[网络安全]DVWA之XSS(Reflected)攻击姿势及解题详析合集

ops/2025/1/7 21:15:37/

XSS(Reflected)-low level

源代码

<?phpheader ("X-XSS-Protection: 0");// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {// Feedback for end userecho '<pre>Hello ' . $_GET[ 'name' ] . '</pre>';
}?> 

无任何过滤 可实施XSS注入

姿势

先提交name1
浏览顶部URL栏发现为GET请求
在这里插入图片描述
Payload:GET<script>alert("qiu")</script>

在这里插入图片描述


XSS(Reflected)-medium level

源代码

<?phpheader ("X-XSS-Protection: 0");// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {// Get input$name = str_replace( '<script>', '', $_GET[ 'name' ] );// Feedback for end userecho "<pre>Hello {$name}</pre>";
}
?> 
使用 str_replace() 函数将 <script> 标签替换为空

姿势

1.双写绕过

Payload:<scri<script>pt>alert("qiu")</script>
由于str_replace() 函数将<script>标签替换为空,且str_replace函数仅执行一次
Payload将变为<script>alert("qiu")</script>,从而实现了正常XSS语句的注入
在这里插入图片描述

2.大小写绕过

在 PHP 中,变量名、函数名、常量名等标识符都是区分大小写的。
例如,$Qiu 和 $qiu 是两个不同的变量
因此我们可构造Payload如下来绕过限制:
Payload:<Script>alert("qiu")</script>
在这里插入图片描述<sCript>alert("qiu")</script> 及 <ScRIpt>alert("qiu")</script>均可


XSS(Reflected)-high level

源代码

<?phpheader ("X-XSS-Protection: 0");// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {// Get input$name = preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $_GET[ 'name' ] );// Feedback for end userecho "<pre>Hello {$name}</pre>";
}?> 
str_replace函数

preg_replace 是 PHP 内置的一个函数,用于使用正则表达式对字符串进行搜索和替换。其语法如下:

preg_replace($pattern, $replacement, $subject);

其中:

  • $pattern:表示正则表达式模式,用于指定需要搜索的规则;
  • $replacement:表示替换后的字符串,可以是字符串、数组或回调函数等;
  • $subject:表示输入的字符串,需要进行搜索和替换的目标字符串。

preg_replace 函数会在 $subject 中搜索符合 $pattern 的子串,并将其用 $replacement 进行替换。如果 $pattern 中包含捕获分组,可以在 $replacement 中使用 $n ($n 表示第 n 个捕获分组)的形式来引用捕获的内容。

下面是一个使用 preg_replace 函数过滤 HTML 标签的简单示例。

$str = "<p>这是一段<b>加粗</b>的文本。</p>";
$pattern = "/<[^>]*>/";
$replacement = "";
echo preg_replace($pattern, $replacement, $str);

上述代码中,定义了一个包含 HTML 标签的字符串 $str

接着,使用正则表达式 $pattern 匹配其中的标签内容,即 /<[^>]*>/ 表示匹配任意以 < 开头,以 > 结尾的字符串。

然后,将匹配到的标签内容,即<p><b></b></p>用空字符串 $replacement 进行替换,即删除所有标签。

最后,使用 preg_replace 函数输出过滤后的字符串,即不包含 HTML 标签的纯文本内容。结果如下所示:

这是一段加粗的文本。

.* 是正则表达式中的一个元字符组合,表示匹配任意数量的任意类型字符。其中.表示匹配任意一个字符,表示匹配该字符的数量是 0 到无限个。

例如,a.*b 表示匹配以字母 a 开始,以字母 b 结尾的字符串,并且两端之间包含了任意数量的字符。如 acbcaba-&^%$#@!b 等等都是符合这个正则表达式的字符串。


正则表达式 /<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i 中的 /i 表示忽略大小写。
例如,如果输入的字符串中存在如下标签:

<Script></Script>

那么在未加 /i 修饰符时,由于标签名中大小写混合,<Script>无法被/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i完全匹配,因此不会被过滤掉。而当我们加上 /i 修饰符后,就可以忽略大小写,将其正确地匹配并过滤掉。


正则表达式/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i表示匹配包含任意字符的 <script标签。使用 preg_replace() 函数时,将会过滤所有以<开头、以t结尾的字符串
例如,以下的字符串均可被上述正则表达式匹配到:

<script></script>
<Scri<script>pt></scriUIXpt>
<SCCRIRIPPTTTTTt></scriIIOpt>

如果正则表达式为/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t(.*)>/i,则会过滤所有以<开头,以>结尾的字符串


