DVWA-XSS

最新推荐文章于 2022-12-20 19:48:52 发布
最新推荐文章于 2022-12-20 19:48:52 发布
阅读量256 收藏
点赞数
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_60848021/article/details/125459561
版权

                                                    一,反射型

1,LOW

先使用<script>进行检测

可以弹出窗口

 

 代码分析:

<?php

header ("X-XSS-Protection: 0");

// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
    // Feedback for end user
    echo '<pre>Hello ' . $_GET[ 'name' ] . '</pre>';
}

?>

直接引用了name参数,并没有做任何的过滤与检查。

2,Medium

源码分析:

<?php

header ("X-XSS-Protection: 0");

// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
    // Get input
    $name = str_replace( '<script>', '', $_GET[ 'name' ] );

    // Feedback for end user
    echo "<pre>Hello ${name}</pre>";
}

?>

使用str_replace函数将”<script>"标签转换为空。

可以使用JS伪协议:

<a href = javascript:alert(/xss/) >click me!</a>

 

还可以使用双写或者大小写转换,Html事件进行弹窗,这里不一 一 展示了

双写:<scr<script>ipt>alert(/xss/)</script>

大小写转换:<ScRiPt>alert(/xss/)</script>

事件触发:<img ONerror = 'alert(/xss/)' src = "#">

 3,Hight

源码分析:

<?php

header ("X-XSS-Protection: 0");

// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
    // Get input
    $name = preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $_GET[ 'name' ] );

    // Feedback for end user
    echo "<pre>Hello ${name}</pre>";
}

?>

使用preg_replace()函数:执行正则表达式的搜素和替换,对<script中的每一个词的大小写进行了无限次过滤,所以不能双写,大小写转换,JS伪协议。可以使用事件触发:

<img ONerror = 'alert(/xss/)' src = "#" >

 

 4,Impossible

源码分析:

<?php

// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Get input
    $name = htmlspecialchars( $_GET[ 'name' ] );

    // Feedback for end user
    echo "<pre>Hello ${name}</pre>";
}

// Generate Anti-CSRF token
generateSessionToken();

?>

多了user_token和session_token,这是防csrf的,因为经常是xss+csrf结合攻击。然后他对我们输入的内容用htmlspecialchars() 函数进行处理。

htmlspecialchars()

htmlspecialchars()函数是使用来把一些预定义的字符转换为HTML实体,返回转换后的新字符串

&       转换为&amp
"        转换为&quot
'         转换为成为 
<       转换为&lt
>       转换为&gt

目前没有想到有效的办法可以绕过。

                                                               二,存储型

1,LOW

源码分析:

<?php

if( isset( $_POST[ 'btnSign' ] ) ) {
    // Get input
    $message = trim( $_POST[ 'mtxMessage' ] );
    $name    = trim( $_POST[ 'txtName' ] );

    // Sanitize message input
    $message = stripslashes( $message );
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Sanitize name input
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Update database
    $query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    //mysql_close();
}

?>

未走任何过滤。

存储型XSS又称之为持久型XSS,与反射型XSS,DOM型XSS相比,具有更高的隐蔽性。存储型XSS是最危险的一种跨站脚本,与前两者相比最大的区别在于反射型XSS和DOM型XSS执行都必须依靠用户手动去触发,存储型XSS却不需要。

 

 

 每次刷新该页面都会弹窗

 2,Medium

源码分析:

<?php

if( isset( $_POST[ 'btnSign' ] ) ) {
    // Get input
    $message = trim( $_POST[ 'mtxMessage' ] );
    $name    = trim( $_POST[ 'txtName' ] );

    // Sanitize message input
    $message = strip_tags( addslashes( $message ) );
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $message = htmlspecialchars( $message );

    // Sanitize name input
    $name = str_replace( '<script>', '', $name );
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Update database
    $query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    //mysql_close();
}

?>

addslashes(string) :函数返回在预定义字符之前添加反斜杠的字符串,预定义字符 ’ 、" 、\ 、NULL。

strip_tags(string) :函数剥去string字符串中的 HTML、XML 以及 PHP 的标签。

htmlspecialchars(string): 把预定义的字符 “<” (小于)、 “>” (大于)、& 、‘’、“” 转换为 HTML 实体,防止浏览器将其作为HTML元素。

