DVWA之XSS存储型

最新推荐文章于 2023-12-27 08:57:57 发布
最新推荐文章于 2023-12-27 08:57:57 发布
阅读量631 收藏 3
点赞数
文章标签: xss 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ANDTM/article/details/131399764
版权

理论知识

存储型XSS又称持久型XSS,攻击脚本将被永久地存放在目标服务器的数据库或文件中,具有很高的隐蔽性。反射型XSS的被攻击对象一般是攻击者去寻找的,就比如说:一个攻击者想盗取A的账号,那么攻击者就可以将一个含有反射型XSS的特制URL链接发送给A,然后用花言巧语诱骗A点击链接。当A不小心点进去时,就会立即受到XSS攻击。这种攻击方式需要一点骗术,所以这种攻击范围不是特别的广,并且提交漏洞时要么平台不认,要么会被认定为低危漏洞。

存储型XSS可以采用广撒网的方式,就是攻击者将存储型XSS代码写进一些有XSS漏洞的网站上,只要有用户访问这个链接就会自动中招。所以我们可以看出,存储型XSS的危害性更大,范围更广,可以不需要寻找被攻击对象,只要存储型XSS在服务器上就能实施攻击。所以提交的存储型XSS评级一般为中危漏洞。

这种攻击多见于论坛、博客和留言板。攻击者在发帖的过程中,将恶意脚本连同正常信息一起注入帖子的内容中。随着帖子被服务器存储下来,恶意脚本也永久地被存放在服务器的后端数据库中。当其他用户浏览这个被注入了恶意脚本的帖子时,恶意脚本会在他们的浏览器中得到触发。如果我们能够谨慎对待不明链接,那么反射型XSS攻击将没有多大作为,而存储型XSS则不同,由于它注入在一些我们非常信任的页面中,因此无论我们多么小心,都难免会受到攻击。

LOW

先查看源码

 <?php

if( isset( $_POST[ 'btnSign' ] ) ) {
    // Get input
    $message = trim( $_POST[ 'mtxMessage' ] );
    $name    = trim( $_POST[ 'txtName' ] );

    // Sanitize message input
    $message = stripslashes( $message );
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Sanitize name input
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Update database
    $query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    //mysql_close();
}

?>

1.trim(string,charlist)
函数移除字符串两侧的空白字符或其他预定义字符,预定义字符包括、\t、\n、\x0B、\r以及空格,可选参数charlist支持添加额外需要删除的字符。
2.mysql_real_escape_string(string,connection)
函数会对字符串中的特殊符号(\x00,\n,\r,\,‘,“,\x1a)进行转义。
3.stripslashes(string)函数删除字符串中的反斜杠。
可以看到,对输入并没有做XSS方面的过滤与检查,且存储在数据库中,因此这里存在明显的存储型XSS漏洞。

其实LOW级依然没有任何对XSS又影响的过滤,我们用到语句

<script>alert('1')</script>

和之前一样,弹窗成功就说明攻击成功。
在这里插入图片描述
在这里插入图片描述
存储型和反射型最大的不同就是存储型会将这句恶意代码存储到数据库中,每次打开指定页面都会执行,所以我们现在切换到别的页面再切换回来,无需任何操作,依旧会弹窗在这里插入图片描述
在这里插入图片描述

中级

源码

 <?php

if( isset( $_POST[ 'btnSign' ] ) ) {
    // Get input
    $message = trim( $_POST[ 'mtxMessage' ] );
    $name    = trim( $_POST[ 'txtName' ] );

    // Sanitize message input
    $message = strip_tags( addslashes( $message ) );
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $message = htmlspecialchars( $message );

    // Sanitize name input
    $name = str_replace( '<script>', '', $name );
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Update database
    $query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    //mysql_close();
}

?>

strip_tags() // 函数剥去字符串中的HTML、XML以及PHP的标签,但允许使用标签。
addslashes() // 函数返回在预定义字符(单引号、双引号、反斜杠、NULL)之前添加反斜杠的字符串。
htmlspecialchars(string,flags,character-set,double_encode) // 把预定义的字符转换为 HTML 实体。
由于对message参数使用了htmlspecialchars函数进行编码,因此无法再通过message参数注入XSS代码,但是对于name参数,只是简单过滤了

