DVWA全级别教程学习及备课笔记:存储型XSS

最新推荐文章于 2024-08-20 01:27:14 发布
最新推荐文章于 2024-08-20 01:27:14 发布
阅读量166 收藏 1
点赞数
分类专栏: DVWA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lm19770429/article/details/115320777
版权

存储型XSS

下面对四种级别的代码进行分析。

Low

服务器端核心代码

 

<?php 
if( isset( $_POST[ 'btnSign' ] ) ) { 
    // Get input 
    $message = trim( $_POST[ 'mtxMessage' ] ); 
    $name    = trim( $_POST[ 'txtName' ] ); 
    // Sanitize message input 
    $message = stripslashes( $message ); 
    $message = mysql_real_escape_string( $message ); 
    // Sanitize name input 
    $name = mysql_real_escape_string( $name ); 
    // Update database 
    $query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );"; 
    $result = mysql_query( $query ) or die( '<pre>' . mysql_error() . '</pre>' ); 
    //mysql_close(); 
} 
?>

相关函数介绍

trim(string,charlist)

函数移除字符串两侧的空白字符或其他预定义字符,预定义字符包括、\t、\n、\x0B、\r以及空格,可选参数charlist支持添加额外需要删除的字符。

mysql_real_escape_string(string,connection)

函数会对字符串中的特殊符号(\x00,\n,\r,\,',",\x1a)进行转义。

stripslashes(string)

函数删除字符串中的反斜杠。

可以看到,对输入并没有做XSS方面的过滤与检查,且存储在数据库中,因此这里存在明显的存储型XSS漏洞。

漏洞利用

message一栏输入<script>alert(/xss/)</script>,成功弹框:

1.png

name一栏前端有字数限制,抓包改为<script>alert(/name/)</script>:

1.png

成功弹框:

1.png

Medium

服务器端核心代码

<?php 
if( isset( $_POST[ 'btnSign' ] ) ) { 
    // Get input 
    $message = trim( $_POST[ 'mtxMessage' ] ); 
    $name    = trim( $_POST[ 'txtName' ] ); 
    // Sanitize message input 
    $message = strip_tags( addslashes( $message ) ); 
    $message = mysql_real_escape_string( $message ); 
    $message = htmlspecialchars( $message ); 
    // Sanitize name input 
    $name = str_replace( '<script>', '', $name ); 
    $name = mysql_real_escape_string( $name ); 
    // Update database 
    $query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );"; 
    $result = mysql_query( $query ) or die( '<pre>' . mysql_error() . '</pre>' ); 
    //mysql_close(); 
} 
?>

相关函数说明

strip_tags() 函数剥去字符串中的 HTML、XML 以及 PHP 的标签,但允许使用<b>标签。

addslashes() 函数返回在预定义字符(单引号、双引号、反斜杠、NULL)之前添加反斜杠的字符串。

可以看到,由于对message参数使用了htmlspecialchars函数进行编码,因此无法再通过message参数注入XSS代码,但是对于name参数,只是简单过滤了<script>字符串,仍然存在存储型的XSS。

漏洞利用

1.双写绕过

抓包改name参数为<sc<script>ript>alert(/xss/)</script>:

1.png

2.大小写混淆绕过

抓包改name参数为<Script>alert(/xss/)</script>:

1.png

成功弹框:

1.png

 

High

服务器端核心代码

<?php 
if( isset( $_POST[ 'btnSign' ] ) ) { 
    // Get input 
    $message = trim( $_POST[ 'mtxMessage' ] ); 
    $name    = trim( $_POST[ 'txtName' ] ); 
    // Sanitize message input 
    $message = strip_tags( addslashes( $message ) ); 
    $message = mysql_real_escape_string( $message ); 
    $message = htmlspecialchars( $message ); 
    // Sanitize name input 
    $name = preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $name ); 
    $name = mysql_real_escape_string( $name ); 
    // Update database 
    $query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );"; 
    $result = mysql_query( $query ) or die( '<pre>' . mysql_error() . '</pre>' ); 
    //mysql_close(); 
} 
?>

可以看到,这里使用正则表达式过滤了<script>标签,但是却忽略了img、iframe等其它危险的标签,因此name参数依旧存在存储型XSS。

High

抓包改name参数为<img src=1 οnerrοr=alert(1)>:

1.png

成功弹框:

