dvwa XSS(跨站脚本攻击)通关手册

最新推荐文章于 2024-04-05 00:16:33 发布
最新推荐文章于 2024-04-05 00:16:33 发布
阅读量695 收藏 7
点赞数 2
分类专栏: DVWA 文章标签: xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46436640/article/details/107954650
版权

Contents

Preface

本博文仅用于信息安全防御,切勿用于其他用途!!!!!

XSS

XSS:跨站攻击脚本

恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页时
,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户
的目的。

OWASP TOP10 一直排前十

XSS 可以用来进行钓鱼攻击,前端js挖矿、获取用户cookie,甚至对
用户主机进行控制

XSS形成原因:
程序对输入和输出的控制不够严格,导致攻击者的脚本输入后,
在输出到前端时被浏览器当作有效的代码解析执行从而产生危害。

XSS攻击的危害:
1.盗取账号
2.控制企业数据,读取、篡改、添加、删除敏感数据
3.盗窃企业重要的具有商业价值的资料
4.非法转账
5.强制发送电子邮件
6.网站挂马
7.控制受害者机器,向其它网站发起攻击

XSS(Reflected)

反射型XSS,也叫非持久性CSS,当用户访问一个带有XSS代码的
URL请求时,服务器端接收数据后处理,然后把带有XSS代码
的数据发送到浏览器,浏览器解析这段XSS代码的数据后,
最后造成XSS漏洞。这个过程就像一次反射,故称反射型XSS

反射型XSS不会存储在服务器端 我们利用需要结合社工等条件。

XSS(Stored)

存储型XSS

存储型XSS和反射型XSS形成原因一样,不同的是存储型XSS
后台会将构造的payload保存起来,构成更加持久的危害,因此
存储型XSS也称“永久型XSS”

存储型XSS 不需要我们结合社工等条件触发,破坏性要大于反射型XSS

可以从网上搜集payload

XSS(DOM)

HTML DOM 树

DOM XSS 是一种特殊类型的反射型 XSS, 它是基于DOM文档
对象模型的一种漏洞。

Low

XSS(Reflected)

Source Code

<?php

header ("X-XSS-Protection: 0");

// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
    // Feedback for end user
    echo '<pre>Hello ' . $_GET[ 'name' ] . '</pre>';
}

?>

array_key_exists(key,array) 函数检查某个数组中是否存在指定的键名,如果键名存在则返回 true,如果键名不存在则返回 false

key 	必需。规定键名。
array 	必需。规定数组。

Solution

这关我们由源代码知道,作者并没有对我们的输入进行过滤,所以我们可以任意插入js代码,比如我们插入

<script>alert(1)</script>
在这里插入图片描述

XSS(Stored)

Source Code

<?php

if( isset( $_POST[ 'btnSign' ] ) ) {
    // Get input
    $message = trim( $_POST[ 'mtxMessage' ] );
    $name    = trim( $_POST[ 'txtName' ] );

    // Sanitize message input
    $message = stripslashes( $message );
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Sanitize name input
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Update database
    $query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    //mysql_close();
}

?>

$GLOBALS — 引用全局作用域中可用的全部变量
trigger_error(errormsg,errortype) 函数创建用户级别的错误消息。

errormsg 	必需。规定错误消息。最大长度 1024 字节。
errortype 	可选。规定错误类型。可能的值:

E_USER_ERROR
E_USER_WARNING
E_USER_NOTICE(默认)

mysql_query(query,connection) 函数执行一条 MySQL 查询

query 	    必需。规定要发送的 SQL 查询。注释:查询字符串不应以分号结束。
connection 	可选。规定 SQL 连接标识符。如果未规定,则使用上一个打开的连接。

作者对我们的输入进行了两边去空,然后去除了message变量的反斜杠,并且对我们的输入SQL语句中的特殊字符,但并不影响我们进行xss攻击。

Solution

我们可以直接从message一栏输入我们想要攻击的代码(因为name一栏的最长限制为10,所以如果我们想要在name处攻击,那么就需要更改前端或者抓包更改)

<script>alert(1)</script>
在这里插入图片描述

XSS(DOM)

Source Code

服务器端代码

<?php

# No protections, anything goes

?>

Solution

由源代码知道,作者没有做任何防护,所以我们直接在地址栏提交我们的xss攻击

http://127.0.0.1/dvwa/vulnerabilities/xss_d/?default=%3Cscript%3Ealert(1)%3C/script%3E

在这里插入图片描述

Medium

XSS(Reflected)

Source Code

 <?php

header ("X-XSS-Protection: 0");

// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
    // Get input
    $name = str_replace( '<script>', '', $_GET[ 'name' ] );

    // Feedback for end user
    echo "<pre>Hello ${name}</pre>";
}

?>

Solution

这关相较与Low难度,对我们输入的script标签进行了过滤且替换为空,我们一听到替换为空,那么我们就想到用双写或者大小写混写来进行绕过处理

所以我们可以输入

<s<script>cript>alert(1)</s<script>cript>

<sCript>alert(1)</sCript>
在这里插入图片描述

XSS(Stored)

Source Code


<?php

if( isset( $_POST[ 'btnSign' ] ) ) {
    // Get input
    $message = trim( $_POST[ 'mtxMessage' ] );
    $name    = trim( $_POST[ 'txtName' ] );

    // Sanitize message input
    $message = strip_tags( addslashes( $message ) );
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $message = htmlspecialchars( $message );

    // Sanitize name input
    $name = str_replace( '<script>', '', $name );
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Update database
    $query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    //mysql_close();
}

?>

strip_tags(string,allow) 函数剥去字符串中的 HTML、XML 以及 PHP 的标签。

string 	必需。规定要检查的字符串。
allow 	可选。规定允许的标签。这些标签不会被删除。

addslashes() 函数返回在预定义字符之前添加反斜杠的字符串。

预定义字符是:

单引号(')
双引号(")
反斜杠(\)
NULL

Solution

此关对我们的message变量彻底进行了过滤,首先在预定义字符增加反斜杠,然后删除我们的html标签,最后又将我们的预定义字符转换为html实体,所以彻底杜绝了我们的攻击

但是对于name变量它只把script标签替换为空,我们可以采用混写或者双写来进行绕过。

我们首先通过更改前端来把最大长度更改,然后写入我们的注入代码
在这里插入图片描述

<sCript>alert(1)</sCript>

<s<script>cript>alert(2)</s<script>cript>

XSS(DOM)

Source Code

<?php

// Is there any input?
if ( array_key_exists( "default", $_GET ) && !is_null ($_GET[ 'default' ]) ) {
    $default = $_GET['default'];
    
    # Do not allow script tags
    if (stripos ($default, "<script") !== false) {
        header ("location: ?default=English");
        exit;
    }
}

?>

Solution

这关变化的是,它把我们的script标签进行了处理,只要我们输入script标签(无论大小写)就会跳转到主页面,所以这关我们可以用其它标签进行绕过。(由前端代码得知我们是往option标签拼接语句,所以需要我们注意的是如果用其他标签进行攻击的时候,就要闭合其它的标签)
在这里插入图片描述

</option></select><img src='' onerror=alert(1)>
在这里插入图片描述
</option></select><body onload=alert(3)>
在这里插入图片描述

High

XSS(Reflected)

Source Code

 <?php

header ("X-XSS-Protection: 0");

// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
    // Get input
    $name = preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $_GET[ 'name' ] );

    // Feedback for end user
    echo "<pre>Hello ${name}</pre>";
}

?>

Solution

此关源代码,把我们的script只要是按照顺序输入的都替换成了空,且不区分大小写,所以我们的双写绕过和混写绕过都无法进行了,所以我们就不能用script标签了,但是我们可以用运用body、img、iframe等标签配合事件来进行绕过

<body onload=alert(1)></body>

在这里插入图片描述

<a herf='' onclick=alert(1)>click here</a>

在这里插入图片描述
在这里插入图片描述

<img src='' onerror=alert(2)>//因为src地址错误,所以执行onerror

在这里插入图片描述

XSS(Stored)

Source Code

 <?php

if( isset( $_POST[ 'btnSign' ] ) ) {
    // Get input
    $message = trim( $_POST[ 'mtxMessage' ] );
    $name    = trim( $_POST[ 'txtName' ] );

    // Sanitize message input
    $message = strip_tags( addslashes( $message ) );
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $message = htmlspecialchars( $message );

    // Sanitize name input
    $name = preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $name );
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Update database
    $query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    //mysql_close();
}

?>

Solution

此难度相较于medium难度来说,对于message变量的过滤一样严格,而且还相当于屏蔽了我们的script标签,意味着我们需要用别的标签来进行xss攻击

<body onload=alert(3)>

<img src='' onerror=alert(3)>

<a herf onclick=alert(3)>click here</a>

在这里插入图片描述

XSS(DOM)

Source Code

 <?php

// Is there any input?
if ( array_key_exists( "default", $_GET ) && !is_null ($_GET[ 'default' ]) ) {

