【DVWA1.10】Stored Cross Site Scripting (XSS)通关笔记

最新推荐文章于 2024-11-04 14:35:43 发布
最新推荐文章于 2024-11-04 14:35:43 发布
阅读量173 收藏
点赞数
分类专栏: dvwa1.10 文章标签: php 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/EC_Carrot/article/details/112006857
版权
这篇博客详细分析了四个不同安全级别的PHP代码,展示了如何逐步加强XSS攻击的防御措施。从简单的trim和mysqli_real_escape_string,到结合strip_tags、htmlspecialchars和preg_replace的过滤,再到加入CSRF令牌和PDO预处理语句。文章还提供了反射型XSS和存储型XSS的注入payload示例,并强调了在实际应用中确保全面防御的重要性。
摘要由CSDN通过智能技术生成

难度

Security Level: low

<?php 

if( isset( $_POST[ 'btnSign' ] ) ) { 
    // Get input 
    $message = trim( $_POST[ 'mtxMessage' ] ); 
    $name    = trim( $_POST[ 'txtName' ] ); 

    // Sanitize message input 
    $message = stripslashes( $message ); 
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : "")); 

    // Sanitize name input 
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : "")); 

    // Update database 
    $query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );"; 
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    //mysql_close(); 
} 

?>

先来看看这些函数
在这里插入图片描述
在这里插入图片描述
简单来说trim是去空,stripslashes删除由 addslashes() 函数添加的反斜杠
稍微审计,除了mysqli_real_escape_string函数对传入的字符串进行过滤,其余都没有处理,尝试直接在message处注入XSS

<script>alert(/xss/)</script>

在这里插入图片描述

Security Level: medium

<?php 

if( isset( $_POST[ 'btnSign' ] ) ) { 
    // Get input 
    $message = trim( $_POST[ 'mtxMessage' ] ); 
    $name    = trim( $_POST[ 'txtName' ] ); 

    // Sanitize message input 
    $message = strip_tags( addslashes( $message ) ); 
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : "")); 
    $message = htmlspecialchars( $message ); 

    // Sanitize name input 
    $name = str_replace( '<script>', '', $name ); 
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : "")); 

    // Update database 
    $query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );"; 
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    //mysql_close(); 
} 

?>

先看看这些函数
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
传入的message都给这些函数过滤了一遍,防御性能可谓是极强,但是name缺仅仅给了个<script>转成空,我们可以从name参数下手
但首先我们需要把maxlength改一下,html限制了最大字符数
源码:

<input name="txtName" type="text" size="30" maxlength="10">

我们可以删除该属性或者将该数值改大

<input name="txtName" type="text" size="30" maxlength="999">

然后在name处注入XSS

<sc<script>ript>alert("1");</script>

成功注入,图片就不放了,跟上图一样

Security Level: high

<?php 

if( isset( $_POST[ 'btnSign' ] ) ) { 
    // Get input 
    $message = trim( $_POST[ 'mtxMessage' ] ); 
    $name    = trim( $_POST[ 'txtName' ] ); 

    // Sanitize message input 
    $message = strip_tags( addslashes( $message ) ); 
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : "")); 
    $message = htmlspecialchars( $message ); 

    // Sanitize name input 
    $name = preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $name ); 
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : "")); 

    // Update database 
    $query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );"; 
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    //mysql_close(); 
} 

?>

可以看到与上一个难度的区别就在于将过滤换成了正则,顺便附上反射型注入文章的链接,这里直接写payload不再赘述:https://blog.csdn.net/EC_Carrot/article/details/112004742
在name处注入XSS:

<img src=1 onerror=alert(/xss/)>

成功注入

Security Level: impossible

<?php 

if( isset( $_POST[ 'btnSign' ] ) ) { 
    // Check Anti-CSRF token 
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' ); 

    // Get input 
    $message = trim( $_POST[ 'mtxMessage' ] ); 
    $name    = trim( $_POST[ 'txtName' ] ); 

    // Sanitize message input 
    $message = stripslashes( $message ); 
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : "")); 
    $message = htmlspecialchars( $message ); 

    // Sanitize name input 
    $name = stripslashes( $name ); 
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : "")); 
    $name = htmlspecialchars( $name ); 