观察可知,该代码只针对message参数进行了彻底的过滤,但对于name参数依然存在XSS漏洞,这里可以用两种方法,一种是抓包改包,一种是双写或者大写绕过。

<s<script>cript>alert('1')</script>

需要注意name参数有长度限制,但这种限制比较蠢,只在页面上限制,并没有在源码上限制,我们我们可以更改限制
先更改限制在这里插入图片描述

在这里插入图片描述

高级

源码

<?php

if( isset( $_POST[ 'btnSign' ] ) ) {
    // Get input
    $message = trim( $_POST[ 'mtxMessage' ] );
    $name    = trim( $_POST[ 'txtName' ] );

    // Sanitize message input
    $message = strip_tags( addslashes( $message ) );
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $message = htmlspecialchars( $message );

    // Sanitize name input
    $name = preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $name );
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Update database
    $query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    //mysql_close();
}

?>

相对于中级,这次name参数对script进行了彻底过滤,我们可以用插入图片的方式进行绕过

<img src=1 onerror=alert(1) />

具体方法同中级

如果采用抓包的方式
在这里插入图片描述
直接更改name参数就可以

纳纳乌
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
xss-dvwa靶场详情
04-06
dvwa靶场中的xss漏洞详情
DVWA-XSS (Stored)-存储XSS
seanyang_的博客
06-12 2207
跨站点脚本 (XSS)”攻击是一种注入问题,其中恶意脚本被注入到原本良性和受信任的网站上。当攻击者使用 Web 应用程序发送恶意代码(通常以浏览器端脚本的形式)时,就会发生 XSS 攻击, 给其他最终用户。允许这些攻击成功的缺陷非常普遍,并且发生在使用输出中用户输入的Web应用程序的任何地方, 无需验证或编码。攻击者可以使用 XSS 向毫无戒心的用户发送恶意脚本。最终用户的浏览器无法知道脚本不应该被信任, 并将执行 JavaScript。
Dvwa存储XSS攻击全级别学习笔记
Mbys_Lettuce的博客
09-19 1940
和好像被过滤掉了,会不会像反射一样,只是过滤了,只要复写或者大小写可以攻击了呢?把写入内容修改成alert(document.cookie)或者alert(document.cookie)
DVWAXSS(stored)存储XSS
RexHa的博客
10-08 1891
dvwa 存储XSS
dvwa———xss(全)
GZY0601的博客
09-28 1633
这个章节我们来讲一下xss攻击XSS 又称CSS(Cross Site Scripting)或跨站脚本攻击,攻击者在网页中插入由JavaScript编写的恶意代码,当用户浏览被嵌入恶意代码的网页时,恶意代码将会在用户的浏览器上执行。xss有三种:反射(Reflected),存储(Stored)和DOM反射xss:只是简单地把用户输入的数据反射给浏览器,简单来说,黑客往往需要用户诱使用户点击一个恶意链接,才能攻击成功。(经后端,不经数据库)存储XSS:将用户输入的数据存储在服务器端。
DVWA------XSS(全)
m0_65712192的博客
12-13 4887
DVWA-----XSS(全)
DVWA--存储XSS(初中高)
firecjh的博客
06-09 501
选择“View Source”查看源程序,发现服务器端对message框内容使用了htmlspecialchars() 函数进行转义,对name框使用str_replace()函数进行替换。选择“View Source”查看源程序,对message参数进行html转义外,还对name参数使用preg_replace()函数进行替换,不能使用常用的绕过方法。2)在界面出现弹框,弹框内容为本人姓名拼音。2)在界面出现弹框,弹框内容为本人姓名拼音。3) 刷新页面,查看是否再次出现弹框,比较与反射XSS的区别。
DVWA下的XSS
07-25
DVWA下的XSS
2020-12-06-DVWA之sql.md
01-24
