存储型XSS(Stored)DVWA全等级绕过方法

最新推荐文章于 2025-07-12 11:39:33 发布
最新推荐文章于 2025-07-12 11:39:33 发布
阅读量4.1k 收藏 19
点赞数 10
CC 4.0 BY-SA版权
分类专栏: xss跨站脚本攻击 DVWA靶场通关 文章标签: 安全 网络安全 渗透测试 xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43847838/article/details/110428828
本文围绕DVWA靶场的XSS漏洞展开,介绍了不同安全级别的绕过方法。在low级别,可绕过前端输入长度限制;Medium级别采用双写和大小写混淆绕过;High级别用图片插入语句法;而dvwa_impossible对参数进行了html实体转义,无法利用XSS漏洞。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

dvwa_存储型XSS全等级演示

一、low级别

    打开dvwa靶场,将等级设置为low,选中XSS(Stored)
在这里插入图片描述
    这里有一个很明显的特征就是表单,遇到这种情况最好每个表单都输入内容,即XSS测试语句
先查看源码(View Source):

<?php
if( isset( $_POST[ 'btnSign' ] ) ) {
    // Get input
    $message = trim( $_POST[ 'mtxMessage' ] );
    $name    = trim( $_POST[ 'txtName' ] );
    // Sanitize message input
    $message = stripslashes( $message );
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    // Sanitize name input
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    // Update database
    $query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
    //mysql_close();
}
?>

可以看到直接用sql语句存储了,并没有多余的设置

$query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";

接下来我们先尝试在Name表单内进行测试:
在这里插入图片描述
    奇怪的是,语句打到这里就没办法继续进行输入了,初步判断是有前端代码的限制

绕过前端限制,修改输入长度

我们右键查看源代码
在这里插入图片描述
    看到 maxlength = 10 限制了我们的输入长度,一般前端的设置是可以绕过的。
按F12,选择这里的前端代码,把maxlength=10改成maxlength=30
在这里插入图片描述
    修改好以后,我们接着在Name上面输入

<script>alert(/xss/)</script>

    为了区别,在Message处输入

<script>alert(/message/)</script>

    完了之后,点击注册(Sign Guestbook)
在这里插入图片描述
第一个出现XSS弹窗,是Name上的
在这里插入图片描述
第二个出现的是弹窗message,因此两个地方都存在XSS漏洞
在这里插入图片描述
那么如何判断他是不是存储型的呢?我们只要在这个网页什么都不填写,直接刷新,会发现直接出现弹窗了
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
还会将我们的内容显示出来
在这里插入图片描述
    我们可以用数据库管理工具进行查看,这里我用的是Navicat Premium 15,可以看出,我们输入的内容已经存储进来了
在这里插入图片描述

如果navicat连接不上kali数据库,请参考我的另一篇博客:
链接: https://blog.csdn.net/weixin_43847838/article/details/110420513.

    在进行Medium级别测试之前,先要把数据库中存放的两条XSS脚本删除,否则打开Medium级别后也会出现弹窗,因为是同一个数据库。删除方法很简单,用数据库连接工具,比如我用的Navicat工具即可。

二、Medium级别

先查看源代码(view source):

<?php
if( isset( $_POST[ 'btnSign' ] ) ) {
    // Get input
    $message = trim( $_POST[ 'mtxMessage' ] );
    $name    = trim( $_POST[ 'txtName' ] );

    // Sanitize message input
    $message = strip_tags( addslashes( $message ) );
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $message = htmlspecialchars( $message );
    // Sanitize name input
    $name = str_replace( '<script>', '', $name );
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    // Update database
    $query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
    //mysql_close();
}
?>

可以看到//Get input ,输入的内容

 // Get input
    $message = trim( $_POST[ 'mtxMessage' ] );
    $name    = trim( $_POST[ 'txtName' ] );

接着看到关键的语句:

// Sanitize name input
    $name = str_replace( '<script>', '', $name );

    Name的过滤方式跟dvwa反射型XSS几乎一模一样的,就是用 str_replace() 函数将<script> 字符过滤掉,把它替换成空,但是message的值就比较麻烦了