1.png

Impossible

服务器端核心代码

<?php 
if( isset( $_POST[ 'btnSign' ] ) ) { 
    // Check Anti-CSRF token 
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' ); 
    // Get input 
    $message = trim( $_POST[ 'mtxMessage' ] ); 
    $name    = trim( $_POST[ 'txtName' ] ); 
    // Sanitize message input 
    $message = stripslashes( $message ); 
    $message = mysql_real_escape_string( $message ); 
    $message = htmlspecialchars( $message ); 
    // Sanitize name input 
    $name = stripslashes( $name ); 
    $name = mysql_real_escape_string( $name ); 
    $name = htmlspecialchars( $name ); 
    // Update database 
    $data = $db->prepare( 'INSERT INTO guestbook ( comment, name ) VALUES ( :message, :name );' ); 
    $data->bindParam( ':message', $message, PDO::PARAM_STR ); 
    $data->bindParam( ':name', $name, PDO::PARAM_STR ); 
    $data->execute(); 
} 
// Generate Anti-CSRF token 
generateSessionToken(); 
?>

可以看到,通过使用htmlspecialchars函数,解决了XSS,但是要注意的是,如果htmlspecialchars函数使用不当,攻击者就可以通过编码的方式绕过函数进行XSS注入,尤其是DOM型的XSS。

 

 

 

 

