前言

本篇文章为DVWA平台XSS(跨站脚本漏洞)类型题目,本篇文章目的为记录自己的作题过程并且希望能够帮到大家,如有错误还请各位师傅指正!

环境&工具

Windows10、phpstudy

正文

反射型XSS:反射型XSS又叫持久型XSS攻击,是攻击者发送一个带有恶意脚本的URL诱导他人点击,进一步触发脚本在浏览器上面运行。因为需要他人点击,所以链接都会具有诱惑性的名称。
存储型XSS:攻击者通过各种方式把恶意脚本代码写进被攻击的服务器数据库,当用户打开浏览页面时,浏览器会从数据库读取到被存入的恶意脚本,进而触发脚本受到攻击。
需要说明的一点是XSS和CSRF的区别在于XSS是攻击者利用用户对服务器的信任,而CSRF是利用服务器对客户端的信任。

level:

low

反射型:XSS(Reflected)

因为步骤繁琐所以就不再一步一步的挨着说明,这里只进行关键步骤的说明:

xss1

TenG<script>alert(“XSS”)</script>

直接在文本框里面输入的名字后面加上JavaScript脚本(Java脚本这里不再讲解),由于浏览器没有进行任何过滤(查看源码可以看到),所以可以成功提交,结果如下:

xss2

xss3

从上面两个图片可以看出浏览器成功执行了Java脚本,而且回显字段只是识别了TenG,成功注入。

存储型:XSS(Stored)

xss4

脚本<script>alert(document.cookie)</script>

可以看到成功返回了浏览器的cookie,而且下次再次访问此页面会自动执行该脚本(脚本被存放在了数据库),因为信息那里只写入了脚本所以没有不回显内容。

medium

反射型:XSS(Reflected)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

<?php

header ("X-XSS-Protection: 0");

// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
// Get input
$name = str_replace( '<script>', '', $_GET[ 'name' ] );

// Feedback for end user
echo "<pre>Hello ${name}</pre>";
}

?>

从源码可以看到对字符”<script>”进行了过滤,替换为空字符,那么就想办法绕过,方法有很多,直接大小写绕过就可以了,由于图片和前面一样后面就不再放图了。

脚本:TenG<script>alert(“XSS”)</script>

成功绕过。存储型在Message字段做的过滤比较严格,可以用同样的方法在name嵌入脚本,不过name字段输入的最大字符数是10,可以F12在源码里面修改输入字段,不再赘述。

high

反射型:XSS(Reflected)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

<?php

header ("X-XSS-Protection: 0");

// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
// Get input
$name = preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $_GET[ 'name' ] );

// Feedback for end user
echo "<pre>Hello ${name}</pre>";
}

?>

从源码中可以看到使用正则匹配进行了过滤,不能再使用类似双写大小写绕过了,我们可以是用HTML标签属性的事件进行触发同样可以成功绕过。

存储型:XSS(Stored)

脚本:<img src=# onerror=alert(document.cookie)>

name的过滤规则同反射型一样,不过这里用不了标签了,而且双标签都不能用,onload属性也不能用了,不知道为啥,还望各位师傅多多指点,这里附上onload事件和onerror事件的作用:

onload: 页面加载之后立即执行一段 JavaScript
onerror: onerror 事件会在文档或图像加载过程中发生错误时被触发。

好了,本篇文章到此结束,欢迎给位师傅指正!