DVWA XSS部分

原創 F4lcOn 2020-05-16 14:51

DVWA XSS练习

反射型(Reflected)

Low

输入框里随便输入,比如aaa点击submit

访问:http://localhost/DVWA/vulnerabilities/xss_r/?name=aaa#

查看源代码发现只有一处有回显:

<pre>Hello aaa</pre>

可控的变量是name

直接插script标签进行尝试:

payload:<script>alert(1)</script>

成功弹窗

代码分析:


<?php

header ("X-XSS-Protection: 0");

// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
    // Feedback for end user
    echo '<pre>Hello ' . $_GET[ 'name' ] . '</pre>';
}

?>

没有做任何的过滤。

Medium

插script标签进行尝试:

查看源代码:
<pre>Hello alert(1)</pre>

应该是过滤了<script>一类的

构造payload:<scr<script>ipt>alert(1)</script>

成功弹窗

代码分析


<?php

header ("X-XSS-Protection: 0");

// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
    // Get input
    $name = str_replace( '<script>', '', $_GET[ 'name' ] );

    // Feedback for end user
    echo "<pre>Hello ${name}</pre>";
}

?>

<script>标签置换成了空

High

尝试了 low , medium 等级的payload都是过滤掉了,试试img标签。

payload:<img src=x onerror=alert(1)>

成功弹窗


<?php

header ("X-XSS-Protection: 0");

// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
    // Get input
    $name = preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $_GET[ 'name' ] );

    // Feedback for end user
    echo "<pre>Hello ${name}</pre>";
}

?>

通过正则表达式进行了过滤,无论script中间夹了什么都能置空。

Impossible


<?php

// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Get input
    $name = htmlspecialchars( $_GET[ 'name' ] );

    // Feedback for end user
    echo "<pre>Hello ${name}</pre>";
}

// Generate Anti-CSRF token
generateSessionToken();

?>

将输入过来的值利用htmlspecialchars函数实体化了。就基本没有可能xss了。

htmlspecialchars:

语法:

htmlspecialchars(string,flags,character-set,double_encode)

定义和用法
htmlspecialchars() 函数把预定义的字符转换为 HTML 实体。

预定义的字符是:

& (和号)成为 &
" (双引号)成为 "
' (单引号)成为 '
< (小于)成为 <
> (大于)成为 >

提示:如需把特殊的 HTML 实体转换回字符,请使用 htmlspecialchars_decode() 函数。

存储型(Stored)

Low

随便输入一个数据,查看源代码:

<div id="guestbook_comments">
    Name: admin<br />
    Message: test<br />
</div>

构造payload:

<script>alert(1)</script>

发现Name处有长度限制。不过Message部分也可以触发xss进行弹窗。

看看能不能通过审查元素更改Name输入框的长度限制:

查看源代码:

<input name="txtName" type="text" size="30" maxlength="10">

maxlength="10"删掉,提交后发现弹了两下窗口。

测试完成以后可以点击那个Clear Guestbook来清除之前提交的记录,不然每次刷新都弹窗很烦。

代码分析

<?php

if( isset( $_POST[ 'btnSign' ] ) ) {
    // Get input
    $message = trim( $_POST[ 'mtxMessage' ] );
    $name    = trim( $_POST[ 'txtName' ] );

    // Sanitize message input
    $message = stripslashes( $message );
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Sanitize name input
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Update database
    $query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    //mysql_close();
}

?>

代码的大概意思就是收到name跟message之后直接存到数据库里。基本上没有什么过滤,message是用stripslashes函数去除了一下斜杠。

Medium

提交了 Low 等级的payload后返回页面的源代码:

<div id="guestbook_comments">
    Name: aaa<br>
    Message: alert(1)<br>
</div>

也是<script>标签被过滤了。

构造一下:<scr<script>ipt>alert(1)</script>

还是被过滤了,代码可能是跟反射型漏洞的high一样叭,试试别的标签。

<img src=x onerror=alert(1)>

em~ 也过滤了。

看了一眼代码,发现是把message实体化了,只能通过Name来传payload了。

也是利用代码审计把长度限制去掉,也可以利用抓包工具在改一下数据内容。

payload:<scr<script>ipt>alert(1)</script>

就可以弹窗了。

代码分析

<?php

if( isset( $_POST[ 'btnSign' ] ) ) {
    // Get input
    $message = trim( $_POST[ 'mtxMessage' ] );
    $name    = trim( $_POST[ 'txtName' ] );

    // Sanitize message input
    $message = strip_tags( addslashes( $message ) );
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $message = htmlspecialchars( $message );

    // Sanitize name input
    $name = str_replace( '<script>', '', $name );
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Update database
    $query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    //mysql_close();
}
?>

代码的意思就是说,传入message跟name,然后两个变量都是把<script>置空,然后把message实体化之后才保存至数据库。

High

既然medium难度就把message实体化了,所以high应该也是实体化了,所以把name的长度限制去掉,传入一个img标签的payload试试:

payload:<img src=x onerror=alert(1)>

弹窗了。

代码分析

<?php

if( isset( $_POST[ 'btnSign' ] ) ) {
    // Get input
    $message = trim( $_POST[ 'mtxMessage' ] );
    $name    = trim( $_POST[ 'txtName' ] );

