存储型XSS漏洞源码审计

最新推荐文章于 2025-03-14 19:49:37 发布
最新推荐文章于 2025-03-14 19:49:37 发布
阅读量1k 收藏 17
点赞数 35
文章标签: xss 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_74003366/article/details/139919204
版权

记一次简单的源码审计流程,审计方法参考先前博客:

phpstorm + phpstudy 进行php项目调试和调试时超出连接时长500问题_phpstudy接口请求超时-优快云博客

存储型XSS——/monstra-3.0.4/users/1/edit

漏洞复现

注册用户并登录,

获取Cookie: _ga=GA1.1.696573224.1717850752; XDEBUG_SESSION=XDEBUG_ECLIPSE; PHPSESSID=0c26ifno9mng4dsc3h99f8qnf2; _gid=GA1.1.1605504635.1718256879

,点击Edit profile进入/monstra-3.0.4/users/1/edit

在About Me字段输入payload:</textarea><script>alert(1)</script>

点击Save后,payload通过post方法发送给服务器

再次点击Edit profile进入/monstra-3.0.4/users/5/edit,返回页面就成功把payload显示到前端about_me字段

上述图片可以看到触发了XSS

该xss为存储型xss漏洞,刚刚输入的payload会存储在本地数据库\monstra-3.0.4\storage\database\users.table.xml中,以下是数据库中对应的内容

漏洞成因:

对于用户输入的数据</textarea><script>alert(1)</script>

虽然经过htmlspecialchars()函数转义特殊字符”<”,”>”为< >后

再存储  </textarea><script>alert(1)</script>

但是当网页再次通过以下方式读取时:

$xml = file_get_contents($file); $data = simplexml_load_string($xml);

$data->xpath()

会将数据库中原本已经成功转义在存储的特殊字符重新变回原本的”<”和”>”

从而导致xss漏洞产生

下面是源码调试过程:

Xss触发路径为/monstra-3.0.4/users/5/edit,

该路径对应的php文件:monstra-3.0.4/plugins/box/users/views/frontend/edit.view.php

edit.view.php文件第40行,调用echo方法直接输出$user数组变量中的’about_me’对应的value值;

而Array类型变量$user在edit.view.php的父文件users.admin.php中第114行定义,如下图

这一行代码中$users变量通过select方法,查询数据库中user_id对于的数据并通过Array的形式返回给先前提到的$user变量。

$user变量在users.admin.php中第22行定义,是一个Table类

Table类在monstra-3.0.4/engine/Xmldb/Table.php文件中被定义

在Table.php文件中第444行定义select方法,其中在454行调用xpath方法来对xml类型的数据库对象进行数据查询,并接受返回值

这个xml_object是Table类实例化时调用__constract()方法给实例的内置Array类型变量table所绑定的key,它在创建实例时赋初值,是SimpleXMLElement类型对象。对应函数参考下图:

可以发现其中的XML::loadFile方法就是返回’xml_object’对应的value取值

而在XML.php文件中的loadFile方法,最关键的两条函数便是

$xml = file_get_contents($file); $data = simplexml_load_string($xml);

最终return $data就是返回了SimpleXMLElement类型对象

补充payload存储时经过:

Payload在存储时会经过如下函数,被htmlspecialchar()转义特殊字符

总结:

当用户输入payload,存储进数据库后,再次访问/monstra-3.0.4/users/5/edit时,会因为执行echo $user[about_me]实现xss,这个$user的值是通过Table类的select方法:识别user_id拼接入xpath定位方法,查询对应数据库中的值并返回,生成SimpleXMLElement类型对象,再把SimpleXMLElement对象转换为对应Array类型对象然后retutn,最终赋值给$user[about_me]变量。虽然在用户写入payload时,会通过htmlspecialchars()函数转义特殊字符,当在读取数据时——“生成SimpleXMLElement类型对象”这一步会导致先前被转义字符变回原本字符形式,最终导致存储型xss漏洞。