    # White list the allowable languages
    switch ($_GET['default']) {
        case "French":
        case "English":
        case "German":
        case "Spanish":
            # ok
            break;
        default:
            header ("location: ?default=English");
            exit;
    }
}

?>

Solution

作者这会直接用白名单来限制我们的选择只能是它提供的,如果不是,则直接跳转到主页面

但是我们可以用#来绕过,因为在url中#后面的数据不会传到服务器端。

具体可以参考这片文章:参考文章

所以我们可以构造如下payload

#<script>alert(1)</script>

在这里插入图片描述

Impossible

XSS(Reflected)

Source Code

<?php

// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Get input
    $name = htmlspecialchars( $_GET[ 'name' ] );

    // Feedback for end user
    echo "<pre>Hello ${name}</pre>";
}

// Generate Anti-CSRF token
generateSessionToken();

?>

htmlspecialchars() 函数把预定义的字符转换为 HTML 实体。

预定义的字符是:
& (和号)成为 &
" (双引号)成为 "
' (单引号)成为 '
< (小于)成为 <
> (大于)成为 >

Solution

此难度下,作者不仅验证了我们的token还将我们的所有的输入都当做字符串,且预定义字符转换为HTML实体,因为我们注入的js代码都是标签,都必须有<>,所以我们就彻底不能进行绕过了

XSS(Stored)

Source Code

<?php

if( isset( $_POST[ 'btnSign' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Get input
    $message = trim( $_POST[ 'mtxMessage' ] );
    $name    = trim( $_POST[ 'txtName' ] );

    // Sanitize message input
    $message = stripslashes( $message );
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $message = htmlspecialchars( $message );

    // Sanitize name input
    $name = stripslashes( $name );
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $name = htmlspecialchars( $name );

    // Update database
    $data = $db->prepare( 'INSERT INTO guestbook ( comment, name ) VALUES ( :message, :name );' );
    $data->bindParam( ':message', $message, PDO::PARAM_STR );
    $data->bindParam( ':name', $name, PDO::PARAM_STR );
    $data->execute();
}

// Generate Anti-CSRF token
generateSessionToken();

?>

Solution

由源代码可知,作者不仅验证了我们的身份,而且还对我们的所有输入进行了 htmlspecialchars过滤,所以我们无法进行xss攻击

XSS(DOM)

Source Code

<?php

# Don't need to do anything, protction handled on the client side

?>

这里服务器端代码没有了,那么一定是在前端代码上做了手脚。

在这里插入图片描述

Solution

我们可以看到前端的源码与前三个难度的源码唯一区别是在,对于lang变量的url解码,但是impossible难度并没有对我们的输入进行解码,所以上传上去的只是URL编码,所以就不存在了XSS攻击。
在这里插入图片描述

