DVWA通关之Stored-XSS

最新推荐文章于 2023-05-18 19:14:28 发布
最新推荐文章于 2023-05-18 19:14:28 发布
阅读量169 收藏 1
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47912094/article/details/119366108
版权

存储型XSS

Low:

源码分析一下:

<?php

if( isset( $_POST[ 'btnSign' ] ) ) {
    // Get input
// trim(string,charlist)
函数移除字符串两侧的空白字符或其他预定义字符,预定义字符包括、\t、\n、\x0B、\r以及空格,可选参数charlist支持添加额外需要删除的字符。
    $message = trim( $_POST[ 'mtxMessage' ] );
    $name    = trim( $_POST[ 'txtName' ] );

    // Sanitize message input
// stripslashes(string)
函数删除字符串中的反斜杠。
    $message = stripslashes( $message );
// mysqli_real_escape_string(string,connection)
函数转义在 SQL 语句中使用的字符串中的特殊字符。
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Sanitize name input
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Update database
    $query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    //mysql_close();
}

?>

对输入并没有做XSS方面的过滤与检查,且存储在数据库中,因此这里存在明显的存储型XSS漏洞。

message一栏输入payload:

成功弹窗;
在这里插入图片描述

Medium:

源码分析一下:

<?php

if( isset( $_POST[ 'btnSign' ] ) ) {
    // Get input
    $message = trim( $_POST[ 'mtxMessage' ] );
    $name    = trim( $_POST[ 'txtName' ] );

    // Sanitize message input
// strip_tags() 函数剥去字符串中的HTML、XML以及PHP的标签,但允许使用<b>标签
// addslashes() 函数返回在预定义字符(单引号、双引号、反斜杠、NULL)之前添加反斜杠的字符串
    $message = strip_tags( addslashes( $message ) );
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $message = htmlspecialchars( $message );

    // Sanitize name input
    $name = str_replace( '<script>', '', $name );
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Update database
    $query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    //mysql_close();
}

?>

和反射型xss一样,过滤了script,并且在Message栏加入了htmlspecialchars进行实体转换,虽然无法再通过message参数注入XSS代码,但是对于name参数,只是简单过滤了。

方法1:
双写绕过
抓包改name参数为<sc 。
方法3:
也可以通过修改前端name的字数限制,然后在name输入payload。

High:

源码分析一下:

<?php

if( isset( $_POST[ 'btnSign' ] ) ) {
    // Get input
    $message = trim( $_POST[ 'mtxMessage' ] );
    $name    = trim( $_POST[ 'txtName' ] );

    // Sanitize message input
    $message = strip_tags( addslashes( $message ) );
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $message = htmlspecialchars( $message );

    // Sanitize name input
    $name = preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $name );
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Update database
    $query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    //mysql_close();
}