可以看到,$message已经被过滤了xss,但是name只是过滤了<script>,没有进行严格过滤。可以利用大小写绕过。

在name输入发现输入的数字不多,我们打开 开发者工具,修改 maxlength=100即可

 

 

 3,Hight

源码分析:

<?php

if( isset( $_POST[ 'btnSign' ] ) ) {
    // Get input
    $message = trim( $_POST[ 'mtxMessage' ] );
    $name    = trim( $_POST[ 'txtName' ] );

    // Sanitize message input
    $message = strip_tags( addslashes( $message ) );
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $message = htmlspecialchars( $message );

    // Sanitize name input
    $name = preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $name );
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Update database
    $query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    //mysql_close();
}

?>

name 使用preg_replace()函数:执行正则表达式的搜素和替换,对<script中的每一个词的大小写进行了无限次过滤,所以不能双写,大小写转换,JS伪协议。可以使用事件触发

先将maxlength修改为100,在name输入事件触发代码:<img ONerror = 'alert(/xss/)' src = "#">

 

4,Impossible

源码分析:

<?php

if( isset( $_POST[ 'btnSign' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Get input
    $message = trim( $_POST[ 'mtxMessage' ] );
    $name    = trim( $_POST[ 'txtName' ] );

    // Sanitize message input
    $message = stripslashes( $message );
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $message = htmlspecialchars( $message );

    // Sanitize name input
    $name = stripslashes( $name );
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $name = htmlspecialchars( $name );

    // Update database
    $data = $db->prepare( 'INSERT INTO guestbook ( comment, name ) VALUES ( :message, :name );' );
    $data->bindParam( ':message', $message, PDO::PARAM_STR );
    $data->bindParam( ':name', $name, PDO::PARAM_STR );
    $data->execute();
}

// Generate Anti-CSRF token
generateSessionToken();

?>

message 和 name都使用了htmlspecialchars()函数,无法注入。

                                                                 三,DOM型

1,low

源码分析:

<?php

# No protections, anything goes

?>

没有任何过滤和防护

 

 2,Medium

源码分析:

<?php

// Is there any input?
if ( array_key_exists( "default", $_GET ) && !is_null ($_GET[ 'default' ]) ) {
    $default = $_GET['default'];
    
    # Do not allow script tags
    if (stripos ($default, "<script") !== false) {
        header ("location: ?default=English");
        exit;
    }
}

?>

查看“<script"在$default中是否出现,出现的话输出”location: ?default=English“。

过滤了”<script",不区分大小写,使用事件触发

 

 3,hight

源码分析:

<?php

// Is there any input?
if ( array_key_exists( "default", $_GET ) && !is_null ($_GET[ 'default' ]) ) {

    # White list the allowable languages
    switch ($_GET['default']) {
        case "French":
        case "English":
        case "German":
        case "Spanish":
            # ok
            break;
        default:
            header ("location: ?default=English");
            exit;
    }
}

?>

这里high级别的代码先判断defalut值是否为空,如果不为空的话,再用switch语句进行匹配,如果匹配成功,则插入case字段的相应值,如果不匹配,则插入的是默认的值。此时,在URL中添加注释#注释的内容不会提交到服务器,而是在浏览器执行:尝试French#< script >alert(“x”);</script>

 4,Impossible

源码分析:

<?php

# Don't need to do anything, protction handled on the client side

?>

当我们尝试注入时,我们注入的内容都会经过URL编码显示在输入框,经过URL编码的内容被放在HTML标签中,而没有经过解码。所以不存在注入。

一条贤鱼的学习站
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
DVWA-master.7z 压缩包
09-14
- 跨站脚本(XSS):攻击者通过在网页中插入恶意脚本,使用户浏览器执行。 - 跨站请求伪造(CSRF):攻击者利用用户的已登录状态,诱使用户进行非预期的操作。 - 文件包含漏洞:允许攻击者将外部文件内容包含到应用...
信安学习day9:XSS跨站脚本攻击漏洞——基础篇
weixin_73760178的博客
08-13 97
攻击者通过网站注入点注入客户端可执行解析的payload(脚本代码),当用户访问网页时,恶意payload自动加载并执行,以达到攻击者的目的。
小技巧|addslashes绕过
weixin_30906425的博客
11-26 1534
1:字符编码问题导致绕过 1.1、设置数据库字符为gbk导致宽字节注入 1.2、使用icon,mb_convert_encoding转换字符编码函数导致宽字节注入 2:编码解码导致的绕过 2.1、url解码导致绕过addslashes 2.2、base64解码导致绕过addslashes 2.3、json编码导致绕过addslashes 3:一些特殊情况导致的绕过 ...
mysql 绕过addslashes_代码审计Day13 - 特定场合下addslashes函数的绕过
weixin_34236986的博客
02-07 676
原标题:代码审计Day13 - 特定场合下addslashes函数的绕过前言大家好,我们是红日安全-代码审计小组。最近我们小组正在做一个PHP代码审计的项目,供大家学习交流,我们给这个项目起了一个名字叫PHP-Audit-Labs。现在大家所看到的系列文章,属于项目第一阶段的内容,本阶段的内容题目均来自PHP SECURITY CALENDAR 2017。对于每一道题目,我们均给出对应的分析,并结...
基于DVWAXSS学习_1
m0_47129108的博客
12-14 180
存储XSS 存储XSS,持久化,代码是存储在服务器中的,如在个人信息或发表文章等地方,加入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,用户访问该页面的时候触发代码执行。这种XSS比较危险,容易造成蠕虫,盗窃cookie等。参考自:路西法. 攻击者事先将恶意代码上传或储存到漏洞服务器中,只要受害者浏览包含此恶意代码的页面就会执行恶意代码。这就意味着只要访问了这个页面的访客,都有可能会执行这段恶意脚本,因此储存XSS的危害会更大。因为存储XSS的代码存在于网页的代码中,可以说是永久的。
htmlspecialchars详解
天天学安全专属博客
03-23 5903
1.首先看下面的代码 <?php $str = "This is <br> text"; echo htmlspecialchars($str); ?> 你运行一下会发现显示完全正确,显示为: This is <br> text 你查看源代码会发现: This is &lt;br&gt; text htmlspecialchars()的作用就是显示完全正确,但是源码改变,具体改变规则如下: '&amp
DVWA-master.zip
01-04
DVWA中的XSS练习涵盖了反射存储两种类,让你了解如何防范这种攻击,比如使用输入验证、转义特殊字符以及设置HTTP-only cookie等。 4. **命令注入** 在DVWA中,命令注入漏洞允许攻击者执行服务器上的任意...
DVWA-master安装包
02-28
2. **跨站脚本(XSS)**:分为反射存储两种,XSS允许攻击者通过注入可执行的JavaScript代码来窃取用户cookie或其他敏感信息。 3. **跨站请求伪造(CSRF)**:攻击者诱导用户执行非预期的操作,比如更改密码或...
DVWA-2.0.1
09-23
DVWA 2.0.1是该应用的一个版本,包含了多种常见的Web应用漏洞,如SQL注入、跨站脚本(XSS)、文件包含、命令注入等,方便进行渗透测试和安全教育。 在这个版本中,"混淆.txt"可能是一个用于记录代码混淆相关的文件...
wmm的学习日记(XSS跨站脚本漏洞)
swmmbswzy的博客
12-20 141
结合DVWAXSS部分简单了解XSS
DVWA靶场通关(XSS
m0_56010012的博客
03-22 9094
