结合DVWA-存储型XSS

已于 2023-04-11 21:07:09 修改
阅读量3k 收藏 13
点赞数 2
分类专栏: 靶场 文章标签: xss 前端
于 2022-01-10 23:45:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43660551/article/details/122418151
版权

        存储型相比于反射型的XSS,时间更持久,可以在后台存储起来,危害更大。由攻击者输入恶意数据保存在数据库,再由服务器脚本程序从数据库中读取数据,然后显示在公共显示的固定页面上,那么所有浏览该页面的用户都会被攻击。该类型攻击性非常大,危险也非常大。由于攻击者输入恶意数据保存在数据库,再由服务器脚本程序从数据库中读取数据。所以大部分的存储型XSS漏洞都是在表单提交上会发生的。

一、低级

看下源码:trim()函数过滤掉name和message两边的空格。stripslashes()函数过滤掉“\”。mysqli_real_escape_string()函数转义在 SQL 语句中使用的字符串中的特殊字符。但是未做任何XSS过滤。所以考虑在name输入框进行注入。

<?php

if( isset( $_POST[ 'btnSign' ] ) ) {
	// Get input
	$message = trim( $_POST[ 'mtxMessage' ] );
	$name    = trim( $_POST[ 'txtName' ] );

	// Sanitize message input
	$message = stripslashes( $message );
	$message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

	// Sanitize name input
	$name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

	// Update database
	$query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
	$result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

	//mysql_close();
}

?>

尝试直接js代码注入。结果发现name输入框有长度限制,本人使用的火狐浏览器,f12,发现name长度为10,直接在代码里修改,比如为30。

然后在输入框中进行js代码注入,获取cookie。如:

<script>alert(document.cookie)</script>

<body οnlοad=alert(document.cookie)>

<a href='' οnclick=alert(document.cookie)>click</a>

利用获取的cookie登录。

二.中级

看下源码:

        变量message除了trim()删除字符串两端空格之外,strip_tags()剥去字符串中的 HTML 标签。addslashes()函数在每个双引号(")前添加反斜杠,该函数可用于为存储在数据库中的字符串以及数据库查询语句准备字符串。mysqli_real_escape_string()函数转义在 SQL 语句中使用的字符串中的特殊字符。

        但是变量name除了trim()和mysqli_real_escape_string()函数之外,用str_replace( '<script>', '', $name )函数过滤一次<script>标签。

<?php

if( isset( $_POST[ 'btnSign' ] ) ) {
	// Get input
	$message = trim( $_POST[ 'mtxMessage' ] );
	$name    = trim( $_POST[ 'txtName' ] );

	// Sanitize message input
	$message = strip_tags( addslashes( $message ) );
	$message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
	$message = htmlspecialchars( $message );

	// Sanitize name input
	$name = str_replace( '<script>', '', $name );
	$name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

	// Update database
	$query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
	$result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

	//mysql_close();
}

?>

        故,在name输入框进行注入,修改name框输入字符的宽度,f12修改为100(随你修改),使用<script>之外的标签或者大小写、双写绕过。构造:

<body οnlοad=alert(document.cookie)>

<a href='' οnclick=alert(document.cookie)>click</a>

<Script>alert(document.cookie)</script>

<scri<script>pt>alert(document.cookie)</script>

四.高级

看下源码:在中级的基础上message多了htmlspecialchars()转义为html字符实体,故message用不了。再看下name,在中级的基础上,preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $name )对<script>进行了一次严格的过滤,但未忽略大小写。

<?php

if( isset( $_POST[ 'btnSign' ] ) ) {
	// Get input
	$message = trim( $_POST[ 'mtxMessage' ] );
	$name    = trim( $_POST[ 'txtName' ] );

	// Sanitize message input
	$message = strip_tags( addslashes( $message ) );
	$message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
	$message = htmlspecialchars( $message );

	// Sanitize name input
	$name = preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $name );
	$name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

	// Update database
	$query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
	$result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

	//mysql_close();
}

?>

        故可使用其他标签、大小写或者双写绕过。在name输入框构造:

<body οnlοad=alert(document.cookie)>

<a href='' οnclick=alert(document.cookie)>click</a>

<Script>alert(document.cookie)</script>

<scri<script>pt>alert(document.cookie)</script>

四.最高级

看下源码:这里message和name都被htmlspecialchars()转义为html字符实体。

<?php

if( isset( $_POST[ 'btnSign' ] ) ) {
	// Check Anti-CSRF token
	checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

	// Get input
	$message = trim( $_POST[ 'mtxMessage' ] );
	$name    = trim( $_POST[ 'txtName' ] );

