:如何往图片中插入内容而不会破坏图片格式?

在上面的过关流程中,我们往图片中插入内容的方式是直接通过文本编辑器的形式,编辑图片文件的,虽然能过关,但是,这种方法不光会损坏图片,而且还很容易就被系统检测出来(连我写的那个 Level 14 都绕不过去):

attacker01.jpg 上传到 Level 14 关卡,直接被过滤了:

那么,如何才能制作一个可以上传的,且能触发 Payload 的无损图片,就成了我们的目标。

我们触发 XSS 攻击的标签是未闭合的 a 标签,因为我们想页面展示的绝大部分内容都被 a 标签包裹,这样触发 a 标签监听事件的概率会比较大。所以,常见的做图片马的方法并不适合这里(目前常见的教程都是将 Payload 插入到图片最末尾)。

那么,在这里,我们就需要借助专业的工具,“二进制编辑器” 了,下面我使用的工具叫作 “010Editor”(教程后面会专门出一期,当然工具包也会上传)。

我们直接将准备好的图片,拖入工具中,如下图所示,可以看到,图片是以二进制格式展示的:

图片上面几行都是不能更改的(是用来识别这个图片信息的),我们改的内容应该是图片像素点的位置,至于,怎么找,很简单,你找个位置,随便插入个内容,然后点击保存,看看图片裂不裂开,如果还是原图,那么就没啥,就从这里插就好了:

如上图,找一个好位置,尽量确保不会损坏图片的展示效果即可。

然后将携带 Payload 的内容,通过 Level 14 关卡上传:

上传后的图片,统一是放在 uploads/ 目录下的,所以在 Level 15 中应该这么包含:

 <!-- original.jpg 是携带 Payload 的图片文件 -->
 ?src='uploads/original.jpg'

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2081033.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

探索未来交互——Open LLM VTuber:一款基于AI大模型的二次元虚拟主播

随着人工智能技术的飞速发展,虚拟主播(VTuber)行业迎来了全新的变革。本文将介绍一个令人兴奋的开源项目——Open LLM VTuber,这是一个本地运行的、可高度定制的虚拟主播平台,它不仅支持多种语言模型(LLM)、自动语音识别(ASR)和文本转语音(TTS)后端,而且能够跨操作…

SingleChildScrollView使用

Flutter 中&#xff0c;SingleChildScrollView&#xff08;类比Android中的ScrollView&#xff09; 是一个可以滚动单个子控件的小部件。当子控件的大小超过视图时&#xff0c;用户可以滚动以查看所有内容。SingleChildScrollView 通常用于创建可滚动的表单、列表或任何需要垂直…

使用C++和PCL创建模拟点云

【版权声明】本文为博主原创文章&#xff0c;未经博主允许严禁转载&#xff0c;我们会定期进行侵权检索。 参考书籍&#xff1a;《人工智能点云处理及深度学习算法》 本文为专栏《Python三维点云实战宝典》系列文章&#xff0c;专栏介绍地址“【python三维深度学习】python…

深入解析 ASP.NET 的 ViewState 反序列化漏洞

1. ViewState 基本知识 1.1 什么是 ViewState ViewState 是 ASP.NET&#xff08;Active Server Pages .NET&#xff09;框架用来保持页面状态的一种机制。ASP.NET 是微软开发的用于动态网页服务器端开发的框架&#xff0c;ViewState 是其中用于维护和管理页面状态的一部分。…

netty编程之结合springboot一起使用

写在前面 源码 。 本文看下netty结合springboot如何使用。 1&#xff1a;netty server部分 server类&#xff08;不要main&#xff0c;后续通过springboot来启动咯!&#xff09;&#xff1a; package com.dahuyou.netty.springboot.server;import io.netty.bootstrap.Serve…

设置视图的宽高

AndroidManifest.xml <?xml version"1.0" encoding"utf-8"?> <manifest xmlns:android"http://schemas.android.com/apk/res/android"><applicationandroid:allowBackup"true"android:icon"mipmap/ic_launcher…

JS 实现栈和队列

JS实现栈和队列 栈是先进后出 function Stack() {this.arr [];// push方法是把数据放入栈中this.push function (value) {this.arr.push(value);}// pop 是取数组的最后一个数据&#xff0c;从而实现先进后出this.pop function () {this.arr.pop();} }var stack new Stac…

Spring如何既返回实体同时下载文件

业务背景&#xff1a;下载文件的接口需要返回文件信息或者密码等信息&#xff0c;这时候就需要接口返回文件及相关实体信息&#xff1b; 在Spring中&#xff0c;如果你需要在同一个请求中既下载文件也返回一个实体信息&#xff0c;你需要特别注意HTTP协议本身并不直接支持这种操…