XSS漏洞 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets,缩写:CSS)混淆,所以架构跨站脚本攻击缩写为XSSXSS就是攻击者在web页面插入恶意的Script代码,当用户浏览该页面时,嵌入其中的js代码会被执行,从而达到恶意攻击的目的。某种意义上也是一种注入攻击,是指攻击者在页面中注入恶意的脚本代码,当受害者访问该页面时,恶意代码会在其浏览器上执行,需要强调的是,XSS不仅仅限于JavaScript,还包括flash等其它脚
编程语言php中htmlspecialchars、strip_tags、addslashes函数的简单介绍
10-30 264
编程语言php中htmlspecialchars、strip_tags、addslashes函数的简单介绍 在网页程序开发中,htmlspecialchars、strip_tags、addslashes函数是最常见的,本篇文章将会分别来介绍这三个函数。 1.strip_tags()函数 strip_tags() 函数去除字符串中的 HTML、XML 以及 PHP 的标签。 示例 <?php $name="Hello <b>world!</b>"; $tags=s
htmlspecialchars、strip_tags和addslashes的区别
houzqiang的专栏
09-23 609
一直搞不明白三者区别,今天写下。 htmlspecialchars() 函数把一些预定义的字符转换为 HTML 实体。 预定义的字符是: & (和号) 成为 &" (双引号) 成为 "' (单引号) 成为 '> (大于) 成为 > addslashes() 函数在指定的预定义字符前添加反斜杠。 这些预定义字符是: 单引号 (')双引号 ("
DVWA存储XSS不同级别完美绕过
过客璇璇的博客
04-08 9540
DVWA存储XSS不同级别完美绕过 Low级别 首先攻击者A访问这个网站 判断这个网站是否有XSS漏洞 发现是有XSS漏洞的 这时 攻击者A构造一个脚本 获取用户cookie 攻击者写好脚本以及测试这是否存在XSS <script>alert(1)</script> 以上看到当再次访问这个网站时是出来这...
通过DVWA学习存储XSS漏洞
Mi1k7ea
03-05 5413
存储XSS正如其名,是存储在服务器上,只要用户一访问到相应的页面就会被执行恶意代码,其危害比反射的大得多。 Low级: 在输入正常的内容之后,所输入的内容会保存在该页面,那么先来测试是否存在XSS漏洞,分别对Name和Message两个选项进行测试、用Burpsuite抓包查看。 一开始在Name中输入发现有字符限制,其中涉及到对输入数据长度最大的限制,即maxlength=xx。由
DVWA通关教程(下)
qq_50854662的博客
05-28 2082
XSS(DOM) XSS(DOM)是一种基于DOM树的一种代码注入攻击方式,可以是反射的,也可以是存储的,所以它一直被划分第三种XSS 与前两种XSS相比,它最大的特点就是不与后台服务器交互,只是通过浏览器的DOM树解析产生 除了js,flash等脚本语言也有可能存在XSS漏洞 难度(low) 审计代码 <?php # No protections, anything goes ?> 无任何过滤 所以我们可以构造XSS代码,访问链接: http://127.0.0.
PHP的htmlspecialchars、strip_tags、addslashes解释
weixin_34191845的博客
07-01 159
2019独角兽企业重金招聘Python工程师标准>>> ...
DVWA XSS (Stored) 通关教程
weixin_30703911的博客
08-20 1212
Stored Cross Site Scripting 存储XSS,持久化,代码是存储在服务器中的,如在个人信息或发表文章等地方,加入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,用户访问该页面的时候触发代码执行。这种XSS比较危险,容易造成蠕虫,盗窃cookie等。 Low Security Level DVWA XSS (Stored) 通关教程 W...
DVWAXSS
谢公子的博客
08-05 1944
  XSS XSS,全称Cross Site Scripting,即跨站脚本攻击,某种意义上也是一种注入攻击,是指攻击者在页面中注入恶意的脚本代码,当受害者访问该页面时,恶意代码会在其浏览器上执行,需要强调的是,XSS不仅仅限于JavaScript,还包括flash等其它脚本语言。根据恶意代码是否存储在服务器中,XSS可以分为存储XSS与反射XSS。 DOMXSS由于其特殊性,常...
DVWA-XSS(DOM)
最新发布
08-25
DVWA-XSS(DOM)是指DVWA靶机学习中的一种XSS攻击,它利用了DOM(文档对象模)中的漏洞。DOM是一个与平台、编程语言无关的接口,允许程序或脚本动态地访问和更新文档内容、结构和样式。而DVWA-XSS(DOM)攻击则是通过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值