?>

massage栏进行了实体转换,name栏通过正则过滤了script,但忽略了img、iframe等其它危险的标签,因此name参数依旧存在存储型XSS。

方法可以用抓包也可以修改name的限制,和反射型XSS一样,通过替换script。

CoOlCoKeZ
关注
XSS(Stored)
kid的博客
05-02 2942
XSS(Stored) 前言 看了一个web的安全视频,里面有说说有的web漏洞都是输入输出的控制问题,虽然感觉说的太笼统了。但确实没什么毛病。sql注入来说,对用户的输入做好处理,对服务端的输出做好处理,对于我这样的菜鸡来说就很难了(字符型注入对单引号转义就感觉好难做啊) XSS也是这样。因为对用户输入控制的不严格,让用户的输入被当做代码执行。这和sql感觉就十分相似了。只不过一个是对数据库一个...
DVWA靶机通关系列--1.Brute Force(暴力破解)(解题思路+审计分析)
ElsonHY的博客
11-29 956
DVWA靶机通关系列--1.Brute Force(暴力破解)(解题思路+审计分析)前言0x01 Brute Force(暴力破解)CLASS:LOWCLASS:MEDIUMCLASS:HIGHCLASS:IMPOSSIBLE 前言 最近在复习一些基础的常见web漏洞,经典的靶机大家肯定最先想到的就是DVWA了,我用的是1.10版本,目前里面的题型包括了14个专题板块,题目难度也分为低(low)中(medium)高(high)和不可能(impossible)几个等级。 Brute Force(暴力破解
Stored XSS攻击
weixin_33712881的博客
03-01 264
XSS(Cross Site Scripting) 即跨域脚本攻击,向被攻击网站注入恶意脚本,恶意脚本获取到数据发送到另外一个域的网站上。 Stored XSS攻击 即存储式XSS攻击。 把恶意脚本存储到被攻击者的网站的数据库。 其他人访问数据库中的恶意脚本代码后,浏览器执行恶意脚本,被攻击。 存储式攻击不止一次攻击,并且被攻击的人不止一个,影响范围大。 Stored X...
xssstored)
yuysjx的博客
02-12 186
xss
DVWAStored XSS(存储型XSS)
谢公子的博客
10-04 9691
目录 Low Medium High Impossible Low 源代码: &lt;?php if( isset( $_POST[ 'btnSign' ] ) ) { // Get input $message = trim( $_POST[ 'mtxMessage' ] ); $name = trim( $_POST[ 'txtName' ] );...
DVWAXSSstored)存储型XSS
RexHa的博客
10-08 2068
dvwa 存储型XSS
DVWA靶机通关系列--3.CSRF(跨站点请求伪造)(解题思路+审计分析)
ElsonHY的博客
12-14 548
DVWA靶机通关系列--3.CSRF(跨站点请求伪造)(解题思路+审计分析)前言0x01 CSRF(跨站点请求伪造)CLASS LOWCLASS:MEDIUMCLASS:HIGH总结 前言 这时肯定有小伙伴要说了,“哎呀你怎么第二关的命令注入还没讲就直接讲第三关了???小R你不讲5的,我劝你耗子尾汁……” 开个玩笑,因为最近面试经常被问到关于CSRF的问题,也重新对该部分的理论基础复习了一下,想着趁热打铁,先写这一部分,这样写的过程思路也可能会相对清晰一点,下一篇一定写第二关= =(狗头保命)。 B
DVWA靶场之xss通关笔记,详解带截图
AboutLzs的博客
03-21 1447
DVWA靶场Xss通关笔记
DVWA通关教程(下)
Bu2n的博客
12-01 2994
Weak Session IDs XSS(DOM) XSS(Reflected) XSS(Stored) CSP Bypass JavaScript
DVWA靶场通关实战
qaq517384的博客
11-28 2436
Brute Force Command Injection CSRF File Inclusion File Upload Insecure CAPTCHA SQL Injection SQL Injection Weak Session IDs XSS (DOM) XSS(Reflected) XSSStored) CSP Bypass JavaScript
XSSStored)
陌茗228.的博客
04-22 194
XSSStored): 存储型跨站脚本攻击 Low: <?php if( isset( $_POST[ 'btnSign' ] ) ) { // Get input $message = trim( $_POST[ 'mtxMessage' ] ); $name = trim( $_POST[ 'txtName' ] ); // Sanitize message input $message = stripslashes( $message );
DVWA通关--存储型XSSXSS (Stored))
箭雨镜屋
07-16 6860
LOW 通关步骤 源码分析 MEDIUM 通关步骤 源码分析 HIGH 通关步骤 源码分析 IMPOSSIBLE 源码分析 总结
DVWAStored XSS(存储型XSS)代码审计
内心不种满鲜花就会长满杂草
08-27 3717
目录 Low Medium Hight Impossible Low 关键源码 trim(string,charlist) : 移除string字符两侧的预定义字符,预定义字符包括\t 、 \n 、\x0B 、\r以及空格,可选参数charlist支持添加额外需要删除的字符 stripslashes(string): 去除掉string字符的反斜杠\ mysqli_real_escape_string(string,connection) :函数会对字符串string中的特殊符号(\x
DVWA--XSS (Stored)
When you collect everything, you understand nothing.
09-08 476
0x00 概述 存储型xss的不同之处在于,它可以将用户构造的有害输入直接存储起来,不需要攻击者构造链接诱使受害人点击触发,而是目标网站的用户只要访问插入恶意代码的网站就能触发,相比较反射型xss更为隐蔽,危害更大,受害者也会更多。 观察存储型XSS的PHP源代码可知,其各个级别的过滤策略与反射型类似,Payload也类似,这里不再赘述。与前面的反射型XSS有如下两点不同的是: 0x01 ...
DVWA--XSS(Stored)(存储型XSS)(全难度)
wwxxee
03-03 382
DVWAXSS(Stored)(存储型XSS) 原理参考:网络安全笔记-99-渗透-XSS 逻辑 输入姓名与留言,可以在下方显示。 难度分级 Low 核心代码 <?php if( isset( $_POST[ 'btnSign' ] ) ) { // Get input $message = trim( $_POST[ 'mtxMessage' ] ); $name = trim( $_POST[ 'txtName' ] ); // Sanitize m
DVWA--XSS(stored)
weixin_30410119的博客
05-23 216
XSS 0X01 1、简介 跨站脚本(cross site script)为了避免与样式css混淆,所以简称为XSSXSS是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。那么什么是XSS呢? XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去。使别的用户访问都会执行相应的嵌入代码。 从而盗...
[网络安全]DVWAXSS(Stored)攻击姿势及解题详析合集
等风来
05-18 4939
trim() 函数移除字符串两侧的空格,以确保数据在插入到数据库时没有多余的空白字符。 使用 stripslashes() 函数去除反斜杠,同时使用 mysqli_real_escape_string() 函数转义特殊字符。使用 mysqli_real_escape_string() 函数将特殊字符转义为它们的 Unicode 编码,以确保它们不会被视为 SQL 语句的一部分。从源代码来看,它没有明确的防御 XSS 攻击的措施。
DVWA4_Stored XSS(存储型XSS)
weixin_44193247的博客
03-10 243
DVWA漏洞复现练习篇
DVWA-XSS(DOM)
最新发布
08-25
DVWA-XSS(DOM)是指DVWA靶机学习中的一种XSS攻击,它利用了DOM(文档对象模型)中的漏洞。DOM是一个与平台、编程语言无关的接口,允许程序或脚本动态地访问和更新文档内容、结构和样式。而DVWA-XSS(DOM)攻击则是通过在DOM中注入恶意脚本来篡改网页,从而控制用户浏览器的一种攻击行为。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [houkc.github.io:HouKC的博客](https://download.csdn.net/download/weixin_42157567/18459500)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [DVWA-XSS(DOM)](https://blog.csdn.net/weixin_44866139/article/details/104101228)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值