XSS(存储型)利用和实战

接着上篇的继续更!!!、

等级为:low

在这里插入图片描述
正常填写,emmmmm !!!

构造payload:<script>alert(/XSS/)</script>

在这里插入图片描述
查看源码:

<?php

if( isset( $_POST[ 'btnSign' ] ) ) {
    // Get input
    $message = trim( $_POST[ 'mtxMessage' ] );
    $name    = trim( $_POST[ 'txtName' ] );

    // Sanitize message input
    $message = stripslashes( $message );
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Sanitize name input
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Update database
    $query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    //mysql_close();
}

?> 

发现了一些函数:

trim(string,charlist)

函数移除字符串两侧的空白字符或其他预定义字符,预定义字符包括、\t、\n、\x0B、\r以及空格,可选参数charlist支持添加额外需要删除的字符。

mysql_real_escape_string(string,connection)

函数会对字符串中的特殊符号(\x00,\n,\r,\,‘,“,\x1a)进行转义。

stripslashes(string)

函数删除字符串中的反斜杠。

可以看到,对输入并没有做XSS方面的过滤与检查,且存储在数据库中,因此这里存在我们可以利用的存储型XSS漏洞。

想做一波进一步的利用,但是发现message对字符值有限制。

想通过burp试一下,
在这里插入图片描述
将message里的内容改为我们的恶意XSS代码
在这里插入图片描述

发包!!!
现在我们的代码已经存储在数据库里了!

在这里插入图片描述
我们按正常信息输入,去我文件夹里的cookie查看,
在这里插入图片描述
刚刚的cookie已经成功传入到我的文件里了(可以干啥上篇文章已经说类)!!!

实战总比理论有意思!

等级为:medium

还是原始的payload
在这里插入图片描述
少了<script>应该<script>还是被过滤掉了!!

大小写绕过,双写绕过也不行。

那就尝试下burp改一下试试。

Name和Message里只有Name可以通过双写绕过,Message却不行。

在这里插入图片描述
在这里插入图片描述
查看源码:

<?php

if( isset( $_POST[ 'btnSign' ] ) ) {
    // Get input
    $message = trim( $_POST[ 'mtxMessage' ] );
    $name    = trim( $_POST[ 'txtName' ] );

    // Sanitize message input
    $message = strip_tags( addslashes( $message ) );
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $message = htmlspecialchars( $message );

    // Sanitize name input
    $name = str_replace( '<script>', '', $name );
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Update database
    $query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    //mysql_close();
}

?> 

从源码里可以可以看到,message一栏经过严格的过滤,而且还经过htmlspecialchars()函数的处理,很难从message下手。

但是name一栏只是简单的用trim()函数,str_place()函数处理,可以通过双写绕过。

等级为:high

在这里插入图片描述
结果:
在这里插入图片描述
message,name一栏可能经过严格的过滤,但是我们可以使用img、iframe等其它的标签!!!

payload:<img src=1 onerror=alert(/XSS/)>

我们通过抓包更改name试一下。

在这里插入图片描述

在这里插入图片描述

也成功了!

看一下源码:

<?php

if( isset( $_POST[ 'btnSign' ] ) ) {
    // Get input
    $message = trim( $_POST[ 'mtxMessage' ] );
    $name    = trim( $_POST[ 'txtName' ] );

    // Sanitize message input
    $message = strip_tags( addslashes( $message ) );
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $message = htmlspecialchars( $message );

    // Sanitize name input
    $name = preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $name );
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Update database
    $query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    //mysql_close();
}

?> 

name栏的正则匹配,message栏的htmlspecialchars( )函数,俩栏都使用了很多的过滤方法!

XSS(存储型)结束了,下一篇DOM型XSS

  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
存储 XSS(Cross-Site Scripting)和反射 XSS 是两种常见的跨站脚本攻击方式。 存储 XSS 是指攻击者将恶意脚本存储到目标网站的数据库中,当其他用户访问该网站时,服务器会从数据库中取出恶意脚本并执行,从而导致攻击成功。这种攻击方式通常发生在具有用户输入功能的网站上,攻击者可以在用户提交表单、发布评论等地方注入恶意脚本。 反射 XSS 是指攻击者构造一个恶意的 URL,将恶意脚本作为参数传递给目标网站。当用户点击包含恶意 URL 的链接时,目标网站会将恶意脚本反射回用户的浏览器执行,从而导致攻击成功。这种攻击方式通常发生在搜索功能或错误消息页面等地方,攻击者可以通过欺骗用户点击恶意链接触发攻击。 为了防止存储和反射 XSS 攻击,开发人员可以采取以下措施: 1. 输入验证和过滤:对用户输入的数据进行验证和过滤,确保只允许合法的数据进入系统。可以使用特定的编码方式(如 HTML 编码)来处理用户输入,防止恶意脚本的执行。 2. 输出编码:在将数据输出到网页上时,使用适当的编码方式来转义特殊字符,例如使用 HTML 编码或 JavaScript 编码。 3. 严格的内容安全策略(CSP):通过设置合适的内容安全策略,限制网页中可以加载和执行的资源,防止恶意脚本的注入。 4. 使用 HttpOnly 标志:将敏感的 Cookie 标记为 HttpOnly,防止脚本获取和操作 Cookie 数据。 5. 定期更新和修补漏洞:及时更新和修补系统中的漏洞,以减少攻击者利用漏洞的机会。 这些是一些常见的防范措施,但并不是绝对可靠的。在开发过程中,还需要结合具体情况,并定期对系统进行安全评估和漏洞扫描,确保系统的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值