博客
关于我
【DVWA1.10】Stored Cross Site Scripting (XSS)通关笔记
阅读量:744 次
发布时间:2019-03-22

本文共 1924 字,大约阅读时间需要 6 分钟。

难度

Security Level: low

' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '' ); //mysql_close(); } ?>

先来看看这些函数

在这里插入图片描述
在这里插入图片描述
简单来说trim是去空,stripslashes删除由 addslashes() 函数添加的反斜杠
稍微审计,除了mysqli_real_escape_string函数对传入的字符串进行过滤,其余都没有处理,尝试直接在message处注入XSS

在这里插入图片描述

Security Level: medium

', '', $name ); $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : "")); // Update database $query = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );"; $result = mysqli_query($GLOBALS["___mysqli_ston"], $query ) or die( '
' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '
' ); //mysql_close(); } ?>

先看看这些函数

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
传入的message都给这些函数过滤了一遍,防御性能可谓是极强,但是name缺仅仅给了个<script>转成空,我们可以从name参数下手
但首先我们需要把maxlength改一下,html限制了最大字符数
源码:

我们可以删除该属性或者将该数值改大

然后在name处注入XSS

成功注入,图片就不放了,跟上图一样

Security Level: high

' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '' ); //mysql_close(); } ?>

可以看到与上一个难度的区别就在于将过滤换成了正则,顺便附上反射型注入文章的链接,这里直接写payload不再赘述:

在name处注入XSS:

成功注入

Security Level: impossible

prepare( 'INSERT INTO guestbook ( comment, name ) VALUES ( :message, :name );' ); $data->bindParam( ':message', $message, PDO::PARAM_STR ); $data->bindParam( ':name', $name, PDO::PARAM_STR ); $data->execute(); } // Generate Anti-CSRF token generateSessionToken(); ?>

可以看到impossible难度里面,message的过滤强度同样照应在了name上。

存储型注入许多地方与反射型无异,如果有看不懂或者不会的地方,不妨看看我的反射型文章:

转载地址:http://uvbwk.baihongyu.com/

你可能感兴趣的文章
mysql中出现Unit mysql.service could not be found 的解决方法
查看>>
mysql中出现update-alternatives: 错误: 候选项路径 /etc/mysql/mysql.cnf 不存在 dpkg: 处理软件包 mysql-server-8.0的解决方法(全)
查看>>
Mysql中各类锁的机制图文详细解析(全)
查看>>
MySQL中地理位置数据扩展geometry的使用心得
查看>>
Mysql中存储引擎简介、修改、查询、选择
查看>>
Mysql中存储过程、存储函数、自定义函数、变量、流程控制语句、光标/游标、定义条件和处理程序的使用示例
查看>>
mysql中实现rownum,对结果进行排序
查看>>
mysql中对于数据库的基本操作
查看>>
Mysql中常用函数的使用示例
查看>>
MySql中怎样使用case-when实现判断查询结果返回
查看>>
Mysql中怎样使用update更新某列的数据减去指定值
查看>>
Mysql中怎样设置指定ip远程访问连接
查看>>
mysql中数据表的基本操作很难嘛,由这个实验来带你从头走一遍
查看>>
Mysql中文乱码问题完美解决方案
查看>>
mysql中的 +号 和 CONCAT(str1,str2,...)
查看>>
Mysql中的 IFNULL 函数的详解
查看>>
mysql中的collate关键字是什么意思?
查看>>
MySql中的concat()相关函数
查看>>
mysql中的concat函数,concat_ws函数,concat_group函数之间的区别
查看>>
MySQL中的count函数
查看>>