	// Sanitize message input
	$message = stripslashes( $message );
	$message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
	$message = htmlspecialchars( $message );

	// Sanitize name input
	$name = stripslashes( $name );
	$name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
	$name = htmlspecialchars( $name );

	// Update database
	$data = $db->prepare( 'INSERT INTO guestbook ( comment, name ) VALUES ( :message, :name );' );
	$data->bindParam( ':message', $message, PDO::PARAM_STR );
	$data->bindParam( ':name', $name, PDO::PARAM_STR );
	$data->execute();
}

// Generate Anti-CSRF token
generateSessionToken();

?>

故无法利用XSS漏洞。

发奋的鼹鼠
关注
专栏目录
DVWA平台存储XSS实验
KUKULI233的博客
05-25 362
一、概念 长期存储于服务器端 每次访问都会执行js脚本 黑客将JS脚本发给服务器,服务器就会存在JS脚本,别的用户访问服务器时就会被脚本盗取cookie,黑客在旁监听 前几步相同,用户访问带有JS脚本的服务器时被重定向到第三方网站 二、使用场景 直接嵌入<script>alert(‘xss’)</script> 元素事件<body onload=alert(‘xss’)> <a href=http://192.168.>click</a> &l
DVWA-存储xss
Darklord.W
04-09 541
存储: 低: 输入 <script>alert('XSS stored')</script> 存储XSS是长期存储在服务器端,每次访问时都会执行js脚本 <script onload=alert('XSS1')> <a href=https://www.baidu.com>登录</a>3 <scrip...
DVWA】8. 存储XSS Stored(Low+Medium)
Zichel77的博客
12-13 1038
当用户访问该留言板页面时,恶意代码执行,通过document.cookie函数获取当前用户的cookie值,赋给站点xss.php文件,xss.php文件中定义也文件操作,将获取的cookie写入站点cookie.txt文件,此时攻击者就获取了用户的cookie值。我们测试一下在Message栏,能否执行标签,在测试过程中,name栏也有长度限制,我们修改其源码,增大长度插入标签。函数会对字符串中的特殊符号(\x00,\n,\r,\,‘,“,\x1a)进行转义。的 POST 变量。
DVWA-master】存储xss(详)
最新发布
Mw18211406853的博客
10-03 532
进行了过滤,不能用一般的绕过方法,所以可以用其他语句,如img标签和body标签。(3)查询当前页面的cookie 改成<ScriPt>alert(document.cookie)
DVWA存储XSS不同级别完美绕过
过客璇璇的博客
04-08 9599
DVWA存储XSS不同级别完美绕过 Low级别 首先攻击者A访问这个网站 判断这个网站是否有XSS漏洞 发现是有XSS漏洞的 这时 攻击者A构造一个脚本 获取用户cookie 攻击者写好脚本以及测试这是否存在XSS <script>alert(1)</script> 以上看到当再次访问这个网站时是出来这...
DVWA存储XSS_全级别
weixin_45378289的博客
07-03 359
1.low级别 <?php if( isset( $_POST[ 'btnSign' ] ) ) { // Get input $message = trim( $_POST[ 'mtxMessage' ] ); $name = trim( $_POST[ 'txtName' ] ); // Sanitize message input $message = stripslashes( $message ); $message = ((isse
xss存储
xu_1234567的博客
11-04 4822
1.存储xss原理 存储xss是hacker向服务器注入一段js代码,代码存储到服务器的数据库中,每当用户访问服务器当中带有js代码的数据时,服务器将响应用户,返回给用户一个带有js代码页面 2.xss存储low级演示 1.将DVWA级别设置为低级 分析源码,可以看到首先对两个参数使用trim函数过滤掉两边的空格,然后$message使用mysql_real_escape_string函数转义SQL语句中的特殊字符,使用stripslashes函数过滤掉”\”,对$name参数中使用mysql_re
Dvwa存储XSS攻击全级别学习笔记
Mbys_Lettuce的博客
09-19 2071
和好像被过滤掉了,会不会像反射一样,只是过滤了,只要复写或者大小写可以攻击了呢?把写入内容修改成alert(document.cookie)或者alert(document.cookie)