$message = strip_tags( addslashes( $message ) );

$message = htmlspecialchars( $message );

    先是使用addslashes() 函数,这个函数作用返回在预定义字符之前添加反斜杠的字符串。
预定义的字符是:
1.单引号(')
2.双引号(")
3.反斜杠(\)
4.NULL

    然后用strip_tags()这个函数除去字符串中的HTML、XML、 PHP 的标签,最后再调用htmlspecialchars() 函数,把预定义的字符转换为 HTML 实体,可谓是铜墙铁壁,所以message处不好下手,我们把攻击目标转移到防范薄弱的name.

函数具体用法可以前往w3school编程学习网查看:
PHP addslashes() 函数.

    因此我们可以采用大小写绕过和双写绕过。

1.双写绕过

Name*处

<scr<script>ipt>alert(1)</script>

同样的,在输入前要绕过长度限制
在这里插入图片描述
在这里插入图片描述

2.大小写混淆方式绕过

Name*处

<SCript>alert(/Hello/)</script>

在这里插入图片描述
先弹出1(双写绕过时留下的
在这里插入图片描述
后弹出内容:
在这里插入图片描述

三、High级别

先查看源代码(View Source)

<?php

if( isset( $_POST[ 'btnSign' ] ) ) {
    // Get input
    $message = trim( $_POST[ 'mtxMessage' ] );
    $name    = trim( $_POST[ 'txtName' ] );

    // Sanitize message input
    $message = strip_tags( addslashes( $message ) );
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $message = htmlspecialchars( $message );

    // Sanitize name input
    $name = preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $name );
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Update database
    $query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    //mysql_close();
}
?>

    可以看到,只是在medium级别的基础上,在Name处多了种过滤方式:

$name = preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $name );

    完全把<script>的大小写完全过滤掉,但是忽略了<img>等其他的标签
因此可以用图片插入语句法

图片插入语句法:

 <img src=1 οnerrοr=alert(999)>

在这里插入图片描述
在这里插入图片描述

四、dvwa_impossible分析

查看源代码(View Source):

<?php

if( isset( $_POST[ 'btnSign' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Get input
    $message = trim( $_POST[ 'mtxMessage' ] );
    $name    = trim( $_POST[ 'txtName' ] );

    // Sanitize message input
    $message = stripslashes( $message );
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $message = htmlspecialchars( $message );

    // Sanitize name input
    $name = stripslashes( $name );
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $name = htmlspecialchars( $name );

    // Update database
    $data = $db->prepare( 'INSERT INTO guestbook ( comment, name ) VALUES ( :message, :name );' );
    $data->bindParam( ':message', $message, PDO::PARAM_STR );
    $data->bindParam( ':name', $name, PDO::PARAM_STR );
    $data->execute();
}

// Generate Anti-CSRF token
generateSessionToken();

?>

    可以看到对两个参数name和message都进行了html实体转义,无法利用xss漏洞。

    本站所有文章均为原创,欢迎转载,请注明文章出处: https://blog.csdn.net/weixin_43847838/article/details/110428828.。百度和各类采集站皆不可信,搜索请谨慎鉴别。技术类文章一般都有时效性,本人习惯不定期对自己的博文进行修正和更新,因此请访问出处以查看本文的最新版本。

