目录
本系列为通过《pikachu靶场通关笔记》的XSS关卡(共10关)渗透集合,通过对XSS关卡源码的代码审计找到安全风险的真实原因,讲解XSS的原理并进行渗透实践,本文为XSS09关卡XSS之href输出的渗透部分。
一、href
href(Hypertext Reference)是 HTML 中用于定义超链接目标地址的核心属性,常见于 <a>、<link> 和 <area> 标签。href 属性的值可以是任何有效文档的相对或绝对 URL,包括片段标识符和 JavaScript 代码段。
<a>标签的 href 属性是 HTML 中用于创建超链接的关键属性,它定义了链接的目标地址,用于指定超链接目标的 URL。如果用户选择了<a>标签中的内容,那么浏览器会尝试检索并显示 href 属性指定的 URL 所表示的文档,或者执行 JavaScript 表达式、方法和函数的列表。
1、常见取值类型
其值可以是 URL(如 https://example.com)、锚点(如 #section)或 协议链接(如 mailto:、tel:)具体如下所示。
绝对 URL:指向完整的网页地址,如
https://www.example.com。这是最常见的用法,用于链接到其他网站。- 相对 URL:相对于当前页面的路径,如
page2.html或../subfolder/page3.html。常用于链接到同一网站内的其他页面。 - 电子邮件地址:使用
mailto:前缀,如mailto:info@example.com。点击链接时会打开默认的邮件客户端,创建一封新邮件。 - 锚点:指向当前页面或其他页面中的特定位置,如
#section2。常用于创建页面内的导航链接。
2、使用示例
<a href="https://www.example.com">访问示例网站</a>
<a href="mailto:info@example.com">发送邮件</a>
<a href="#section2">跳转到页面内的特定位置</a>3、安全风险
通过合理使用 <a> 标签的 href 属性,可以为用户提供便捷的导航和交互体验。但若未过滤用户输入,攻击者可注入 javascript: 伪协议(如 javascript:alert(1))或恶意 data: URI,触发 XSS 攻击。
二、源码分析
1、进入靶场
打开pikachu靶场第09关XSS之href,完整URL地址如下所示,这是一个输入框页面,如下所示。
http://127.0.0.1/pikachu/vul/xss/xss_03.php
2、代码审计
查看xss_03.php源码内容,如下所示使用htmlspecialchars函数且参数为ENT_QUOTES对输入参数进行了过滤处理,这说明没法用上一个关卡的单引号进行XSS渗透了,具体如下所示。
这段 PHP 代码的主要功能是处理用户通过 GET 请求提交的 message 参数。尽管代码使用了 htmlspecialchars 函数并指定 ENT_QUOTES 对用户输入进行处理,但仍然存在 XSS安全风险,主要原因如下:
- 协议限制缺失:代码没有对用户输入的 URL 协议进行严格限制,攻击者可以使用
javascript:协议来注入恶意脚本。即使使用htmlspecialchars对特殊字符进行了编码,javascript:协议本身并不会被阻止,仍然可以触发 XSS 攻击。 - 仅依赖字符编码:仅仅依靠
htmlspecialchars进行字符编码是不够的。对于 URL 输入,需要额外的验证和过滤机制来确保其安全性,防止恶意协议的使用。
对源码进行详细注释,具体如下所示。
<?php
// 检查 $_GET 数组中是否存在名为 'submit' 的元素
// 这一步用于判断用户是否通过 GET 请求提交了表单,只有提交了表单才会进入后续逻辑
if (isset($_GET['submit'])) {
// 检查 $_GET 数组中名为 'message' 的元素是否为空
if (empty($_GET['message'])) {
// 如果 'message' 为空,向 $html 变量中追加一段提示信息
// 提示用户应该输入一个 URL
$html .= "<p class='notice'>叫你输入个url,你咋不听?</p>";
}
// 检查用户输入的 'message' 是否等于 'www.baidu.com'
if ($_GET['message'] == 'www.baidu.com') {
// 如果等于 'www.baidu.com',向 $html 变量中追加一段提示信息
$html .= "<p class='notice'>我靠,我真想不到你是这样的一个人</p>";
} else {
// 输出在 a 标签的 href 属性里面, 这里注释提示可以使用 javascript 协议来执行 js
// 并给出防御建议:只允许 http 和 https 协议,其次再进行 htmlspecialchars 处理
// 使用 htmlspecialchars 函数对用户输入的 'message' 进行处理
// ENT_QUOTES 标志表示同时对单引号和双引号进行转换
// 这样可以将特殊字符转换为 HTML 实体,避免一些 XSS 攻击
$message = htmlspecialchars($_GET['message'], ENT_QUOTES);
// 向 $html 变量中追加一个超链接元素
// 超链接的 href 属性使用处理后的 $message 变量,文本提示用户点击自己输入的 URL
$html .= "<a href='{$message}'> 阁下自己输入的 url 还请自己点一下吧</a>";
}
}
?>3、渗透思路
虽然代码使用了 htmlspecialchars 函数对用户输入进行处理,但仍然有XSS安全风险,攻击者可以通过使用 javascript: 协议来对该XSS安全风险进行攻击。攻击者可以输入 javascript:alert('XSS') 作为 message 参数的值。当用户点击生成的超链接时,浏览器会执行 javascript: 协议后面的代码,弹出一个包含 XSS 的警告框。
三、渗透实战
1、注入payload1
输入注入语句javascript:alert(1019),如下所示弹框“1019”,渗透成功。
2、注入payload2
输入注入语句javascript:alert("ljn"),如下所示弹框“ljn”,渗透成功。
3、注入payload3
输入注入语句javascript:alert('ljn'),如下所示弹框“ljn”,渗透成功。