姿势

切换XSS语句的标签即可绕过限制
Payload:<img src=1 onerror=alert("qiu")>,注入成功:
在这里插入图片描述


XSS(Reflected)-Impossible level

源代码

<?php// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {// Check Anti-CSRF tokencheckToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );// Get input$name = htmlspecialchars( $_GET[ 'name' ] );// Feedback for end userecho "<pre>Hello {$name}</pre>";
}// Generate Anti-CSRF token
generateSessionToken();?> 

代码审计

  1. 检查是否存在名为 name 的 GET 参数,并且该参数不为空;
  2. 使用 checkToken() 函数对用户提交的 Anti-CSRF token 进行验证,通过比对 $_REQUEST['user_token'] 和$_SESSION['session_token']的值,防止跨站请求伪造攻击(CSRF);
  3. 使用 htmlspecialchars() 函数对用户输入的 name 参数进行 HTML 实体编码,以避免客户端 JavaScript 的执行和 XSS 攻击;
  4. 输出经过处理的 name 参数,同时包裹在<pre></pre>标签中,使其能够以预格式化的方式显示,提升了输出信息的可读性。

另外,在该代码中也出现了一些与 CSRF 防御相关的函数调用:

  • generateSessionToken() 函数用于产生随机的 Session Token,用于 CSRF 防御中防止攻击者利用各种手段获取到合法的 token 值;
  • checkToken() 函数用于验证用户提交的 Anti-CSRF token 是否合法。在其中,会比对用户提交的 token 值和服务器端存储的 token 值是否一致,如果不一致,则将会触发防御机制。

总结

以上为[网络安全]DVWA之XSS(Reflected)攻击姿势及解题详析合集,读者可躬身实践。


http://www.ppmy.cn/ops/147853.html

相关文章

vulhub earth靶场

1.扫描靶机ip 2.扫描端口 3. 访问三个端口&#xff0c;分别访问80和443端口&#xff0c;80端口400错误&#xff0c;443端口也没什么用&#xff0c;回到80端口&#xff0c;4可以绑定域名&#xff0c;然后访问域名试试。 4. 扫描目录 5.访问目录 6.进行解密得到密码为earthclimat…

EasyExcel数据的导入导出

1.easyExcel简介 EasyExcel是一个基于Java的、快速、简洁、解决大文件内存溢出的Excel处理工具。 他能让你在不用考虑性能、内存的等因素的情况下&#xff0c;快速完成Excel的读、写等功能。 EasyExcel 的主要特点如下&#xff1a; 1、高性能&#xff1a;EasyExcel 采用了异…

深入理解spring 自动注入

深入理解 Spring 注入&#xff1a;差别、用法与原理 Spring 是 Java 开发中非常流行的框架&#xff0c;而依赖注入 (Dependency Injection, DI) 是其核心特性之一。本文将从以下几个方面深入探讨 Spring 注入&#xff1a;注入方式的差别、适用场景与用法&#xff0c;以及其背后…

使用SSH建立内网穿透,能够访问内网的web服务器

搞了一个晚上&#xff0c;终于建立了一个内网穿透。和AI配合&#xff0c;还是得自己思考&#xff0c;AI配合才能搞定&#xff0c;不思考只依赖AI也不行。内网服务器只是简单地使用了python -m http.server 8899&#xff0c;但是对于Gradio建立的服务器好像不行&#xff0c;会出…

如何使用Python生成词云图:结合`wordcloud`、`imageio`、`collections`和`jieba`分词模块

词云图&#xff08;Word Cloud&#xff09;是一种非常流行的数据可视化形式&#xff0c;它能够清晰地展示文本数据中最频繁出现的关键词。无论是在社交媒体分析、文本挖掘还是报告展示中&#xff0c;词云图都能帮助我们快速了解文本的核心内容。在这篇文章中&#xff0c;我们将…

Node.js详细安装教程

1.下载 [名称]&#xff1a;Node.js [大小]&#xff1a;26.4 MB [语言]&#xff1a;简体中文 [安装环境]&#xff1a;Win7/Win8/Win10 [Node.js15.11.0下载链接]&#xff1a; 通过网盘分享的文件&#xff1a;Node.js 链接: https://pan.baidu.com/s/12WlNlWlX-1ppdhz…

挑战20天刷完leecode100

2025.1.5 二分查找 1 搜索插入位置 就是简单的二分查找 注意开闭就行 2 搜索二维矩阵 第一个方法就是通过两个二分 第一个二分确定在哪一行第二个确定在那一列 这里可以用3的方法一样的 第二个方法就是通过从最后一行第一列开始&#xff0c;每次去除一行或者一列这个简单…

如何弥补开源大语言模型解决推理任务的不足

在实际应用中&#xff0c;大语言模型&#xff08;LLM&#xff09;可以通过与其他专门的推理技术结合&#xff0c;克服其在严格逻辑推理、深度推理或因果推理领域的不足。以下是几种有效的结合方式&#xff0c;分别从不同角度解决LLM在推理中的局限性。 一、结合符号推理系统 …