DVWA之XSS

最新推荐文章于 2024-09-19 11:51:52 发布
最新推荐文章于 2024-09-19 11:51:52 发布
阅读量439 收藏 1
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_39670065/article/details/107885137
版权
这篇博客详细介绍了DVWA中的三种XSS攻击类型:反射型、存储型和DOM型,包括各种安全级别下的攻击手段与防御策略。在反射型XSS中,作者展示了如何通过双写和大小写绕过过滤。存储型XSS部分讨论了不同安全级别下如何利用和绕过过滤。最后,DOM型XSS解释了其与前两者的主要区别,并探讨了客户端防护机制。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Reflected Cross Site Scripting (XSS)

low
在这里插入图片描述直接尝试<script>alert('xss')</script>
在这里插入图片描述弹窗成功

medium

还是先尝试<script>alert('xss')</script>

在这里插入图片描述
发现并没有弹窗但页面显示了Hello alert('xss')
猜测是<script>被删除

看波源码

<?php

header ("X-XSS-Protection: 0");

// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
    // Get input
    $name = str_replace( '<script>', '', $_GET[ 'name' ] );

    // Feedback for end user
    echo "<pre>Hello ${name}</pre>";
}

?>

可见str_replace函数将<script>删除

那可以尝试一下双写或者大小写绕过

因为删除的是<script>所以双写时尝试<s<script>cript>进行绕过

使用

<s<script>cript>alert('xss')</script>

成功绕过

在这里插入图片描述
再来尝试一下大小写<SCript>alert('xss')</script>

在这里插入图片描述成功

high

同样先尝试<script>alert('xss')</script>

在这里插入图片描述
发现页面显示除了hello只有>

猜测也是将某个关键词过滤了

看波源码

<?php

header ("X-XSS-Protection: 0");

// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
    // Get input
    $name = preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $_GET[ 'name' ] );

    // Feedback for end user
    echo "<pre>Hello ${name}</pre>";
}

?>

preg_replace函数执行一个正则表达式的搜索和替换,也就是<,s,c,r,i,p,t均被替换为空,双写大小写绕过均不能使用

遇到这种情况一般要考虑使用input标签的一些特殊事件来执行js代码,如onfocus事件onmouseover事件

尝试onfocus=javascript:alert('xss')发现行不通。。
在这里插入图片描述

再来尝试换一个标签来执行js代码,构造a标签再尝试利用a标签的href属性执行js代码<a href=javascript:alert('xss') > xss</a>

也不行。。
在这里插入图片描述这里还要换标签
可以通过img、body等标签的事件或者iframe等标签的src注入的js代码

使用<img src=1 onerror=alert('xss')>
在这里插入图片描述成功

impossible

老样子尝试<script>alert('xss')</script>
在这里插入图片描述会发现全显示了

看源码

<?php

// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Get input
    $name = htmlspecialchars( $_GET[ 'name' ] );

    // Feedback for end user
    echo "<pre>Hello ${name}</pre>";
}

// Generate Anti-CSRF token
generateSessionToken();

?>

原因是htmlspecialchars函数会把预定义的字符&'''<>转换为 HTML 实体,会防止浏览器将其作为HTML元素

Stored Cross Site Scripting (XSS)

low
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
会发现Name的输入栏字数被限制

而在Message的输入栏使用<script>alert('xss')</script>Name的输入栏正常输入不超限制

在这里插入图片描述成功弹窗

如果从Name的输入栏入手的话要通过抓包修改txtName参数值为%3Cscript%3Ealert%28%27xss%27%29%3C%2Fscript%3E

在这里插入图片描述
medium

如果同low尝试的话,并不能成功

在这里插入图片描述看源码

<?php

if( isset( $_POST[ 'btnSign' ] ) ) {
    // Get input
    $message = trim( $_POST[ 'mtxMessage' ] );
    $name    = trim( $_POST[ 'txtName' ] );

    // Sanitize message input
    $message = strip_tags( addslashes( $message ) );
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $message = htmlspecialchars( $message );

    // Sanitize name input
    $name = str_replace( '<script>', '', $name );
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Update database
    $query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    //mysql_close();
}