    // Sanitize message input
    $message = strip_tags( addslashes( $message ) );
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $message = htmlspecialchars( $message );

    // Sanitize name input
    $name = preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $name );
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Update database
    $query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    //mysql_close();
}

?>

处理方法跟反射型的high难度有异曲同工之妙。也是利用了正则表达式。

Impossiable

impossiable难度是安全的。

代码分析

<?php

if( isset( $_POST[ 'btnSign' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Get input
    $message = trim( $_POST[ 'mtxMessage' ] );
    $name    = trim( $_POST[ 'txtName' ] );

    // Sanitize message input
    $message = stripslashes( $message );
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $message = htmlspecialchars( $message );

    // Sanitize name input
    $name = stripslashes( $name );
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $name = htmlspecialchars( $name );

    // Update database
    $data = $db->prepare( 'INSERT INTO guestbook ( comment, name ) VALUES ( :message, :name );' );
    $data->bindParam( ':message', $message, PDO::PARAM_STR );
    $data->bindParam( ':name', $name, PDO::PARAM_STR );
    $data->execute();
}

// Generate Anti-CSRF token
generateSessionToken();

?>

两个变量都实体化了。

Dom型 (DOM)

Dom的一开始做了只做会了Low等级的,就暂时放一边了。

Low

点击select时访问:http://localhost/DVWA/vulnerabilities/xss_d/?default=English

查看源代码发现default之后的值就是<option>标签里的值,查看源代码:

<option value="English">English</option>

payload:
<script>alert(1)</script>

成功弹窗:

代码里什么也没写。

弹窗以后想要逃出value="English"这个地方触发xss。但是">传入这个之后没有什么反应。查看前端代码时发现一段js代码:

if (document.location.href.indexOf("default=") >= 0) {
    var lang = document.location.href.substring(document.location.href.indexOf("default=")+8);
    document.write("<option value='" + lang + "'>" + decodeURI(lang) + "</option>");
    document.write("<option value='' disabled='disabled'>----</option>");
}
    
document.write("<option value='English'>English</option>");
document.write("<option value='French'>French</option>");
document.write("<option value='Spanish'>Spanish</option>");
document.write("<option value='German'>German</option>");

这里lang就是我们传入的值。

在浏览器的console里查看了一下lang的值,发现都是经过了url编码的。

Medium

尝试了一下Low等级的payload,直接返回到了

http://localhost/DVWA/vulnerabilities/xss_d/?default=English

这个地址。

尝试别的标签:http://localhost/DVWA/vulnerabilities/xss_d/?default=<img src=x onerror=alert(1)>

还是没有什么反应。

尝试关闭了option标签也是逃不过去,看了一下html嵌套规则:https://www.cnblogs.com/xiyangbaixue/p/4090511.html

发现得把select标签页一并关闭才可以,构造一下payload:

</option></select><img src=x onerror=alert(1)>

成功

代码分析:


<?php

// Is there any input?
if ( array_key_exists( "default", $_GET ) && !is_null ($_GET[ 'default' ]) ) {
    $default = $_GET['default'];
    
    # Do not allow script tags
    if (stripos ($default, "<script") !== false) {
        header ("location: ?default=English");
        exit;
    }
}

?>

发现只要包含script标签就会执行跳转。

High

首先尝试了一下medium难度的payload,执行了跳转操作。

没什么思路,看了一下代码:


<?php

// Is there any input?
if ( array_key_exists( "default", $_GET ) && !is_null ($_GET[ 'default' ]) ) {

    # White list the allowable languages
    switch ($_GET['default']) {
        case "French":
        case "English":
        case "German":
        case "Spanish":
            # ok
            break;
        default:
            header ("location: ?default=English");
            exit;
    }
}

?>

网上搜了一下:https://www.cnblogs.com/huangming-zzz/p/9901770.html

利用了#号,URL中#号之后的内容,不会被提交到服务器,可以直接与浏览器进行交互

payload:?default=English#<script>alert(1)</script>

Impossiable

安全,后端也没有代码。前端跟之前的不一样:

document.write("<option value='" + lang + "'>" + decodeURI(lang) + "</option>");

改成了:

document.write("<option value='" + lang + "'>" + (lang) + "</option>");

去掉了url解码的部分

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

一些可用于研究的GIS数据资源

國內的情況就不用說了,基本上是很難找到可以用於研究的GIS數據資源的。要麼就是收費,免費的即使能找到,能否合法合規的進行使用也是一個問題。地理信息數據還是國外比較開放一些,相當多的政府組織或者公益機構對公衆開放了下載渠道,大家可以適度獲取並

harlee44 2024-05-07 14:31:18

如何在低代码平台中引用 JavaScript ?