DVWA-存储XSS漏洞
Drink_J的博客
03-20 1058
(一)将DVWA的级别设置为low 1.分析源码,可以看到首先对两个参数使用trim函数过滤掉两边的空格,然后KaTeX parse error: Undefined control sequence: \” at position 84: …pslashes`函数过滤掉”\̲”̲; 对name参数中使用mysql_real_escape_string函数转义SQL语句中的特殊字符,trim函数去...
DVWA-master.zip
01-04
DVWA中的XSS练习涵盖了反射存储两种类,让你了解如何防范这种攻击,比如使用输入验证、转义特殊字符以及设置HTTP-only cookie等。 4. **命令注入** 在DVWA中,命令注入漏洞允许攻击者执行服务器上的任意...
DVWA-master安装包
02-28
2. **跨站脚本(XSS)**:分为反射存储两种,XSS允许攻击者通过注入可执行的JavaScript代码来窃取用户cookie或其他敏感信息。 3. **跨站请求伪造(CSRF)**:攻击者诱导用户执行非预期的操作,比如更改密码或...
DVWA--存储XSS(初中高)
firecjh的博客
06-09 722
选择“View Source”查看源程序,发现服务器端对message框内容使用了htmlspecialchars() 函数进行转义,对name框使用str_replace()函数进行替换。选择“View Source”查看源程序,对message参数进行html转义外,还对name参数使用preg_replace()函数进行替换,不能使用常用的绕过方法。2)在界面出现弹框,弹框内容为本人姓名拼音。2)在界面出现弹框,弹框内容为本人姓名拼音。3) 刷新页面,查看是否再次出现弹框,比较与反射XSS的区别。
DVWA】9. 存储XSS Stored(High+Impossible)
Zichel77的博客
12-14 422
DVWA靶机中High等级下的反射XSS类似,都用到了preg_replace()函数,它彻底的过滤了,不能绕过,同时针对于message模块,也有相当强大的过滤策略,message不存在存储XSS漏洞。,img调用图片,src所描述路径不存在,会导致onerror执行,从而时alert(1)函数触发,回显1。impossible就相当于给Name字段做了一个修复,和Message加上相同的防护即可。所以修改name字段的长度限制,使用其他标签,比如。该内容包含了PHP代码。
DVWAXSS存储
ANDTM的博客
06-26 814
存储XSS又称持久XSS,攻击脚本将被永久地存放在目标服务器的数据库或文件中,具有很高的隐蔽性。反射XSS的被攻击对象一般是攻击者去寻找的,就比如说:一个攻击者想盗取A的账号,那么攻击者就可以将一个含有反射XSS的特制URL链接发送给A,然后用花言巧语诱骗A点击链接。当A不小心点进去时,就会立即受到XSS攻击。这种攻击方式需要一点骗术,所以这种攻击范围不是特别的广,并且提交漏洞时要么平台不认,要么会被认定为低危漏洞
DVWA把玩:存储XSS
weixin_43466027的博客
04-16 310
XSS(跨站点脚本)是一种注入攻击。恶意脚本被注入到正常的网站中。 当攻击者使用Web应用程序将恶意代码(通常以浏览器脚本的形式)发送给其他最终用户时,就会发生XSS攻击。一般来说这种攻击发生的原因是没有对用户提交的输入进行过滤。 XSS一般分为反射存储。下面我们会用具体的例子来说明: 0x01 存储XSS 看一下靶场页面。我们的任务是通过下面的两个文本框做做弹窗——能弹窗就约等于能想干嘛干嘛了。 看一下网页源码,我们发现提交的内容会被一纯文本的形式放在网页上: low难度 low难度的话,我们可
XSS-存储
qq_39416206的博客
03-14 481
一、知识点 同源策略: 所谓同源:需要同 域名/host、端口、协议 存储xss是什么 提交恶意xss数据,存入数据库中,访问时触发。 存储xss可能出现的位置 可以插入数据的地方,比如用户注册,留言板,上传文件的文件名处,管理员可见的报错信息 获取到别人的Cookie怎么登陆别人用户 可以使用Burp抓包直接修改抓包数据,也可以使用浏览器修改Cookie,建议火狐浏览器 存储XSS怎么预防? XSS预防从两点出发,第一点不允许输入恶意字符,第二点不允许输出,都.
DVWAXSS(stored)存储XSS
RexHa的博客
10-08 2164
dvwa 存储XSS
存储XSS(Stored)DVWA等级绕过方法
12-01 3777
dvwa_存储XSS等级演示一、low级别绕过前端限制,修改输入长度二、Medium级别三、High级别四、dvwa_impossible分析 一、low级别 打开dvwa靶场,将等级设置为low,选中XSS(Stored) 这里有一个很明显的特征就是表单,遇到这种情况最好每个表单都输入内容,即XSS测试语句 先查看源码(View Source): <?php if( isset( $_POST[ 'btnSign' ] ) ) { // Get input $message =
dvwa存储xss获取cookie
06-06
DVWA存储XSS攻击可以通过注入恶意脚本来获取用户的cookie信息。攻击者可以在DVWA应用程序中的输入框中注入恶意脚本,当用户访问受影响的页面时,恶意脚本会被执行,将用户的cookie信息发送到攻击者的服务器上。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值