?>

$message = strip_tags( addslashes( $message ) );

strip_tags() 函数剥去字符串中的 HTML、XML 以及 PHP 的标签,但允许使用<b>标签
addslashes() 函数返回在预定义字符(单引号、双引号、反斜杠、NULL)之前添加反斜杠的字符串
由于对message参数使用了htmlspecialchars函数进行编码,因此无法再通过message参数注入XSS代码,但是对于name参数,只是简单过滤了<script>字符串,仍然存在存储型的XSS

抓包修改txtName参数值

双写绕过

<s<script>cript>alert('xss')</script>

大小写绕过

<SCript>alert('xss')</script>

high

<?php

if( isset( $_POST[ 'btnSign' ] ) ) {
    // Get input
    $message = trim( $_POST[ 'mtxMessage' ] );
    $name    = trim( $_POST[ 'txtName' ] );

    // Sanitize message input
    $message = strip_tags( addslashes( $message ) );
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $message = htmlspecialchars( $message );

    // Sanitize name input
    $name = preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $name );
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Update database
    $query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    //mysql_close();
}

?>

正则表达式过滤了<script>标签,但是却忽略了img、iframe等其它危险的标签,因此name参数依旧存在存储型XSS

抓包修改txtName参数值为<img src=1 onerror=alert('xss')>

impossible

<?php

if( isset( $_POST[ 'btnSign' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Get input
    $message = trim( $_POST[ 'mtxMessage' ] );
    $name    = trim( $_POST[ 'txtName' ] );

    // Sanitize message input
    $message = stripslashes( $message );
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $message = htmlspecialchars( $message );

    // Sanitize name input
    $name = stripslashes( $name );
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $name = htmlspecialchars( $name );

    // Update database
    $data = $db->prepare( 'INSERT INTO guestbook ( comment, name ) VALUES ( :message, :name );' );
    $data->bindParam( ':message', $message, PDO::PARAM_STR );
    $data->bindParam( ':name', $name, PDO::PARAM_STR );
    $data->execute();
}

// Generate Anti-CSRF token
generateSessionToken();

?>

通过使用htmlspecialchars函数,解决了XSS,但是要注意的是,如果htmlspecialchars函数使用不当,攻击者就可以通过编码的方式绕过函数进行XSS注入,尤其是DOM型的XSS

DOM Based Cross Site Scripting (XSS)

dom xss和前面的两种xss的区别主要是:dom xss的产生并没有和后台服务器产生交互,而是通过浏览器的dom树解析产生的,例如服务器端经常使用document.boby.innerHtml等函数动态生成html页面,如果这些函数在引用某些变量时没有进行过滤或检查,就会产生DOM型的XSS

low
在这里插入图片描述

<?php

# No protections, anything goes

?>

服务器端没有任何php代码

直接尝试在?default参数这里注入
在这里插入图片描述
medium

<?php

// Is there any input?
if ( array_key_exists( "default", $_GET ) && !is_null ($_GET[ 'default' ]) ) {
    $default = $_GET['default'];
    
    # Do not allow script tags
    if (stripos ($default, "<script") !== false) {
        header ("location: ?default=English");
        exit;
    }
}

?>

不允许出现script标签,否则就将default的值设为默认的English
stripos() 函数查找字符串在另一字符串中第一次出现的位置(不区分大小写)防止了大小写绕过

可以利用url截断机制加#号
url中有一个字符为#,该字符后的数据不会发送到服务器端,从而绕过服务端过滤,构造?#default=<script>alert('xss')</script>

在这里插入图片描述还可以用img标签或其他标签的特性去执行js代码,比如img标签的onerror事件,构造?default=</option></select><img src=xss onerror=alert('xss')>

在这里插入图片描述

high

<?php

// Is there any input?
if ( array_key_exists( "default", $_GET ) && !is_null ($_GET[ 'default' ]) ) {

    # White list the allowable languages
    switch ($_GET['default']) {
        case "French":
        case "English":
        case "German":
        case "Spanish":
            # ok
            break;
        default:
            header ("location: ?default=English");
            exit;
    }
}

?>

这里是在服务器后端判断,要求default的值必须为select选择菜单中的值,否则就将default的值设为默认的English,这里继续用上面的#符号绕过,构造?default=English#</option></select><img src=xss onerror=alert('xss')>

