DVWA通关教程（下）

XSS（DOM）

XSS(DOM)是一种基于DOM树的一种代码注入攻击方式，可以是反射型的，也可以是存储型的，所以它一直被划分第三种XSS

与前两种XSS相比，它最大的特点就是不与后台服务器交互，只是通过浏览器的DOM树解析产生

除了js，flash等脚本语言也有可能存在XSS漏洞

难度（low）

审计代码

无任何过滤

所以我们可以构造XSS代码，访问链接：

http://127.0.0.1/dvwa1/vulnerabilities/xss_d/?default=

我们查看源代码，可以看到，我们的脚本插入到代码中，所以执行了

难度（medium）

审计代码

可以看到，medium级别的代码先检查了default参数是否为空，如果不为空则将default等于获取到的default值。这里还使用了stripos 用于检测default值中是否有

很明显，这里过滤了
http://127.0.0.1/dvwa1/vulnerabilities/xss_d/?default=

此时并没有弹出任何页面

我们查看网页源代码，发现我们的语句被插入到了value值中，但是并没有插入到option标签的值中，所以img标签并没有发起任何作用。

所以我们得先闭合前面的标签，我们构造语句闭合option标签：

   "  + decodeURI(lang) +  "  

所以，我们构造该链接：

http://127.0.0.1/dvwa1/vulnerabilities/xss_d/?default=>

但是我们的语句并没有执行，于是我们查看源代码，发现我们的语句中只有 > 被插入到了option标签的值中，因为闭合了option标签，所以img标签并没有插入

于是我们继续构造语句去闭合select标签，这下我们的img标签就是独立的一条语句了

我们构造该链接：

http://127.0.0.1/dvwa1/vulnerabilities/xss_d/?default=>/option>

我们查看源代码，可以看到，我们的语句已经插入到页面中了

难度（high）

审计代码

可以发现使用了白名单的思想，只允许French，English，German以及Spanish，是否存在绕过的可能性呢，答案是肯定的，例如使用如下payload便会触发xss

http://127.0.0.1/dvwa1/vulnerabilities/xss_d/?default=#

可以看到我们在English之后添加了#，在url中#后边的内容不会发送到服务端，从而可以实现绕过。

XSS（Reflected）

反射型XSS是非持久性、参数型的跨站脚本。

反射型XSS的代码在Web应用参数中，例如搜索框的反射型XSS。

注意，反射型XSS代码出现在keyword参数中。

但是容易被发现，导致很多漏洞提交平台不接收反射型XSS漏洞。

难度（low）

审计代码

 Hello ' . $_GET[ 'name' ] . '

'; } ?>

直接通过$_GET方式获取name的值，之后未进行任何编码和过滤，导致用户输入一段js脚本会执行。

难度（medium）

审计代码

 ', '', $_GET[ 'name' ] );

    // Feedback for end user
    echo "
Hello ${name}
";
}

?>

对 ，可以看到，我们的js代码立即就执行了

难度（medium）

审计代码

 ', '', $name );
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Update database
    $query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '
' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '
' );

    //mysql_close();
}

?>

addslashes(string) ：函数返回在预定义字符之前添加反斜杠的字符串，预定义字符 ' 、" 、\ 、NULL

strip_tags(string) ：函数剥去string字符串中的 HTML、XML 以及 PHP 的标签

htmlspecialchars(string)： 把预定义的字符 "<" （小于）、 ">" （大于）、& 、‘’、“” 转换为 HTML 实体，防止浏览器将其作为HTML元素

当我们再次输入1 和 ，strip_tags函数把

2.大小写混淆绕过

Burpsuite抓包改name参数为:

3.使用非 script 标签的 xss payload：

eg:img标签：

Burpsuite抓包改name参数为:

最终弹框

难度（high）

审计代码

 ' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '

' ); //mysql_close(); } ?>

这里使用正则表达式过滤了 "; } $page[ 'body' ] .= '

You can include scripts from external sources, examine the Content Security Policy and enter a URL to include here:

';

源码中提示我们的， 输入 https://pastebin.com/raw/R570EE00

$headerCSP = "Content-Security-Policy: script-src 'self' https://pastebin.com  example.com code.jquery.com ht

此时可以上pastebin网站上自己写一个javascript代码alert(“hahaha”)，保存后记住链接，

https://pastebin.com/raw/zSLDySJn

然后在上面界面中输入链接，结果如下

在pastebin上保存的js代码被执行了。那就是因为pastebin网站是被信任的。攻击者可以把恶意代码保存在收信任的网站上，然后把链接发送给用户点击，实现注入。

难度（medium）

审计代码

 alert(1)

?>

    
Whatever you enter here gets dropped directly into the page, see if you can get an alert box to pop up.
    
