前言
本篇文章为DVWA平台XSS(跨站脚本漏洞)类型题目,本篇文章目的为记录自己的作题过程并且希望能够帮到大家,如有错误还请各位师傅指正!
本篇文章会同步至本人博客https://tenghy.gitee.io/teng/
环境&工具:
Windows10、phpstudy
正文
反射型XSS:反射型XSS又叫持久型XSS攻击,是攻击者发送一个带有恶意脚本的URL诱导他人点击,进一步触发脚本在浏览器上面运行。因为需要他人点击,所以链接都会具有诱惑性的名称。
存储型XSS:攻击者通过各种方式把恶意脚本代码写进被攻击的服务器数据库,当用户打开浏览页面时,浏览器会从数据库读取到被存入的恶意脚本,进而触发脚本受到攻击。
需要说明的一点是XSS和CSRF的区别在于XSS是攻击者利用用户对服务器的信任,而CSRF是利用服务器对客户端的信任。
level:
low
反射型:XSS(Reflected)
因为步骤繁琐所以就不再一步一步的挨着说明,这里只进行关键步骤的说明:
TenG<script>alert(“XSS”)</script>
直接在文本框里面输入的名字后面加上JavaScript脚本(Java脚本这里不再讲解),由于浏览器没有进行任何过滤(查看源码可以看到),所以可以成功提交,结果如下:
从上面两个图片可以看出浏览器成功执行了Java脚本,而且回显字段只是识别了TenG,成功注入。
存储型:XSS(Stored)
脚本<script>alert(document.cookie)</script>
可以看到成功返回了浏览器的cookie,而且下次再次访问此页面会自动执行该脚本(脚本被存放在了数据库),因为信息那里只写入了脚本所以没有不回显内容。
medium
反射型:XSS(Reflected)
<?php
header ("X-XSS-Protection: 0");
// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
// Get input
$name = str_replace( '<script>', '', $_GET[ 'name' ] );
// Feedback for end user
echo "<pre>Hello ${name}</pre>";
}
?>
从源码可以看到对字符"<script>"进行了过滤,替换为空字符,那么就想办法绕过,方法有很多,直接大小写绕过就可以了:
TenG<script>alert(“XSS”)</script>
成功绕过。存储型在Message字段做的过滤比较严格,可以用同样的方法在name嵌入脚本,不过name字段输入的最大字符数是10,可以F12在源码里面修改输入字段,不再赘述。
high
反射型:XSS(Reflected)
<?php
header ("X-XSS-Protection: 0");
// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
// Get input
$name = preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $_GET[ 'name' ] );
// Feedback for end user
echo "<pre>Hello ${name}</pre>";
}
?>
从源码中可以看到使用正则匹配进行了过滤,不能再使用类似双写大小写绕过了,我们可以是用HTML标签属性的事件进行触发:
<body>οnlοad=“alert(‘XSS’)”</body>
成功绕过。
存储型:XSS(Stored)
脚本:<img src=# οnerrοr=alert(document.cookie)>
name的过滤规则同反射型一样,不过这里用不了<body>标签了,而且双标签都不能用,onload属性也不能用了,不知道为啥,还望各位师傅多多指点,这里附上onload事件和onerror事件的作用:
onload: 页面加载之后立即执行一段 JavaScript
onerror: onerror 事件会在文档或图像加载过程中发生错误时被触发。
好了,本篇文章到此结束,欢迎给位师傅指正!
1005
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