引言 在當今快速發展的數字化時代,企業對業務應用的需求日益複雜且多元。低代碼開發平臺作爲一個創新的解決方案,以直觀易用的設計理念,打破了傳統的編程壁壘,讓非技術人員也能輕鬆構建功能完備的Web應用程序,無需深入編碼。這一特性極大地簡化了應用

葡萄城技術團隊 2024-05-07 14:30:48

如何使用 JavaScript 获取当前页面帧率 FPS

可以通過計算每秒 window.requestAnimationFrame 的調用頻率來做爲 FPS 值。它接收一個回調函數,該回調函數會在瀏覽器下一次重繪之前執行。所以只要我們循環調用並記錄單位時間內的調用次數就能計算當前頁面的幀率了。

劉漢貴 2024-05-07 14:26:58

Dash 2.17版本新特性介绍

本文示例代碼已上傳至我的Github倉庫https://github.com/CNFeffery/dash-master   大家好我是費老師,不久前Dash發佈了其2.17.0版本,執行下面的命令進行最新版本Dash的安裝: pip

費弗裏 2024-05-07 14:21:37

人大金仓数据库使(cai)用(keng)记录

最近一直在用人大金倉做項目,相關的文檔相比其它流行的所謂“主流”數據庫來說還是少了點,記錄一些開發過程中遇到的問題。 數據庫的模式(database_mode)在實例創建後就確定好了的,不可更改。想要改變模式只能重新init一個實例。

M_mxy 2024-05-07 14:17:06

《最新出炉》系列入门篇-Python+Playwright自动化测试-43-分页测试

1.簡介 分頁測試,這種一般都是公共的方法系統中都寫好了,這種一般出現是數據展示比較多的時候,會採取分頁的方法,而且比較固定,一般是沒有問題的,因此它非常適合自動化測試,但是如何使用playwright來進行分頁自動化測試了,宏哥今天就講解

北京-宏哥 2024-05-07 14:14:46

Ubuntu18 安装NoMachine远程桌面(解决远程桌面延迟)

# 問題:Ubuntu 18 使用自帶的共享桌面、VNC遠程桌面延遲、降低分辨率也無效。 # 方案:最後找到安裝 NoMachine的遠程桌面,解決遠程卡頓問題 根據自己操作系統 選擇NoMachine for Linux進行下載官網:ht

iucx 2024-05-07 14:11:26

gdb调试FAQ

“malloc.c: No such file or directory.” 參考:https://www.cnblogs.com/gatsby123/p/11755320.html 安裝依賴 sudo apt-get install li

ffl 2024-05-07 14:08:35

大数据面试SQL每日一题系列:最高峰同时在线主播人数。字节,快手等大厂高频面试题

大數據面試SQL每日一題系列:最高峯同時在線主播人數。字節,快手等大廠高頻面試題 之後會不定期更新每日一題sql系列。 SQL面試題每日一題系列內容均來自於網絡以及實際使用情況收集,如有雷同,純屬巧合。 1.題目 問題1:如下爲某直播平臺各

魯邊 2024-05-07 14:06:45

工程款拖欠,农民工怎么了?就得一直忍着委屈求全吗?

事件背景 我以前只是在新聞看到過拖欠農民工工資這樣的事,但這次是發生在自己身上了! 今天晚上下班後,看見父母面露愁色,並認真的聽着父母的對話。 大概意思是就是爸爸跟着工程隊包天活已經完事有一段時間了,但是包天的工資一直不給,而且聽爸爸說那意

久曲健 2024-05-07 14:06:15

Canvas简历编辑器-我的剪贴板里究竟有什么数据

Canvas圖形編輯器-我的剪貼板裏究竟有什麼數據 在這裏我們先來聊聊我們究竟應該如何操作剪貼板,也就是我們在瀏覽器的複製粘貼事件,並且在此基礎上聊聊我們在Canvas圖形編輯器中應該如何控制焦點以及如何實現複製粘貼行爲。 在線編輯: h

WindrunnerMax 2024-05-07 14:05:25

HarmonyOS 实现下拉刷新,上拉加载更多

組件介紹 PullToRefreshList允許用戶通過下拉動作來刷新列表內容,以及通過上拉動作來加載更多的數據。組件內部封裝了滾動監聽、狀態管理和動畫效果,使得開發者可以輕鬆集成到自己的項目中。 1. 實現思路 封裝成可複用的公共控件:

西北野狼 2024-05-07 14:05:15

【转】在 Linux 里布署 Docker

來自:百度 Docker 可以佈署在 Linux 系統上,也可以佈署在你自己的電腦上。 在 Linux 系統上佈署 Docker: 安裝 Docker: curl -fsSL https://get.docker.com -o get-d

z5337 2024-05-07 14:05:05

使用.NET源生成器(SG)实现一个自动注入的生成器

DI依賴注入對我們後端程序員來說肯定是基礎中的基礎了,我們經常會使用下面的代碼注入相關的service services.AddScoped<Biwen.AutoClassGen.TestConsole.Services.TestServi

萬雅虎 2024-05-07 14:04:44

mysql索引使用基础

1.創建&刪除 MySQL可以通過CREATE、ALTER、DDL三種方式創建一個索引。 在MySQL中,使用CREATE INDEX語句可以創建索引。具體語法如下: CREATE INDEX indexName ON tableNam

楚景然 2024-05-07 14:01:04