OoLs
关注
存储XSS漏洞的挖掘
weixin_44186370的博客
08-20 1197
存储XSS漏洞的挖掘 在第2节中我们曾经演示过如何发掘一些简单的XSS漏洞,以及确定XSS漏洞的基本方法是使用攻击字符串。例如把“”之类的字符串提交给应用程序的每个参数,同时监控这个输入的响应,如果攻击字符串原样出现在响应中,那么几乎可以肯定应用程序存在XSS漏洞,现在的许多自动化测试工具就是基于这项规则实现的。但是有些时候使用上述基本方法,可能无法确定应用程序中是否存在XSS漏洞。因为触发XSS的形式和因素众多,而且手段灵活多变,所以,需要建立一套完整的测试方案,甚至要运用多种特别的方法和技术。实际上,
System call return value
farmwang的专栏
07-26 473
The return value from a system call is placed in the EAX register. It is your job to check the value in the EAX register, especially for failure conditions. .section .bss .lcomm pid, 4 .lcomm uid, 4
XSS平台源码(xsser.me)
12-27
XSS平台源码(xsser.me)
原理篇|XSS漏洞(Cross-site Script)
最新发布
qq_53058639的博客
03-14 941
***跨站脚本漏洞(cross-site script),按理应简称为css,但为了和层叠样式表有所区别,所以在安全领域称为XSSxss攻击,通常指攻击者通过“HTML注入”,篡改了网页,插入了恶意脚本文件,从而当用户访问该网页时,控制用户或盗取用户信息的一种攻击。恶意脚本不仅局限于JavaScript,也可以是VBscript、ActiveX、flash、HTML等。xss漏洞的本质:用户输入的信息未经过严格校验和过滤,而被浏览器解析执行。
xss源码(常用站源码附安装教程).rar
03-10
一份比较齐全的XSS平台源码,里面有部署文档,需要的自取。
xss游戏平台源码
12-12
xss游戏平台源码
xss源码 最新版源码
10-24
xssing源码-xss平台源码 xss渗透平台 最新源码
xss源码小游戏.rar
07-09
xss代码小游戏,你值得拥有,简单粗暴,带你学会xss,非常适合初学者.
YXcms-含有存储XSS漏洞源码
03-17
"YXcms-含有存储XSS漏洞源码包" 这个标题揭示了我们要讨论的核心内容。YXcms是一个内容管理系统(CMS),它不幸地包含了存储跨站脚本(Stored XSS)的安全漏洞存储XSSXSS攻击的一种类,这种漏洞通常...
YXcms-含有存储XSS漏洞源码包(1).zip
12-31
YXcms是一个常见的内容管理系统,但在这个特定的版本——"YXcms-含有存储XSS漏洞源码包(1).zip"中,存在一个严重的安全问题:存储跨站脚本(Stored Cross-Site Scripting,简称存储XSS漏洞。这种漏洞允许...
揭秘efucms存储XSS漏洞源码
资源摘要信息:"efucms-含有存储XSS漏洞源码包.zip" 在IT行业中,尤其是网络安全领域,XSS(跨站脚本攻击)是常见的安全漏洞之一。XSS漏洞允许攻击者在用户浏览网页时,向其中注入恶意脚本代码,当其他用户浏览...
XSS平台源代码,最新版本。适合自己部署
03-26
XSS平台源代码,最新版本。适合自己部署,有喜欢信息安全的小伙伴可以一起沟通交流。
最新完善版XSS平台源码.zip
11-08
在优快云上找了好多都是收费好贵的XSS平台源码,为了不让大家损失过多的币,忍痛把自己的源码分享低价给大家用。比某些黑心的分享者50币..要好点吧,代码是一样的,都是最新的。里面只有个默认模块,那些Xss注入语句模块是需要大家自己去找的。放心绝对纯净无后门
XSS平台bxss源码
03-17
XSS平台bxss源码
XSS搭建教程以及源码
05-05
XSS搭建教程以及源码
2020年最新版本_XSS平台源码_超强版.rar
05-08
2020年最新版本_XSS平台源码_超强版
【Java代码审计 | 第五篇】XSS漏洞成因+实战案例
等风来
03-07 907
XSS(跨站脚本攻击,Cross-Site Scripting)是一种常见的Web安全漏洞,攻击者通过在网页中注入恶意脚本,使得这些脚本在用户的浏览器中执行。XSS攻击通常分为以下三种类1、存储XSS:恶意脚本被永久存储在目标服务器上(如数据库),当用户访问包含该脚本的页面时,脚本被执行。2、反射XSS:恶意脚本作为请求的一部分发送到服务器,服务器将脚本嵌入到响应中返回给用户,脚本在用户浏览器中执行。3、DOMXSS:恶意脚本通过修改页面的DOM结构来执行,不经过服务器处理。
xss源代码练习(一)
Reset
11-27 4770
Xss练习代码 1. &lt;script&gt;alert(/xss/)&lt;/script&gt;       2. 有两个地方输出,第一个是php中的恶臭,做了过滤,第二个是input标签中没有过滤,于是在input标签中插入payload (1)还在input里面,添加事件 移动下鼠标即可触发payload为:    " onmouseover="alert...
XSS攻防实战(附JS源码
我本可以容忍阳光,如果我不曾见过太阳,然而阳光已使我荒凉,成为更新的荒凉。
09-07 1147
授权转载自:乔珂力https://juejin.im/post/6867184627393265677之前写过两篇文章分别介绍了 Cookie :https://juejin.im/p...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值