DVWA靶机-全级别测试-XSS（Stored）

标签：XSS name DVWA ston Stored mysqli ___ GLOBALS message

存储型的XSS

存储型XSS又称持久型XSS,攻击脚本将被永久地存放在目标服务器的数据库或文件中,具有很高的隐蔽性

低难度

设置如下：

DVWA靶机-全级别测试-XSS（Stored）_mysql

源代码：

<?php

if( isset( $_POST[ 'btnSign' ] ) ) {
    // Get input
    $message = trim( $_POST[ 'mtxMessage' ] );
    $name    = trim( $_POST[ 'txtName' ] );

    // Sanitize message input
    $message = stripslashes( $message );
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Sanitize name input
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Update database
    $query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    //mysql_close();
}

?>

过滤了某些sql注入，但是对用户的输入没有做编码处理

DVWA靶机-全级别测试-XSS（Stored）_mysql_02

测试，发现是个留言板

<script>alert('xss')</script>

结果

DVWA靶机-全级别测试-XSS（Stored）_php_03

存在xss漏洞

DVWA靶机-全级别测试-XSS（Stored）_mysql_04

留言版信息如上

DVWA靶机-全级别测试-XSS（Stored）_mysql_05

有个特点

每次用户访问这个页面都会执行xss攻击

中难度

设置如下：

DVWA靶机-全级别测试-XSS（Stored）_html_06

源代码：

<?php

if( isset( $_POST[ 'btnSign' ] ) ) {
    // Get input
    $message = trim( $_POST[ 'mtxMessage' ] );
    $name    = trim( $_POST[ 'txtName' ] );

    // Sanitize message input
    $message = strip_tags( addslashes( $message ) );
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $message = htmlspecialchars( $message );

    // Sanitize name input
    $name = str_replace( '<script>', '', $name );
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Update database
    $query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    //mysql_close();
}

?>

先测试

DVWA靶机-全级别测试-XSS（Stored）_html_07

第一个是长度有限制

第二个是script标签被过滤掉

猜测是使用了黑名单策略

DVWA靶机-全级别测试-XSS（Stored）_html_08

前端代码

DVWA靶机-全级别测试-XSS（Stored）_mysql_09

后台代码

于是我们构造payload

<scriPt>alert('XSS')</scriPt>    大写的P

DVWA靶机-全级别测试-XSS（Stored）_mysql_10

结果成功触发

DVWA靶机-全级别测试-XSS（Stored）_php_11

刷新页面，仍然存在xss弹窗

DVWA靶机-全级别测试-XSS（Stored）_html_12

保存在服务端了

高难度

设置如下：

DVWA靶机-全级别测试-XSS（Stored）_html_13

源代码：

<?php

if( isset( $_POST[ 'btnSign' ] ) ) {
    // Get input
    $message = trim( $_POST[ 'mtxMessage' ] );
    $name    = trim( $_POST[ 'txtName' ] );

    // Sanitize message input
    $message = strip_tags( addslashes( $message ) );
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $message = htmlspecialchars( $message );

    // Sanitize name input
    $name = preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $name );
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Update database
    $query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    //mysql_close();
}

?>

使用正则表达式过滤了<script>标签

但是可以使用其他标签，如svg

<svg onl oad=alert(/xss/)>

DVWA靶机-全级别测试-XSS（Stored）_html_14

这个难度，我们使用beef工具来测试

我们使用kali，生成一个hook的js脚本

systemctl start beef-xss.service 开启

systemctl stop beef-xss.service 关闭

systemctl restart beef-xss.service  重启

点击beef start

DVWA靶机-全级别测试-XSS（Stored）_html_15

发现错误，排查原因

DVWA靶机-全级别测试-XSS（Stored）_mysql_16

成功启动

DVWA靶机-全级别测试-XSS（Stored）_mysql_17

这次我们使用的是本地的实验环境

DVWA靶机-全级别测试-XSS（Stored）_mysql_18

我们将hook的js文件放进入

DVWA靶机-全级别测试-XSS（Stored）_php_19

下次我们来讲讲beef的使用吧

这次跳过

不可能难度

设置如下

DVWA靶机-全级别测试-XSS（Stored）_mysql_20

源代码：

<?php

if( isset( $_POST[ 'btnSign' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Get input
    $message = trim( $_POST[ 'mtxMessage' ] );
    $name    = trim( $_POST[ 'txtName' ] );

    // Sanitize message input
    $message = stripslashes( $message );
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $message = htmlspecialchars( $message );

    // Sanitize name input
    $name = stripslashes( $name );
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $name = htmlspecialchars( $name );

    // Update database
    $data = $db->prepare( 'INSERT INTO guestbook ( comment, name ) VALUES ( :message, :name );' );
    $data->bindParam( ':message', $message, PDO::PARAM_STR );
    $data->bindParam( ':name', $name, PDO::PARAM_STR );
    $data->execute();
}

// Generate Anti-CSRF token
generateSessionToken();

?>

此处用htmlspecialchars函数过滤了name和message，不存在注入

都进行了严格的过滤

防御措施

对用户输入的信息进行严格的过滤。

标签：XSS,name,DVWA,ston,Stored,mysqli,___,GLOBALS,message
From： https://blog.51cto.com/apple0/6052021

DVWA靶机-全级别测试-XSS（Stored）

存储型的XSS

低难度

中难度

高难度

不可能难度

防御措施

相关文章

赞助商

阅读排行