某SRC存储XSS发现经历和一点绕过思路
r0cky的博客
08-21 1617
某SRC提现额度竟然最低是两千,而已经有750的我不甘心呐,这不得把这2000拿出来嘛。 之后我就疯狂的挖这个站,偶然发现了一个之前没挖出来的点,还有个存储XSS! 刚开始来到这个之前挖过但没挖出来的站,看了一下感觉这站没啥东西了啊,然后来到评论区又一次测试了一下 先简单测试一下 心态:随意吧 <img src=0> 结果是一空的,啥也没有 普通的没用肯定是过滤了,想着直接抓包...
dvwa详解_DVWA--XSS(stored)
weixin_33478575的博客
12-24 1039
XSS0X011、简介跨站脚本(cross site script)为了避免与样式css混淆,所以简称为XSSXSS是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。那么什么是XSS呢?XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去。使别的用户访问都会执行相应的嵌入代码。从而盗取用户资料、利用用户身份...
DVWA-XSS(Stored)
weixin_44866139的博客
02-01 690
Low 直接输入 1、查看服务器端源代码 <?php if( isset( $_POST[ 'btnSign' ] ) ) { // Get input $message = trim( $_POST[ 'mtxMessage' ] ); $name = trim( $_POST[ 'txtName' ] ); // Sanitize message...
XSS漏洞03】XSS漏洞验证、语句构造与绕过方法_xss验证
最新发布
wly55690的博客
07-12 369
了解漏洞验证相关概念含义;掌握XSS漏洞验证的方法;掌握XSS语句构造的5种方法;掌握XSS语句绕过的8种方法
【工具-DVWADVWA渗透系列十二:XSS(Stored)
qqchaozai的专栏
10-26 2204
前言 DVWA安装使用介绍,见:【工具-DVWADVWA的安装和使用 本渗透系列包含最新DVWA的14个渗透测试样例: 1.Brute Force(暴力破解)2.Command Injection(命令注入)3.CSRF(跨站请求伪造)4.File Inclusion(文件包含)5.File Uploa...
存储xss与chrome浏览器绕过
机器的自我探索之旅
08-31 452
从php and mysql web developmented 4th 一书中拿出一个简单的html页面 html代码如下 表单的数据提交到了processorder.php 进行数据处理; 在processorder.php数据处理如下: $outputstring = $date."\t".$tireqty." tires \t".$oilqty." oil\t"
DVWA通关--存储XSSXSS (Stored)
箭雨镜屋
07-16 8869
LOW 通关步骤 源码分析 MEDIUM 通关步骤 源码分析 HIGH 通关步骤 源码分析 IMPOSSIBLE 源码分析 总结
DVWA-存储xss
Darklord.W
04-09 605
存储: 低: 输入 <script>alert('XSS stored')</script> 存储XSS是长期存储在服务器端,每次访问时都会执行js脚本 <script onload=alert('XSS1')> <a href=https://www.baidu.com>登录</a>3 <scrip...
DVWA】--- 十、存储XSS(XSS Stored)
qq_43168364的博客
05-31 666
XSS Stored 目录 一、low级别 二、Medium级别 三、High级别 四、Impossible级别 五、预防方法 一、low级别 不多说直接尝试写入 弹窗成功 由于他是存储的只要我们点击该模块就会引发弹窗,可以看到我们的JS代码是写入了数据库的,只要不清除他就会一直存在. 代码审计 相关函数 trim(string,charlist)函数: 移除字符串两侧的空白字符或其他预定义字符。string—必需, 规定要检查的字符串。charlist—可选, 规定从字符串中删除哪些字符
DVWA——XSS注入复现
qq_62056583的博客
07-13 2082
在对DVWA靶场漏洞复现前,先了解一下XSS漏洞的相关知识攻击者利用它向网页中注入恶意的客户端脚本,使得用户在访问页面时执行这些恶意脚本,从而达到攻击的目的。这种攻击通常利用了网站未对用户输入进行充分过滤或转义的情况。XSS的攻击方式分为三种,分别是:分别为反射(Reflected)存储(Stored)和DOM。:只是简单地把用户输入的数据反射给浏览器,简单来说,黑客往往需要用户诱使用户点击一个恶意链接,才能攻击成功。(经后端,不经数据库):将用户输入的数据存储在服务器端。
DVWA系列之XSS(跨站脚本攻击)——存储XSS源码分析及漏洞利用
7Riven's blog
11-27 1539