    // Update database 
    $data = $db->prepare( 'INSERT INTO guestbook ( comment, name ) VALUES ( :message, :name );' ); 
    $data->bindParam( ':message', $message, PDO::PARAM_STR ); 
    $data->bindParam( ':name', $name, PDO::PARAM_STR ); 
    $data->execute(); 
} 

// Generate Anti-CSRF token 
generateSessionToken(); 

?>

可以看到impossible难度里面,message的过滤强度同样照应在了name上。
存储型注入许多地方与反射型无异,如果有看不懂或者不会的地方,不妨看看我的反射型文章:https://blog.csdn.net/EC_Carrot/article/details/112004742

小 白 萝 卜
关注
专栏目录
DVWA关卡10:DOM Based Cross Site Scripting (XSS)(DOM型XSS
m0_54899775的博客
12-08 1245
DVWA关卡10:DOM Based Cross Site Scripting (XSS)(DOM型XSS
Stored Cross Site Scripting (XSS)
angry_program的博客
02-10 1370
前言 存储型XSS, 即Stored Cross Site Scripting (XSS), 也可以称为持久性的XSS, 顾名思义就是恶意代码存储在服务器或者数据库中, 恶意代码一般伴随着用户的评论发表、个人信息或者文章发表的地方, 如果没有过滤或者过滤不严格, 这些代码将会被存储在服务器中, 每当用户访问的时候, 恶意代码都会被触发, 造成大量cookie泄露, 甚至蠕虫。 下面对四种...
DVWA-XSS(Stored)
weixin_44866139的博客
02-01 635
Low 直接输入 1、查看服务器端源代码 <?php if( isset( $_POST[ 'btnSign' ] ) ) { // Get input $message = trim( $_POST[ 'mtxMessage' ] ); $name = trim( $_POST[ 'txtName' ] ); // Sanitize message...
Cross-Site ScriptingXSS)简介
weixin_30784945的博客
07-13 321
  最近才开始研究HTML以及安全问题。如果有什么说得不对的地方,望请指出。   在网络应用安全中,XSS可能是最常见,范围最大,所包含攻击方法最多,同时也是最难以理解的一种攻击。在OWASP所列出的十大网络应用安全风险中,其排名第二位,仅次于SQL Injection。   而在本篇文章中,我们将一步一步深入挖掘XSS的攻击流程,攻击手段,以及防御方法等各个方面。 XSS示...
DVWA之Stored Cross Site Scripting (XSS)(小白适宜)
chtdgf的博客
02-19 328
DVWA之 Stored Cross Site Scripting (XSS) 1.LOW级别
DVWA 之 Stored Cross Site Scripting (XSS)
baynk的博客
10-29 1627
汇总链接: https://baynk.blog.csdn.net/article/details/100006641 ------------------------------------------------------------------分割线------------------------------------------------------------------ 存储型x...
DVWA-Stored Cross Site Scripting (存储型XSS)
Cwillchris的博客
10-29 272
实验环境: DVWA靶机:172.16.12.10 靶场用户名:admin 密码:123 windos攻击机:172.16.12.7 kali攻击机:172.16.12.30 实验步骤: 击者事先将恶意代码上传或储存到漏洞服务器中,只要受害者浏览包含此恶意代码的页面就会执行恶意代码。这就意味着只要访问了这个页面的访客,都有可能会执行这段恶意脚本,因此储存型XSS的危害会更大。因为存储型XSS的代码存在于网页的代码中,可以说是永久型的。 存储型 XSS 一般出现在网站留言、评论、博客日志等..
网络安全 DVWA通关指南 DVWA Stored Cross Site Scripting (存储型 XSS)
YueXuan_521的博客
09-19 1081
网络安全 DVWA通关指南 DVWA Stored Cross Site Scripting (存储型 XSS)
