DVWA-JavaScript Attacks

JavaScript Attacks

JavaScript Attack即JS攻击,攻击者可以利用JavaScript实施攻击。

Low 等级

核心源码,用的是dom语法这是在前端使用的和后端无关,然后获取属性为phrase的值然后来个rot13和MD5双重加密在复制给token属性。

<script>
    function rot13(inp) {
        return inp.replace(/[a-zA-Z]/g,function(c){return String.fromCharCode((c<="Z"?90:122)>=(c=c.charCodeAt(0)+13)?c:c-26);});
    }

    function generate_token() {
        var phrase = document.getElementById("phrase").value;
        document.getElementById("token").value = md5(rot13(phrase));
    }

    generate_token();
script>

直接提交success发现无效

DVWA-JavaScript Attacks_第1张图片

所以提交的虽然是success但是token还是ChangeMe的因为generate_token()方法不会自动执行他需要调用,这时只需要在前端调用generate_token()方法生成相应token就行

DVWA-JavaScript Attacks_第2张图片

页面源代码中token的值由md5(rot13(phrase))决定的。

通过console控制台直接拿到token值。

md5(rot13("success"));

DVWA-JavaScript Attacks_第3张图片

38581812b435834ebf84ebcc2c6424d6

使用bp抓包然后修改数据包中的token值即可。

DVWA-JavaScript Attacks_第4张图片
DVWA-JavaScript Attacks_第5张图片

Medium 等级

核心源码


    $page[ 'body' ] .= <<<EOF
    <script src="/vulnerabilities/javascript/source/medium.js"></script>
    EOF;
?>

Medium.js

// 对token进行加密处理(逆序处理)
function do_something(e){
    for(var t="",n=e.length-1;n>=0;n--)t+=e[n];
    return t
}


// 延时3秒后,执行do_elsesomething方法
setTimeout(function(){
    do_elsesomething("XX")
},300);

// 将加密处理后的token值,赋给input输入框中的token,用于提交给后端
function do_elsesomething(e){
    document.getElementById("token")
        .value=do_something(e+document.getElementById("phrase")
                            .value+"XX")
}

原理和Low一样,只是加密方法被更换了,那步骤如下:

1、将输入框的值改为success

2、在前端控制台执行一次do_elsesomething()方法,执行代码为:do_elsesomething(“XX”);

do_something(success)方法是将phrase变量的值逆序,也就是sseccus,生成的token值=XXsseccusXX

使用bp将输入框的值改为XXsseccusXX。
DVWA-JavaScript Attacks_第6张图片

DVWA-JavaScript Attacks_第7张图片

High 等级

核心代码


$page[ 'body' ] .= '';
?>

查看high.js,但是这里的代码明显被加密混淆了。

可以使用在线解码工具:http://deobfuscatejavascript.com/#。

核心源码:

function do_something(e) {
 
    for (var t = "", n = e.length - 1; n >= 0; n--) t += e[n];
    return t
 
}
 
function token_part_3(t, y = "ZZ") {
 
    document.getElementById("token")
        .value = sha256(document.getElementById("token").value + y)
 
}
 
function token_part_2(e = "YY") {
 
    document.getElementById("token")
        .value = sha256(e + document.getElementById("token").value)
 
}
 
function token_part_1(a, b) {
 
    document.getElementById("token")
        .value = do_something(document.getElementById("phrase").value)
 
}
 
document.getElementById("phrase").value = "";
 
setTimeout(function() {
 
    token_part_2("XX")
 
}, 300);
 
document.getElementById("send").addEventListener("click", token_part_3);
 
token_part_1("ABCD", 44);

几个函数调用顺序及生成token的步骤如下:

  1. 首先将phrase 的值清空document.getElementById(“phrase”).value = “”;
  2. 然后执行token_part_1(a, b),取phrase值并进行字符串翻转(逆序)处理。
  3. 延迟300ms后执行token_part_2(e = “YY”),传入参数字符串’XX’和token值拼接并调用sha256()加密。
  4. 点击按钮时执行token_part_3(t, y = “ZZ”),将token值和字符串’ZZ’拼接并调用sha256()加密,从而得到最终的token。

在输入框输入 success 后,再到控制台输入token_part_1(“ABCD”, 44)和token_part_2(“XX”)这两个函数,最后点击按钮执行token_part_3()
DVWA-JavaScript Attacks_第8张图片

你可能感兴趣的:(javascript,开发语言,ecmascript,网络安全,dvwa)