DVWA-XSS (Stored)(存储型跨站脚本攻击)

本系列文集:DVWA学习笔记

存储型XSS,持久化,代码是存储在服务器中的,如在个人信息或发表文章等地方,加入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,用户访问该页面的时候触发代码执行。这种XSS比较危险,容易造成蠕虫,盗窃cookie等。
##Low:
DVWA-XSS (Stored)(存储型跨站脚本攻击)_第1张图片

相关函数介绍:

trim(string,charlist) 函数移除字符串两侧的空白字符或其他预定义字符,预定义字符包括\0、\t、\n、\x0B、\r以及空格,可选参数charlist支持添加额外需要删除的字符。

mysqli_real_escape_string(string,connection) 函数会对字符串中的特殊符号(\x00,\n,\r,\,',",\x1a)进行转义。

stripslashes(string) 函数删除字符串中的反斜杠。

######分析:
可以看到,对输入并没有做XSS方面的过滤与检查,且存储在数据库中,因此这里存在明显的存储型XSS漏洞。

#####Exploit
message栏的利用:
输入,成功弹框:

DVWA-XSS (Stored)(存储型跨站脚本攻击)_第2张图片

name栏的利用:
发现前端html中对name有字数长度限制:
Burpsuite 抓包改为

DVWA-XSS (Stored)(存储型跨站脚本攻击)_第3张图片

点击Bp中Forward 后,成功弹窗:DVWA-XSS (Stored)(存储型跨站脚本攻击)_第4张图片
##Medium:DVWA-XSS (Stored)(存储型跨站脚本攻击)_第5张图片

strip_tags()函数剥去字符串中的HTML、XML以及PHP的标签,但允许使用标签。

addslashes()函数返回在预定义字符(单引号、双引号、反斜杠、NULL)之前添加反斜杠的字符串。

#####分析:
可以看到,由于对message参数使用了htmlspecialchars函数进行编码,因此无法再通过message参数注入XSS代码,但是对于name参数,只是简单过滤了

####Exploit
######1.双写绕过
Burpsuite抓包改name参数为:ript>alert(/name/)

DVWA-XSS (Stored)(存储型跨站脚本攻击)_第6张图片

######2.大小写混淆绕过

Burpsuite抓包改name参数为:

DVWA-XSS (Stored)(存储型跨站脚本攻击)_第7张图片

######3.使用非 script 标签的 xss payload:

eg:img标签:

Burpsuite抓包改name参数为:

DVWA-XSS (Stored)(存储型跨站脚本攻击)_第8张图片

其他标签和利用还有很多很多….
以上抓包修改数据Forward后,均成功弹窗:

DVWA-XSS (Stored)(存储型跨站脚本攻击)_第9张图片

##High:

DVWA-XSS (Stored)(存储型跨站脚本攻击)_第10张图片

######分析:
这里使用正则表达式过滤了

####Exploit
Burpsuite抓包改name参数为
DVWA-XSS (Stored)(存储型跨站脚本攻击)_第11张图片
Forward后,成功弹窗:
DVWA-XSS (Stored)(存储型跨站脚本攻击)_第12张图片

你可能感兴趣的:(DVWA学习笔记)