Matplotlib 详解

1. 基本概念和历史背景 Matplotlib核心概念详解 Matplotlib 是 Python 中最流行的数据可视化库之一&#xff0c;它提供了一系列强大且灵活的工具&#xff0c;用于创建各种类型的图表和图形。无论你是数据科学家、工程师还是研究人员&#xff0c;理解 Matplotlib 的核心概念都…

机加工行业MES系统的特点及优势

一、机加工行业MES系统的特点 机加工行业MES系统作为面向制造企业车间执行层的生产信息化管理系统&#xff0c;具有以下几个显著特点&#xff1a; 高度定制化&#xff1a;由于不同机加工企业的生产流程和业务需求千差万别&#xff0c;MES系统的搭建需要高度定制化&#xff0c;…

93.WEB渗透测试-信息收集-Google语法(7)

免责声明&#xff1a;内容仅供学习参考&#xff0c;请合法利用知识&#xff0c;禁止进行违法犯罪活动&#xff01; 内容参考于&#xff1a; 易锦网校会员专享课 上一个内容&#xff1a;92.WEB渗透测试-信息收集-Google语法&#xff08;6&#xff09; • intext • intext 的作…

Java 使用 POI 导出Excel,实现横向和纵向的合并单元格

在使用Apache POI的库生成Excel的时候&#xff0c;有时候需要在导出的文件中合并单元格&#xff0c;比如对excel文件形成统一的标题栏&#xff0c;改如何写这个代码呢&#xff1f;下面是一个示例代码&#xff0c;演示如何横向和纵向合并单元格。 代码 import org.apache.poi.s…

Java新手零基础教程!(●‘◡‘●)运算符类型讲解

Java 算术运算符 Java教程 - Java算术运算符 在数学表达式中使用算术运算符。 所有算术运算符 下表列出了算术运算符: 运算符结果加法-减法*乘法/除法%余数自增加法分配-减法分配*乘法分配/除法分配%模量分配--自减 算术运算符的操作数必须是数字类型。您不能在 boolean 类…

55.基于IIC协议的EEPROM驱动控制(2)

升腾A7pro的EEPROM芯片为24C64芯片&#xff0c;器件地址为1010_011。 &#xff08;1&#xff09;Visio整体设计视图&#xff08;IIC_SCL为250KHz&#xff0c;IIC_CLK为1MHz&#xff0c;addr_num为1&#xff0c;地址字节数为2字节&#xff0c;addr_num为0&#xff0c;地址字节数…

Windows Docker 部署 SolrCloud

一、简介 Solr 集群是一个基于 Lucene 的高性能全文搜索服务器集群&#xff0c;它通过集成 ZooKeeper 来实现分布式索引和搜索功能。Solr 集群具备以下特点&#xff1a; 分布式索引与搜索&#xff1a;Solr 能够将大索引分成多个小索引&#xff0c;分布在多个节点上&#xff0…

网络安全实训六(靶机实例DC-3)

1 信息收集 1.1 获取靶机IP 1.2 扫描靶机网站的目录 1.3 扫描端口和服务器信息 1.4 进入网站 1.5 在msf中给搜索joomla扫描器 1.6 设置参数查看joomla版本信息 1.7 按照版本号搜索漏洞 1.8 查看漏洞使用 2 渗透 2.1 查看是否存在SQL注入 2.2 获取到数据库信息 2.3 爆破列表 2…

Datawhale AI夏令营第五期学习!

学习日志 日期&#xff1a; 2024年8月27日 今日学习内容&#xff1a; 今天&#xff0c;我学习了如何在深度学习任务中使用卷积神经网络&#xff08;CNN&#xff09;进行图像分类的基本流程&#xff0c;并成功地在JupyterLab中运行了一个完整的项目。以下是我今天的学习和操作…

【html+css 绚丽Loading】000021 万象轮回珠

前言&#xff1a;哈喽&#xff0c;大家好&#xff0c;今天给大家分享htmlcss 绚丽Loading&#xff01;并提供具体代码帮助大家深入理解&#xff0c;彻底掌握&#xff01;创作不易&#xff0c;如果能帮助到大家或者给大家一些灵感和启发&#xff0c;欢迎收藏关注哦 &#x1f495…

使用C#进行屏幕截图(screenCapturer)

1.具体是应用了Nuget包 ScreenCapturer 2.编写相关核心代码&#xff0c;实现截取电脑部分区域图片 ScreenCapturer.ScreenCapturerTool screenCapturer new(); if (screenCapturer.ShowDialog() DialogResult.OK) {Bitmap bmp (Bitmap)screenCapturer.Image;pictureBox1.Ba…

【不合理的递归区间】快排递归引发区间错误,除以0未定义

问题描述 力扣语法报错&#xff1a;含义是有可能会除以0&#xff0c;该行为未定义&#xff0c;但问题是我这里压根就没用到除法。 #include<stdlib.h> #include<time.h>class Solution { public:vector<int> sortArray(vector<int>& nums) {sra…