dvwa之sql
DVWA靶场搭建与使用
09-02
DVWA靶场搭建
dvwa靶场,里面也有xss靶场
09-24
我的连接数据库用户名是root,密码是123456,自己的不一样的话,在DVWA-master\config目录下config.inc.php文件内修改自己的密码。
DVWA通关--存储XSSXSS (Stored))
箭雨镜屋
07-16 6331
LOW 通关步骤 源码分析 MEDIUM 通关步骤 源码分析 HIGH 通关步骤 源码分析 IMPOSSIBLE 源码分析 总结
dvwa_xss_储存
weixin_44110913的博客
12-16 463
文章目录一.xss储存概念二.储存图片演示三.代码分析四.dvwa_储存_演练五.总结 一.xss储存概念 黑客发现个人信息或发表文章,等,处存在xss漏洞(并且是储存在数据库中),可以直接插入js代码。 比如在登陆处写下,下图中的代码,发现弹出了我们写的js代码,则说明存在xss储存漏洞,并且是储存到数据库中的。 当发现以后,我们就可以利用该漏洞,写入恶意js代码,当用户点击时,就会盗...
DVWA靶场存储XSS漏洞实验
weixin_44851588的博客
05-26 4479
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 前言 一、pandas是什么? 二、使用步骤 1.引入库 2.读入数据 总结 前言 来自菜鸟的一次简单分享,本次实验主要结合后台源代码讲解,梳理存储XSS实验的思路,如果存在问题,请各位大佬多多指导。 一、XSS基础 1.什么是XSSXSS(Cross-site scripting)被称为跨站脚本攻击,由于与层叠样式表的缩写一样,因此被缩写为XSS。 2.XSS漏洞...
DVWA靶场中的xss-反射xss存储xss的low、medium、high的详细通关方法
最新发布
qq_59020256的博客
12-27 1236
alert(1)尝试闭合,输入">alert(1)输入">alert(1)输入">alert(1)输入alert(1)输入alert(1)输入alert(1)输入alert(1)
DVWA】9. 存储XSS Stored(High+Impossible)
Zichel77的博客
12-14 366
DVWA靶机中High等级下的反射XSS类似,都用到了preg_replace()函数,它彻底的过滤了,不能绕过,同时针对于message模块,也有相当强大的过滤策略,message不存在存储XSS漏洞。,img调用图片,src所描述路径不存在,会导致onerror执行,从而时alert(1)函数触发,回显1。impossible就相当于给Name字段做了一个修复,和Message加上相同的防护即可。所以修改name字段的长度限制,使用其他标签,比如。该内容包含了PHP代码。
DVWA-XSS(存储)
HoYim
04-11 1176
一.存储XSS 存储XSS攻击原理图: (一)LOW 1.从代码可以看到,没有防御XSS漏洞,只防御了SQL注入漏洞 尝试一般的XSS攻击 在message栏中测试: <⁢script>alert(‘x’)<⁢/script> <⁢body οnlοad=alert(‘xss’)> <⁢a href=http://www.baidu.com&gt...
DVWAXss跨站脚本攻击(存储
AZK707的博客
03-17 1527
目录 存储 一、初级 1)在name框里注入 2)在message框里注入(输入的内容不一致,保持区分) 3)burpsuite抓包修改(输入的内容不一致,保持区分) (抓包是另一种方法,所有的xss都可以用这个方式) 二、中级 1)大写绕过 2)双写绕过ipt>alert(/50zky_mtest_01_2/) 三、高级 换成别发标签,例如图片标签 四、impossible级别 存储 一、初级 1.发现正常输入name时,有长度限...
DVWAXSS初,中,高级通关攻略
2301_77315080的博客
08-30 274
DVWA靶场中的测试。
dvwa靶场xss反射中级
08-12
对于DVWA靶场的XSS反射中级攻击,你可以按照以下步骤进行: 1. 首先,打开DVWA靶场,并登录到应用程序中。 2. 在DVWA的导航栏中,选择"XSS (Reflected)"选项,进入XSS反射攻击页面。 3. 在输入框中尝试输入一些恶意脚本代码,例如`<script>alert('XSS')</script>`。 4. 点击"Submit"按钮或按下回车键,观察页面是否弹出一个警示框,显示"XSS"。 5. 如果警示框成功弹出,说明攻击成功。你可以尝试使用其他的XSS攻击向量和技巧,以进一步提高攻击的成功率。 请注意,在进行任何形式的渗透测试或漏洞利用时,务必遵守法律和道德规范,并获得授权进行测试。仅在合法和授权的环境中使用这些技术。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值