本文所有函数解析参考自w3cschool

丶Maple
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSS脚本攻击
weixin_30505225的博客
04-26 1013
1、简介 脚本(cross site script)为了避免与样式css混淆,所以简称为XSSXSS是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。那么什么是XSS呢? XSS是指恶意攻击者利用网没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去。使别的用户访问都会执行相应的嵌入代码。 从而盗取用户资料、利用用户身...
DVWA通关手册.docx
08-19
文档内部包含DVWA平台,所有类型漏洞低中高等级的攻击过程,非常仔细。也有部分自己的攻击方法,值得一试。
dvwa靶场通关教程(保姆及教学,一看就会)
最新发布
m0_69043895的博客
04-05 2241
可以看到,Impossible级别的代码对上传文件进行了重命名(为md5值,导致%00截断无法绕过过滤规则),加入Anti-CSRF token防护CSRF攻击,同时对文件的内容作了严格的检查,导致攻击者无法上传含有恶意脚本的文件。让通过验证的情况增加了一种。回到payload,选择第二个爆破点,选择递归模式,recursive grep,设置初始值。看源代码可以发现,不仅限制了文件类型,而且限制了大小,不能少于100kb。可以看到,靶场对文件类型做了限制,只允许上传png、jpeg,并且检查。
XSS脚本攻击(一)----XSS攻击的三种类型
热门推荐
fendo
12-27 12万+
一、简介 什么是XSS? 百度百科的解释: XSS又叫CSS  (Cross Site Script) ,脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。 它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在x
DVWA——xss 通关教程
weixin_45960266的博客
12-07 8214
xss注入的场景是一些论坛的留言板之类的,攻击者利用网页的漏洞写入程序脚本,当用户浏览的时候就会触发这个脚本。 reflected的xss只能是一次性的,而stored的xss是永久的,写入到留言板之后,就传入到服务器当中,当再有用户浏览时就会触发。 xss跟sql是非常想象的,最大的区别在于xss是前段,而sql是后端。且,xss很难获得webshell。 reflected xss low 查看源代码,发现对于输入没有要求,所以直接写入入选xxs就可以了 先设置难度为low 查看源码 发现没有任.
dvwaXSS
qq_17762247的博客
06-14 322
一、 XSS简介 XSS(Cross site scripting,脚本攻击),XSS的重点不在于点,而在于脚本的执行,其原理是:攻击者在web页面中插入一些恶意的script代码,当用户浏览该页面时,嵌入到页面的scripte代码执行,达到攻击用户的目的。XSS攻击主要分为几类:反射型、存储型和DOM-based型,其中反射型和DOM-based型归类为非持久性攻击,存储型为持久性攻击。 二、反射型 XSS 原理:攻击者通过特定的方式诱惑用户访问一个包含恶意代码的url,用户点击该url后,恶意
攻击(XSS+CSRF).docx
01-05
请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。...
DVWA官方手册中文版
04-19
DVWA官方手册中文版DVWA官方手册中文版DVWA官方手册中文版
自动化在centos7上搭建DVWA靶场,shell脚本
11-22
自动化在centos7上搭建DVWA靶场,注意文件不要在windows下编辑 自动化在centos7上搭建DVWA靶场,注意文件不要在windows下编辑 自动化在centos7上搭建DVWA靶场,注意文件不要在windows下编辑
DVWA-SQL盲注脚本(全)
10-04
DVWA SQL盲注,Low,Medium,High 三个级别的bool盲注脚本,比较完整,配套解释 : https://blog.csdn.net/csdn_Pade/article/details/82886765
DVWA-XSS
qq_58091216的博客
04-19 4966
一.DOM型xss 1.low (1)我们知道最基础的xss攻击就是<script>alert(/xss/)</script> (2)我们看到english直接按select,可以看到?default=English,我们知道在?default后面进行xss攻击 (3)我们直接输入<script>alert(/xss/)</script>,可以看到弹窗 (4)因为low比较简单所以我把分析源代码放在了最后。可以看到没有如何防御 2.m.
xss--脚本攻击
klcyl_0106的博客
05-14 2219
一、定义 攻击者在网页中嵌入恶意脚本代码(javascript),当用户使用浏览器浏览网页时,脚本就会在用户的浏览器上执行,从而达到攻击者目的。 二、原理 本质:可控变量,显示输出变量。代码在对数据进行显示出现的安全问题。——js代码 产生层面:前端。 函数类:输出型函数。 危害影响:受js代码影响。 浏览器内核版本:受对方浏览器版本限制,可能带有过滤。 三、危害 (1)窃取管理员帐号或cookie。入侵者可以冒充管理员的身份登录后台。使得入侵者具有恶意操纵后台数据的能力,包括读取、更改、添加、删除一些信息
XSS脚本攻击
weixin_50698958的博客
09-28 455
实验环境:DVWA 一、XSS攻击原理 XSS又叫CSS(Cross Site Scripting),即脚本攻击XSS是指攻击者在网页中嵌入客户端脚本,通常是JavaScript编写的恶意代码,当用户使用浏览器浏览被嵌入恶意代码的网页时,恶意代码将会在用户的浏览器上执行。XSS利用的是用户对网的信任。 二、XSS类型 1.反射型XSS 反射型XSS也被称为非持久型XSS,只是简单的把用户输入的数据反射给浏览器,简单来说,黑客往往需要诱导用户点击一个恶意链接才能攻击成功。 2.存储型XSS.
XSS(脚本攻击)
阿刁〇的博客
07-18 400
文章目录XSS(脚本攻击)简介分类危害1.窃取 Cookie2. 未授权操作3. 按键记录和钓鱼如何应对XSS攻击1. 验证输入 OR 验证输出2.编码3. 检测和过滤 XSS(脚本攻击) XSS是客户端脚本安全中的头号大敌,O\WASP TOP10威胁多次把XSS列在榜首。 简介 脚本攻击,通常是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 xss漏洞通常是通过php的输出函数将java
dvwa靶场xss攻击
09-25
DVWA靶场中,有一个特定的漏洞被称为XSS脚本攻击)。XSS攻击是一种利用网页应用程序对用户输入的处理不当而进行的攻击。通过在受害者浏览器中执行恶意脚本攻击者可以窃取用户的敏感信息、劫持用户会话或者...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值