    

';

http头信息中的script-src的合法来源发生了变化，说明如下 unsafe-inline，允许使用内联资源，如内联< script>元素，javascript:URL，内联事件处理程序（如onclick）和内联< style>元素。必须包括单引号。 nonce-source，仅允许特定的内联脚本块，nonce=“TmV2ZXIgZ29pbmcgdG8gZ2l2ZSB5b3UgdXA” 现在更加简单了，可以直接输入以下代码

nonce是设定好的，允许运行

难度（high）

审计代码

这个级别已经没有输入框了, 不过题目已经给了足够多的提示. 首先先看一下 CSP 头, 发现只有 script-src 'self';, 看来只允许本界面加载的 javascript 执行. 然后研究了一下这个点击显示答案的逻辑(逻辑在 source/high.js里), 大致如下: 点击按钮 -> js 生成一个 script 标签(src 指向 source/jsonp.php?callback=solveNum), 并把它加入到 DOM 中 -> js 中定义了一个 solveNum 的函数 -> 因此 script 标签会把远程加载的 solveSum({"answer":"15"}) 当作 js 代码执行, 而这个形式正好就是调用了 solveSum 函数, 然后这个函数就会在界面适当的位置写入答案.

本来嘛, 应该是没办法修改在服务器的 jsonp.php 文件的(除非结合别的漏洞, 拿 shell 后修改). 然而, 我后来在查看服务端源码的时候发现了这个:

竟然还偷偷接收 include 参数(不清楚是不是作者复用了之前 Medium 的代码). 总之, 这肯定能作为一个注入点, 我开始打算用简单粗暴的  来搞定的, 谁知道, 这种是属于 'unsafe-inline' 形式的, 所以被限制执行了. 嗯... 既然如此的话, 那我就利用 src 吧.

这个即使你不看源码, 你做几个测试也会发现, 那个 callback 参数可以被操控以生成任何你想要得到的结果, 比如 alert, 因此可以构造 Payload: , 并把这个当做 include 参数传给界面就  注入成功!

JavaScript

难度（low）

如果你改成 “success” 提交一下会出现了这个，Invalid token。这是什么回事呢？

你可以打开控制台（F12），看看情况。

你会看到这个 token，不是后台生成的，而是前台生成的。。。而前台生成的 token，是用 md5("ChangeMe")，而后台期待的 md5 是 md5("success")。
所以你在输入框中输入 success 之后，还得在控制台在调用 generate_token() 函数。

结果如下

难度（medium）

思路是一样的，只是生成 token 的函数放到另外的 js 文件中了。

如果你打开这个 js 文件 http://192.168.0.110:5678/vulnerabilities/javascript/source/medium.js ，你会看到这样

所以，在输入框输入 “success” 之后，在控制台中，输入do_elsesomething("XX") 就可以了。

难度（high）

高级和中级类似，生成 token 的逻辑在额外的 js 文件中。和中级不同的是，这里的 JS 经过了混淆的。。。就显得很混乱。

http://192.168.0.110:5678/vulnerabilities/javascript/source/high.js

截取其中的一段给大家看看

var a=['fromCharCode','toString','replace','BeJ','\x5cw+','Lyg','SuR','(w(){\x273M\x203L\x27;q\x201l=\x273K\x203I\x203J\x20T\x27;q\x201R=1c\x202I===\x271n\x27;q\x20Y=1R?2I:{};p(Y.3N){1R=1O}q\x202L=!1R&&1c\x202M===\x271n\x27;q\x202o=!Y.2S&&1c\x202d===\x271n\x27&&2d.2Q&&2d.2Q.3S;p(2o){Y=3R}z\x20p(2L){Y=2M}q\x202G=!Y.3Q&&1c\x202g===\x271n\x27&&2g.X;q\x202s=1c\x202l===\x27w\x27&&2l.3P;q\x201y=!Y.3H&&1c\x20Z!==\x272T\x27;q\x20m=\x273G\x27.3z(\x27\x27);q\x202w=[-3y,3x,3v,3w];q\x20U=[24,16,8,0];q\x20K=

这不是正常人类能看懂的。

而 http://deobfuscatejavascript.com 中提供的功能是，把混淆后的代码转成人类能看懂一些 js 代码

其中关键的部分是这里：

这里生成 token 的步骤是：

1、执行token_part_1("ABCD", 44)
2、执行token_part_2("XX")(原本是延迟 300ms执行的那个）
3、点击按钮的时候执行 token_part_3

所以我们在输入框输入 success 后，再到控制台中输入token_part_1("ABCD", 44)和token_part_2("XX")这两个函数就可以了。