dvwa靶场第四周练习以及心得(5)

最新推荐文章于 2024-08-03 19:27:22 发布
最新推荐文章于 2024-08-03 19:27:22 发布
阅读量115 收藏
点赞数
文章标签: 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Vicissitud/article/details/129049945
版权

XSS(Stored) 存储型XSS

一、简介

  XSS存储型攻击,攻击者事先将恶意代码上传或储存到漏洞服务器中,只要受害者浏览包含此恶意代码的页面就会执行恶意代码。这就意味着只要访问了这个页面的访客,都有可能会执行这段恶意脚本,因此储存型XSS的危害会更大。因为存储型XSS的代码存在于网页的代码中,可以说是永久型的。

  存储型 XSS 一般出现在网站留言、评论、博客日志等交互处,恶意脚本存储到客户端或者服务端的数据库中。
 

二、实验环境

难度

Low

源码解析

<?php

if( isset( $_POST[ 'btnSign' ] ) ) {
    // Get input
// trim(string,charlist)
函数移除字符串两侧的空白字符或其他预定义字符,预定义字符包括、\t、\n、\x0B、\r以及空格,可选参数charlist支持添加额外需要删除的字符。
    $message = trim( $_POST[ 'mtxMessage' ] );
    $name    = trim( $_POST[ 'txtName' ] );

    // Sanitize message input
// stripslashes(string)
函数删除字符串中的反斜杠。
    $message = stripslashes( $message );
// mysql_real_escape_string(string,connection)
函数会对字符串中的特殊符号(\x00,\n,\r,\,‘,“,\x1a)进行转义。
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Sanitize name input
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Update database
    $query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    //mysql_close();
}

?>

漏洞复现

源码中出现的函数:

(1)trim()函数

语法:

trim(string,charlist)
参数描述
string必需。规定要检查的字符串。
charlist

可选。规定从字符串中删除哪些字符。如果被省略,则移除以下所有字符:

  • "\0" - NULL
  • "\t" - 制表符
  • "\n" - 换行
  • "\x0B" - 垂直制表符
  • "\r" - 回车
  • " " - 空格

(2)stripslashes()函

(1)这里对XSS方面没有做过滤与检查,而且数据将被存储到数据库中,因此存在存储型XSS

(2)本来是想在name处试一下代码:<script>alert(1)</script> 的,发现有长度限制(考虑了下是不是可以使用BP抓包改name呢,这样是否就绕过了长度限制?),因此直接在message一栏使用我们的代码尝试:

(2) 看一眼数据库,内容已经被存储到数据库中了。

 PS:做下一题之前记得清一下数据库。

Medium

源码解析

<?php

if( isset( $_POST[ 'btnSign' ] ) ) {
    // Get input
    $message = trim( $_POST[ 'mtxMessage' ] );
    $name    = trim( $_POST[ 'txtName' ] );

    // Sanitize message input
// strip_tags() 函数剥去字符串中的HTML、XML以及PHP的标签,但允许使用<b>标签
// addslashes() 函数返回在预定义字符(单引号、双引号、反斜杠、NULL)之前添加反斜杠的字符串
    $message = strip_tags( addslashes( $message ) );
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $message = htmlspecialchars( $message );

    // Sanitize name input
    $name = str_replace( '<script>', '', $name );
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Update database
    $query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    //mysql_close();
}

?>

漏洞复现

(1)Message处使用了htmlspecialchars()函数,将字符全部转为了HTML实体,因此Message处无法使用XSS形成攻击。

(2)name处做了长度限制,因此考虑使用抓包在BP中修改name的值,还有就是他会将 <script> 转化为空,所有考虑使用双写或者大小写去绕过。

大小写绕过:<scRIPt>alert(1)</SCript>
双写绕过:<scr<script>ipt>alert(1)</script>

 

High

源码解析

<?php
 
if( isset( $_POST[ 'btnSign' ] ) ) {
    // Get input
    $message = trim( $_POST[ 'mtxMessage' ] );
    $name    = trim( $_POST[ 'txtName' ] );
 
    // Sanitize message input
    $message = strip_tags( addslashes( $message ) );
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $message = htmlspecialchars( $message );
 
    // Sanitize name input
    $name = preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $name );
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
 
    // Update database
    $query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
 
    //mysql_close();
}
 
?>

漏洞复现

(1)Message处相比Medium难度没有做太多的变化,因此不在考虑这里。

(2)Nmae处对 <script> 做了限制,各种形式的 <script> 都不行了,考虑使用其他的标签,比如img

<img src=1 οnerrοr=alert(1)>

老规矩,改name使用BP:

Impossible

源码解析

<?php
 
if( isset( $_POST[ 'btnSign' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );
 
    // Get input
    $message = trim( $_POST[ 'mtxMessage' ] );
    $name    = trim( $_POST[ 'txtName' ] );
 
    // Sanitize message input
    $message = stripslashes( $message );
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $message = htmlspecialchars( $message );
 
    // Sanitize name input
    $name = stripslashes( $name );
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $name = htmlspecialchars( $name );
 
    // Update database
    $data = $db->prepare( 'INSERT INTO guestbook ( comment, name ) VALUES ( :message, :name );' );
    $data->bindParam( ':message', $message, PDO::PARAM_STR );
    $data->bindParam( ':name', $name, PDO::PARAM_STR );
    $data->execute();
}
 
// Generate Anti-CSRF token
generateSessionToken();
 