在这里插入图片描述
impossible

<?php

# Don't need to do anything, protction handled on the client side

?>

这里说保护在客户端处理

尝试
在这里插入图片描述
在这里插入图片描述

客户端所做的"防护"就是将default参数的值全部进行URL编码, 没有进行相应的解码就直接赋给value, 从根本上斩除了xss漏洞

8.8

wumingzooo
关注
DVWA XSS
部分学习记录
09-19 303
DOM Based Cross Site Scripting (XSS) low 打开是一个菜单选项,提交以后发现URL有参数,修改一下呢?成功了,那直接试一下xss脚本<script>alert(document.cookie);</script>,成功获取到cookie medium 构造代码<script>alert(document.cookie)</script>,没效果?应该是有过滤机制,试一下双写,还是不行,会不会是转义问题?直接利用URL编码
DVWAXSS (完整版)
一期一会的博客
03-30 5721
xss DOM型xss
DVWA-XSS
qq_58091216的博客
04-19 5777
.DOM型xss 1.low (1)我们知道最基础的xss攻击就是<script>alert(/xss/)</script> (2)我们看到english直接按select,可以看到?default=English,我们知道在?default后面进行xss攻击 (3)我们直接输入<script>alert(/xss/)</script>,可以看到弹窗 (4)因为low比较简单所以我把分析源代码放在了最后。可以看到没有如何防御 2.m.
DVWA学习之XSS
千寻的博客
01-02 525
DVWA学习之XSS 反射性XSS Low等级 【】 Medium等级 双写绕过: 【<scr 大小写绕过 【】 High等级 【] []当点击键盘任意一个按键的时候触发。 Impossible等级 存储型XSS Low等级 trim(string,charlist) 函数移除字符串两侧的空白字符或其他预定义字符,预定义字符包括、\t、\n、\x0B、\r以及空格,可选参...
DVWA------XSS(全)
m0_65712192的博客
12-13 7066
DVWA-----XSS(全)
网络安全-靶机dvwaXSS注入Low到High详解(含代码分析)_dvwa xss注入
2303_79055586的博客
04-29 536
外链图片转存中…(img-J1KBhZuE-1714395335186)][外链图片转存中…(img-GwLZ0Yna-1714395335186)][外链图片转存中…(img-FGdqn29T-1714395335187)][外链图片转存中…(img-4tacwhLb-1714395335188)][外链图片转存中…(img-f6UpDGGB-1714395335188)][外链图片转存中…(img-G2HmD2q2-1714395335189)]
玩转DVWAXSS DOM
key01362000的博客
09-29 1176
DVWAXSS DOM攻击
DvwaXSS(DOM)全级别学习 笔记
Mbys_Lettuce的博客
09-22 375
因为url中#,&之后的内容,不会被提交到服务器,可以直接与浏览器进行交互,所以使用English#攻击一下。所以可能将有关的所有参数都过滤了,但我们还有其他的标签进行攻击,比如使用、等,尝试使用一下就很离谱,没有思路,看一下源码吧。本文为学习笔记,仅供学习!
DVWA-XSS (Reflected)-反射型XSS
seanyang_的博客
06-12 3715
XSS攻击,是指攻击者在Web页面中输入恶意的JavaScript脚本,而Web应用程序没有对用户的输入进行过滤或处理就直接执行,将结果输出在网页中。如果恶意JavaScript脚本被存储到后端服务器中,用户打开该Web页面时,恶意脚本则可能在浏览器中自动执行。XSS攻击依赖于JavaScript脚本的执行。一般,攻击者插入恶意脚本后,需要将脚本执行结果显示出来,因此,XSS攻击常见于网站中有用户输入且能够显示的地方,如文章发表、评论回复、留言板等。
DVWA - XSS (Stored) (low, medium, high)
无节操
01-06 2949
low无验证,Massage直接注入<script>alert(document.cookie)</script>medium查看源码发现Name只过滤了<scrpit>标签$name = str_replace( '<script>', '', $name ); 绕过思路:HTML页面修改Name的最大输入长度,注入Name,注入script大写<input name="txtName" typ
DVWA--XSS详解
洋洋的小黑屋
12-29 8827
