DVWA-XSS (Stored)（存储型跨站脚本攻击）

本系列文集:DVWA学习笔记

存储型XSS，持久化，代码是存储在服务器中的，如在个人信息或发表文章等地方，加入代码，如果没有过滤或过滤不严，那么这些代码将储存到服务器中，用户访问该页面的时候触发代码执行。这种XSS比较危险，容易造成蠕虫，盗窃cookie等。

Low：

clipboard.png

相关函数介绍：

trim(string,charlist) 函数移除字符串两侧的空白字符或其他预定义字符，预定义字符包括\0、\t、\n、\x0B、\r以及空格，可选参数charlist支持添加额外需要删除的字符。

mysqli_real_escape_string(string,connection) 函数会对字符串中的特殊符号（\x00，\n，\r，\，'，"，\x1a）进行转义。

stripslashes(string) 函数删除字符串中的反斜杠。

分析：

可以看到，对输入并没有做XSS方面的过滤与检查，且存储在数据库中，因此这里存在明显的存储型XSS漏洞。

Exploit

message栏的利用：
输入，成功弹框：

clipboard (1).png

name栏的利用：
发现前端html中对name有字数长度限制:
Burpsuite 抓包改为

clipboard (2).png

点击Bp中Forward 后，成功弹窗：

clipboard (3).png

Medium：

clipboard (4).png

strip_tags()函数剥去字符串中的HTML、XML以及PHP的标签，但允许使用标签。

addslashes()函数返回在预定义字符（单引号、双引号、反斜杠、NULL）之前添加反斜杠的字符串。

分析：

可以看到，由于对message参数使用了htmlspecialchars函数进行编码，因此无法再通过message参数注入XSS代码，但是对于name参数，只是简单过滤了

clipboard (5).png

2.大小写混淆绕过

Burpsuite抓包改name参数为:

clipboard (6).png

3.使用非 script 标签的 xss payload：

eg:img标签：

Burpsuite抓包改name参数为:

clipboard (7).png

其他标签和利用还有很多很多….
以上抓包修改数据Forward后，均成功弹窗：

clipboard (8).png

High:

clipboard (9).png

分析：

这里使用正则表达式过滤了