DVWA-Reflected Cross Site Scripting (XSS)
Cwillchris的博客
10-28 365
实验环境: DVWA靶机:172.16.12.10 靶场用户名:admin 密码:123 windos攻击机:172.16.12.7 kali攻击机:172.16.12.30 实验步骤: 反射型Xss <全称跨站脚本攻击,是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 其实反射型和DOM型的XSS差别主要在于,反射型是会往后台服务器发送请求,而DOM型直接在前端进行解析;两者都是一次性的 一、Low级 1、源码分析 &l..
DVWA V1.9:Reflected Cross Site Scripting(存储型XSS
qq_43233085的博客
01-27 461
DVWA V1.9:Reflected Cross Site Scripting(存储型XSS)存储型 XSS 介绍Low 级别核心代码官方提示漏洞利用Medium 级别核心代码官方提示漏洞利用High 级别核心代码官方提示漏洞利用Impossible 级别核心代码官方提示 存储型 XSS 介绍 “跨站点脚本(XSS)”攻击是一种注入问题,其中恶意脚本被注入到其他良性的和可信的网站中。 当攻击者使...
Kali渗透测试之DVWA系列4——反射型XSS(跨站脚本攻击)
浅浅的博客
05-11 4277
目录 一、XSS 1、XSS简介 2、XSS类型 3、漏洞形成的根源 二、反射型XSS 1、原理示意图​ 2、实验环境 3、实验步骤 安全级别:LOW 重定向 获取cookie 安全级...
DVWA之XSS (完整版)
一期一会的博客
03-30 5359
xss DOM型xss
DVWA下的XSS漏洞通关练习
weixin_48609562的博客
06-15 689
XSS 介绍 XSS,全称Cross Site Scripting,即跨站脚本攻击,某种意义上也是一种注入攻击,是指攻击者在页面中注入恶意的脚本代码,当受害者访问该页面时,恶意代码会在其浏览器上执行,需要强调的是,XSS不仅仅限于JavaScript,还包括flash等其它脚本语言。根据恶意代码是否存储在服务器中,XSS可以分为存储型的XSS与反射型的XSS。 DOM型的XSS由于其特殊性,常常被分为第三种,这是一种基于DOM树的XSS。例如服务器端经常使用document.boby.innerHtml
WebGoat实验之Cross-Site ScriptingXSS,跨站脚本攻击)- 2016.01.09
baishileily的博客
01-09 4866
XSS(Cross-Site Scripting)跨站脚本攻击,由于 html 和 js 都是解释执行的,那么如果对用户的输入过滤不够严格或者说不严格处理,那么当用户也输入一些 html 或者 js 的并被浏览器再次加载的时候也是可以被浏览器解释执行的。那么对于一些博客、贴吧等存在用户输入、又存在游客查看评论的地方,做好用户输入的过滤就很有必要。那么 XSS 能干什么呢?不仅可以用来进行钓鱼攻击,
基于LNMP架构搭建Discuz论坛
最新发布
2301_80286384的博客
11-04 652
基于LNMP架构搭建Discuz论坛
文件上传漏洞-通过.htaccess文件绕过
m0_73902453的博客
10-30 343
3.先将.htaccess上传上去,然后再打开抓包上传木马文件(1.php),然后将名字修改成1.jpg,因为刚刚的.htaccess已经上传到服务器,告诉服务器.jpg文件可以当作.php文件执行。通过这个文件,网站管理员可以进行各种配置,例如重定向、访问控制、URL重写等。结尾的文件都当作 PHP 脚本来处理,而不是作为普通文本文件或图像文件。这意味着,即使它们有文本或影像文件的扩展名,服务器将尝试执行其中的 PHP代码。2.这里以upload-labs(less-4)为例,我们先来看看靶场的源代码。
Unsafe Fileupload-pikachu
zhangqqa的博客
10-30 1029
安全的文件上传漏洞概述文件上传功能在web应用系统很常见,比如很多网站注册的时候需要上传头像、上传附件等等。当用户点击上传按钮后,后台会对上传的文件进行判断 比如是否是指定的类型、后缀名、大小等等,然后将其按照设计的格式进行重命名后存储在指定的目录。如果说后台对上传的文件没有进行任何的安全判断或者判断条件不够严谨,则攻击着可能会上传一些恶意的文件,比如一句话木马,从而导致后台服务器被webshell。所以,在设计文件上传功能时,一定要对传进来的文件进行严格的安全考虑。
dvwa靶场xss通关
08-15
XSS(Cross-Site Scripting)是一种常见的Web安全漏洞,攻击者通过注入恶意脚本代码,使得网站在用户端执行这些脚本,从而获取用户敏感信息或进行其他攻击行为。 为了在DVWA靶场中完成XSS通关,你可以尝试以下步骤...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值