?>

漏洞复现

  对Name和Message都使用了htmlspecialchars()函数做了过滤,还加了token值,进一步提高了安全性。

Vicissitud
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
dvwa靶场,可以用于练习web渗透技术
05-19
dvwa靶场压缩包
kali2021.3安装dvwa靶场
02-24
标题中的“kali2021.3安装dvwa靶场”是指在Kali Linux 2021.3版本中安装DVWA(Damn Vulnerable Web Application)的过程,这是一个广泛用于Web...在DVWA靶场中,可以模拟真实的漏洞环境,进行练习和提升自己的技能。
dvwa靶场四周练习以及心得(2)
Vicissitud的博客
02-15 205
dvwa靶场四周练习以及心得(2)
dvwa靶场四周练习以及心得(4)
Vicissitud的博客
02-15 153
dvwa靶场四周练习以及心得(4)
dvwa靶场四周练习以及心得(3)
Vicissitud的博客
02-15 120
dvwa靶场四周练习以及心得(3)
dvwa靶场第二周练习以及心得
Vicissitud的博客
01-15 186
dvwa靶场第二周练习以及心得
dvwa靶场第三周练习以及心得(2)
Vicissitud的博客
02-15 164
dvwa靶场第三周练习以及心得(2)
dvwa靶场四周练习以及心得(1)
Vicissitud的博客
02-15 135
dvwa靶场四周练习以及心得(1)
dvwa靶场第五周练习以及心得(2)
Vicissitud的博客
02-15 181
dvwa靶场第五周练习以及心得(2)
风炫安全WEB安全学习第四十九节课 靶场的搭建与实战
风炫的博客
02-09 1080
靶场实战 自《网络安全法》实施以后,在互联网上未经授权的渗透测试是违法行为。缺少了实战的战场,我们现在一般用靶场来进行实战的渗透测试学习,因为这样不会影响别人网站服务的正常运行,不会影响到别人的业务。 我在这里推荐几个靶场,然后可以对靶场里面的漏洞进行针对化学习并实战。 线上靶场推荐 https://hack.zkaq.cn/ 封神台,掌控安全的线上靶场 https://www.ichunqiu.com/ I春秋,很早就出来的一个综合的靶场。 https://redtiger.labs.overthewir
反序列化漏洞总结
dreamthe的博客
11-24 3400
1.了解序列化和反序列化 在学习反序列化漏洞之前,需要了解什么是反序列化和序列化,我看到了一个很好的比喻,觉得很适合帮助大家对于两者理解,相信大家都在淘宝买过东西,不知道有没有买过那种小型家具,我有买过鞋柜,商家发货的时候不会将一个完好的鞋柜寄给你,第一因为中途可能会损坏,第二呢就是增加包装成本。所以商家都会将鞋柜所有部件打包寄过来,顾客拿到快递在自己根据安装教程安装好鞋柜。那么这里面就有两个过程,一个是商家将所以部件打包发走,一个是你拿到安装还原。那么序列化就是商家打包过程,反序列化就是将商品还原过程。
DVWA网络安全靶场搭建与练习 附攻略和在线版
01-02
DVWA网络安全靶场搭建与练习 附攻略和在线版》 网络安全靶场是一种模拟真实网络环境,用于安全教育、训练和测试安全技能的平台。DVWA(Damn Vulnerable Web Application)是其中非常受欢迎的一个开源项目,专为...
DVWA靶场环境搭建-dvwa.rar
10-15
DVWA靶场环境文件
DVWA靶场源码分享
12-11
DVWA(Damn Vulnerable Web Application)靶场是一个用于网络安全教育的开源Web应用程序。它由Chris Evans创建,旨在帮助安全专业人员、开发人员和学生通过实践来学习和理解常见Web应用程序安全漏洞。DVWA靶场提供了...
Python爬虫与MongoDB的完美结合
最新发布
weixin_52392194的博客
08-03 664
我们掌握了在Windows和Linux系统下安装MongoDB,设计适合爬虫存储数据的写入规范,并通过实际爬虫示例展示了如何将爬取到的数据存储到MongoDB中。此外,还进行了MongoDB性能优化,提高了数据存储和查询的效率。
SpringBoot+Vue图书(图书借阅)管理系统-附项目源码与配套文档
m0_74283290的博客
08-03 1246
本论文阐述了一套先进的图书管理系统的设计与实现,该系统采用Java语言,结合现代Web开发框架和技术,旨在为图书馆提供高效、灵活且用户友好的资源管理解决方案。系统利用Spring Boot框架为核心,整合MyBatis ORM工具,以及MySQL数据库,构建了一个高性能、可扩展的后端服务。前端界面则采用了Vue.js框架,以提供流畅的用户交互体验。论文首先进行了详尽的需求分析,确定了系统的核心功能,包括图书的添加、编辑、删除、查询,读者的注册、登录、个人信息管理,以及图书的借阅、归还、续借流程。
简单的 mongoDB 学习
qq_19342829的博客
07-31 584
mongodb入门学习整理
社区养老服务小程序的设计
Karen198的博客
07-31 742
管理员账户功能包括:系统首页,个人中心,用户管理,服务人员管理,服务产品管理,服务预约管理,服务状态管理,服务退订管理,活动管理,视频管理。主要技术:Java,Spring,mybatis,mysql,jquery,html。服务器:SpringBoot自带 apache tomcat。微信端账号功能包括:系统首页,服务产品,活动,视频,我的。JDK版本:Java JDK1.8。数据库可视化工具: navicat。数据库版本: mysql5.7。开发工具:IDEA(推荐)开发系统:Windows。
dvwa靶场练习教程
07-28
DVWA是一款Web渗透靶场,用于提供合法的专业技能和应用测试环境。它提供了四个不同等级的渗透防护,难度逐级增加。常用于练习XSS、CSRF漏洞等。安装和配置DVWA可以使用phpstudy完成。首先,需要下载并解压dvwa的安装...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值