存储XSS 存储XSS持久化,代码是存储在服芻器中的,如在个人信息或发表文章等地方,插入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,用户每次访问该页面的时候都会触发代码执行。这种XSS比较危险,容易造成蠕虫,盗窃 cookie 1、hack插入恶意js 2、服务器返回含有恶意js页面 3、由于恶意js会一直存储在服务器端,所以每个目标点击含有恶意js页面都会跳转到第三方...
奇安信安全扫描漏洞解决路径遍历和存储xss和反射xss攻击漏洞
11-09
亲测可用,中级漏洞,解决服务器段请求伪造 final String forURL = ESAPI.encoder().encodeForURL(url); restTemplate.exchange(forURL, HttpMethod.GET,new HttpEntity<String>(headers), List.class, params);
XSS绕过正则
weixin_53498616的博客
03-01 551
input = input.replace(/<([a-zA-Z])/g, ‘<_$1’) input = input.toUpperCase() 匹配了所有<与字母的组合,但是ſ大写后为S,且其ascii值不与s相等,因此可以绕过
【实战】储存XSS+CSRF(XSS绕过到蠕虫攻击)
XunanSec的博客
05-23 787
0x00 存储XSS 1)绕过XSS 给大家分享个漏洞案例,今天上午刚把电脑修好 某技术学院储存XSS+CSRF(XSS绕过滤到蠕虫攻击) 注册处:http://xxx.edu.cn/meol/xxxx需要注册才能进入社区发表,先说下储存XSS,过滤了,发现可绕过 储存XSS:http://xxx.edu.cn/meol/xxx?genre=80&type=0 他是先过滤再输出,而不是输出时过滤,从而导致可绕过 我们发现他输入时就进行了过滤,直接替换<script>a.
DVWA-----------XSS (stored)
haha1314的博客
05-18 329
XSS(存储) 长期存储于服务器端; 一、low级别 输入 1 提交 输入 存在存储xss,所以每次打开都会弹框。 下面的都可以尝试 登录 ![在这里插入图片描述](https://img-blog.csdnimg.cn/20190518191445165.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,sh...
DVWA-XSS(Stored) 级别教程
weixin_44716769的博客
09-08 2644
XSS(Reflectrd) Low等级 查看源码 1.trim(string,charlist) 函数移除字符串两侧的空白字符或其他预定义字符,预定义字符包括、\t、\n、\x0B、\r以及空格,可选参数charlist支持添加额外需要删除的字符。 2.mysql_real_escape_string(string,connection) 函数会对字符串中的特殊符号(\x00,\n,\r,\,‘,“,\x1a)进行转义。 3.stripslashes(string)函数删除字符串中的反斜杠。 可以看到,
DVWA-13-XSS(Stored)
dahe
03-07 430
目录 1.概念 2.实验 2.1 LOW 2.2 Medium 2.3 High 1.概念 存储XSS又称持久XSS,攻击脚本将被永久性地存放在目标服务器的数据库或文件中,具有很高的隐蔽性。 攻击方式:这种攻击多见于留言版,攻击者在流言的过程中,将恶意脚本连同正常的信息一起注入帖子的内容中。内容被服务器存储下来,恶意脚本也永久地被存放在服务器的数据库中。当其他用户浏览这个被注入了恶意脚本的内容时,恶意脚本会在他们的浏览器中得到执行。 例如,恶意攻击者在留言板中加入以下代码 <s
DVWA靶场XSS反射性和存储的漏洞测试(low~high)
weixin_51585429的博客
11-07 2301
DVWA靶场XSS反射存储漏洞模块low~high等级
DVWA靶机-存储XSS漏洞(Stored)
weixin_43726831的博客
11-25 5466
DVWA靶机-存储XSS漏洞(Stored) 前章: DVWA靶机-暴力破解(Brute Force) && DVWA靶机的四个安全等级 DVWA靶机-命令注入漏洞(Command Injection) DVWA靶机-文件包含漏洞(File Inclusion) DVWA靶机-文件上传漏洞(File uploads) DVWA靶机-跨站请求伪造(CSRF) DVWA靶机-存储X...
DVWA教程:深度解析XSS攻击的反射存储
2. **存储XSS (Stored XSS)** - 存储XSS更为危险,因为恶意代码会被持久地存储在服务器上,比如用户的评论、注册信息等处。当用户访问包含这些存储内容的页面时,脚本会自动执行。DVWA的低级示例展示了`trim()`...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

归去来兮-zangcc

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值