花纵酒
关注
专栏目录
Dvwa存储XSS攻击级别学习笔记
Mbys_Lettuce的博客
09-19 2062
和好像被过滤掉了,会不会像反射一样,只是过滤了,只要复写或者大小写可以攻击了呢?把写入内容修改成alert(document.cookie)或者alert(document.cookie)
DVWA系列之XSS(跨站脚本攻击)——存储XSS源码分析及漏洞利用
7Riven's blog
11-27 1423
存储XSS 存储XSS持久化,代码存储在服芻器的,如在个人信息或发表文章等地方,插入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器,用户每次访问该页面的时候都会触发代码执行。这种XSS比较危险,容易造成蠕虫,盗窃 cookie 1、hack插入恶意js 2、服务器返回含有恶意js页面 3、由于恶意js会一直存储服务器端,所以每个目标点击含有恶意js页面都会跳转到第三方...
DVWA级别教程
10-26
DVWA级别教程 通关秘籍 练手的同学可以下载 epub文件 适合手机平板看
基于DVWAXSS学习_1
m0_47129108的博客
12-14 201
存储XSS 存储XSS,持久化,代码存储在服务器的,如在个人信息或发表文章等地方,加入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器,用户访问该页面的时候触发代码执行。这种XSS比较危险,容易造成蠕虫,盗窃cookie等。参考自:路西法. 攻击者事先将恶意代码上传或储存到漏洞服务器,只要受害者浏览包含此恶意代码的页面就会执行恶意代码。这就意味着只要访问了这个页面的访客,都有可能会执行这段恶意脚本,因此储存XSS的危害会更大。因为存储XSS代码存在于网页的代码,可以说是永久的。
DVWA靶场详细通关教程——第一关:暴力破解
最新发布
L35052634的博客
08-20 504
4、下面的步骤开始设置token,在payloads里的payload type更换模式为 Recursive grep。(另:这里有SQL注入(万能密码),在用户名框输入admin' or '1'='1,任意输入密码即可登陆成功)6、直接start attack开始,根据返回的长度排序,可以看到password为正确的密码。1、先在登录框随意输入账号和密码,然后BP抓包(盲猜一波账号为admin)7、按照下面的顺序点击,2的步骤需要选并且复制,等下有用。10、开始爆破,获得密码为password。
DVWA级别通关教程
热门推荐
weixin_52515588的博客
03-26 9万+
首先选择难度,我们从low开始,如上图所示进行修改 目录 SQL手工注入 过程: low Medium high Impossible SQL 盲注 过程: SQL 工具注入 工具安装过程: 过程: low Medium High: 暴力破解 过程: Low Medium High Impossible 命令注入 过程: Low Medium High: Impossible 文件上传 过程: Low Medium High Im...
Web安学习之——基于dvwaXSS (Reflecte)学习教程
weixin_41657031的博客
07-17 357
什么是XSSXSS称Cross Site Scripting(为了与CSS区分开来故称为XSS),即跨站脚本攻击,某种意义上也是一种注入攻击,是指攻击者在页面注入恶意的脚本代码,当受害者访问该页面时,恶意代码会在其浏览器上执行,需要强调的是,XSS不仅仅限于JavaScript,还包括flash等其它脚本语言。根据恶意代码是否存储在服务器XSS可以分为存储XSS与反射XSS。...
Web安学习之——基于dvwaXSS (Stored)学习教程
weixin_41657031的博客
07-19 384
1.什么是XSS(stored)? 存储XSS,持久化,代码存储在服务器的,如在个人信息或发表文章等地方,加入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器,用户访问该页面的时候触发代码执行。这种XSS比较危险,容易造成蠕虫,盗窃cookie等 例子: 发一篇文章,里面包含了恶意脚本 今天和女朋友出去约会了,心情不错<script>alert('handsome ...
新手指南:DVWA 1.9 级别教程 PDF
08-18
新手指南:DVWA 1.9 级别教程 PDF格式
DvwaXSS(DOM)级别学习 笔记
Mbys_Lettuce的博客
09-22 330
因为url#,&之后的内容,不会被提交到服务器,可以直接与浏览器进行交互,所以使用English#攻击一下。所以可能将有关的所有参数都过滤了,但我们还有其他的标签进行攻击,比如使用、等,尝试使用一下就很离谱,没有思路,看一下源码吧。本文为学习笔记,仅供学习
基于DVWAXSS学习_0
m0_47129108的博客
11-29 206
XSS简介 XSS称Cross Site Scripting,即跨站脚本攻击,某种意义上也是一种注入攻击,是指攻击者在页面注入恶意的脚本代码,当受害者访问该页面时,恶意代码会在其浏览器上执行,需要强调的是,XSS不仅仅限于JavaScript,还包括flash等其它脚本语言。根据恶意代码是否存储在服务器XSS可以分为存储XSS与反射XSS。 DOMXSS由于其特殊性,常常被分为第三种,这是一种基于DOM树的XSS。例如服务器端经常使用document.boby.innerHtml等函数
DVWA级别文渗透教程和渗透环境,最强大没有之一
11-26
dvwa分为几个安等级,是一个非常棒的渗透环境,,只需要一个phpstudy,DVWA级别文渗透教程和渗透环境,最强大没有之一。初学web安的可以来下载
新手指南:DVWA 1.9 级别教程
01-03
新手指南:DVWA 1.9 级别教程
Web安学习之——基于dvwaXSS (DOM)学习教程
weixin_41657031的博客
07-20 343
1.什么是DOMXSS? DOM称Document Object Model,是一个平台和语言都立的接口,可以使程序和脚本能够动态访问和更新文档的内容、结构以及样式。 DOMXSS其实是一种特殊类的反射XSS,它是基于DOM文档对象模的一种漏洞,其触发不需要经过服务器端,也就是说,服务端的防御并不起作用。 它的特殊之处在于它是利用 JS 的document.write 、docume...
DVWA学习XSS(跨站脚本攻击)(超级详细)
weixin_40950781的博客
08-22 1万+
DVWA学习XSSXSS 跨站脚本攻击0x01 XSS(Cross Site Script)简介0x02 何为XSS0x03 XSS存在的原因0x04 XSS漏洞的危害0x05 XSS 的分类及特点1. 存储XSS2. 反射XSS3. MODXSS XSS 跨站脚本攻击 0x01 XSS(Cross Site Script)简介 0x02 何为XSS 跨站脚本攻击XSS(Cross Sit...
DVWA-XSS-DOM 级别教程
weixin_44716769的博客
09-08 1251
XSS-DOM Low等级 查看源码 无任何保护措施,直接尝试注入。 查看页面源码 1.document和windows对象: 1)document表示的是一个文档对象,window表示的是一个窗口对象,一个窗口下可以有多个文档对象。所以一个窗口下只有一个window.location.href,但是可能有多个document.URL、document.location.href 2)window对象:它是一个顶层对象,而不是另一个对象的属性即浏览器的窗口。 3)document对象:该对象是windo
Dom总结
qq_39194067的博客
12-15 162
- 什么是Dom Dom称为Documennt Object Moduel 意为文档对象模,DOM 定义了访问 HTML 和 XML 文档的标准:W3C 文档对象模 (DOM) 是立于平台和语言的接口,它允许程序和脚本动态地访问和更新文档的内容、结构和样式。 W3C DOM 标准被分为 3 个不同的部分: - 核心 DOM - 针对任何结构化文档的标准模 - XML DOM - 针对 ...
DVWA教程:深度解析XSS攻击的反射存储
在这个DVWA学习环境XSS被分为反射(Reflected)和存储(Stored)两大类: 1. **反射XSS (Reflected XSS)** - 这种类XSS是非持久性的,即攻击者需要诱导用户点击包含恶意脚本的链接才会触发。由于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值