DVWAXSS详解 XSS概念:通常指黑客通过HTML注入纂改了网页,插入恶意脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。 XSS三种: 反射型xss:只是简单地把用户输入的数据反射给浏览器,简单来说,黑客往往需要用户诱使用户点击一个恶意链接,才能攻击成功。 存储型XSS:将用户输入的数据存储在服务器端。用户访问了带有xss得页面代码后,产生安全问题。 DOM XSS:通过修改页面的D...
网站渗透DVWA之存储型XSS
weixin_34388207的博客
04-26 195
本文由甲爪cpa联盟(www.jiazhua.com)整理编辑!转载请注明!环境是PHPWAMP,firefox(火狐没有xss过滤器)。环境和dvwa如果下载不方便可以评论留邮箱,看到会分享到邮箱的。 1,简介。2,低级代码利用。3,中级代码利用。4,高级代码利用。5,终极代码学习。 1,简介 DVWA是攻击演练系统。XSS使自己脚本在...
【无标题】DVWA靶场之xss漏洞
weixin_46954909的博客
05-17 1231
alert(1)
web基础—dvwa靶场(十)XSS
m0_74080781的博客
09-19 1529
DOM 型 XSS是特殊的反射性 XSS,是基于 DOM 文档对象模型的漏洞。DOM(Document Object Model) 译为文档对象模型,是 HTML 和 XML 文档的编程接口,可以使程序和脚本能动态访问和更新文档的内容、结构和样式。HTML 标签作为结点构成了 DOM 节点树,树中的节点都可以通过 JavaScript 进行访问。
DVWA XSS (Stored) 通关教程
weixin_30703911的博客
08-20 1250
Stored Cross Site Scripting 存储型XSS,持久化,代码是存储在服务器中的,如在个人信息或发表文章等地方,加入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,用户访问该页面的时候触发代码执行。这种XSS比较危险,容易造成蠕虫,盗窃cookie等。 Low Security Level DVWA XSS (Stored) 通关教程 W...
DVWA 之 Reflected Cross Site Scripting (XSS)
baynk的博客
10-29 2011
汇总链接: https://baynk.blog.csdn.net/article/details/100006641 ------------------------------------------------------------------分割线------------------------------------------------------------------ XSS...
DVWA-Reflected Cross Site Scripting (XSS)
Cwillchris的博客
10-28 393
实验环境: DVWA靶机:172.16.12.10 靶场用户名:admin 密码:123 windos攻击机:172.16.12.7 kali攻击机:172.16.12.30 实验步骤: 反射型Xss <全称跨站脚本攻击,是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 其实反射型和DOM型的XSS差别主要在于,反射型是会往后台服务器发送请求,而DOM型直接在前端进行解析;两者都是一次性的 一、Low级 1、源码分析 &l..
DVWA之Reflected Cross Site Scripting (XSS)(小白适宜)
chtdgf的博客
02-18 302
DVWA之Reflected Cross Site Scripting (XSS) 嵌入网页 中间为所嵌入的网页,可调整宽高与边框(frameborder),全设为0即可消除边框 1.LOW级别 1.PHP代码分析 我们可以通过 View Source获得代码如下 <?php // Is there any input? if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) { // Feedba
DVWAXSS(跨站脚本漏洞)
TenG的博客
11-12 965
前言 本篇文章为DVWA平台XSS(跨站脚本漏洞)类型题目,本篇文章目的为记录自己的作题过程并且希望能够帮到大家,如有错误还请各位师傅指正! 本篇文章会同步至本人博客https://tenghy.gitee.io/teng/ 环境&工具: Windows10、phpstudy 正文 反射型XSS:反射型XSS又叫持久型XSS攻击,是攻击者发送一个带有恶意脚本的URL诱导他人点击,进一步触发脚本在浏览器上面运行。因为需要他人点击,所以链接都会具有诱惑性的名称。 存储型XSS:攻击者通过各种方式把恶意
dvwaxss
最新发布
03-21
好的,用户想了解DVWA中的XSS漏洞示例及防御方法。首先,我需要回忆DVWA(Damn Vulnerable Web Application)的相关知识,它是一个专门用于安全测试的Web应用,包含多种漏洞,包括XSS。 用户可能知道XSS分为反射型...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值