存储型XSS,持久化,代码是存储在服务器中的,如在个人信息或发表文章等地方,加入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,用户访问该页面的时候触发代码执行。这种XSS比较危险,容易造成蠕虫,盗窃cookie等。
Low:
clipboard.png相关函数介绍:
trim(string,charlist) 函数移除字符串两侧的空白字符或其他预定义字符,预定义字符包括\0、\t、\n、\x0B、\r以及空格,可选参数charlist支持添加额外需要删除的字符。
mysqli_real_escape_string(string,connection) 函数会对字符串中的特殊符号(\x00,\n,\r,\,',",\x1a)进行转义。
stripslashes(string) 函数删除字符串中的反斜杠。
分析:
可以看到,对输入并没有做XSS方面的过滤与检查,且存储在数据库中,因此这里存在明显的存储型XSS漏洞。
Exploit
message栏的利用:
输入<script>alert(/name/)</script>,成功弹框:
name栏的利用:
发现前端html中对name有字数长度限制:
Burpsuite 抓包改为<script>alert(/name/)</script>
Medium: clipboard (4).png
strip_tags()函数剥去字符串中的HTML、XML以及PHP的标签,但允许使用<b>标签。
addslashes()函数返回在预定义字符(单引号、双引号、反斜杠、NULL)之前添加反斜杠的字符串。
分析:
可以看到,由于对message参数使用了htmlspecialchars函数进行编码,因此无法再通过message参数注入XSS代码,但是对于name参数,只是简单过滤了<script>字符串,仍然存在存储型的XSS。
Exploit
1.双写绕过
Burpsuite抓包改name参数为:<sc<script>ript>alert(/name/)</script>
2.大小写混淆绕过
Burpsuite抓包改name参数为:<ScRipt>alert(/name/);</ScRipt>
3.使用非 script 标签的 xss payload:
eg:img标签:
Burpsuite抓包改name参数为:<img src=1 onerror=alert(/name/)>
其他标签和利用还有很多很多….
以上抓包修改数据Forward后,均成功弹窗:
High:
clipboard (9).png分析:
这里使用正则表达式过滤了<script>标签,但是却忽略了img、iframe等其它危险的标签,因此name参数依旧存在存储型XSS。
Exploit
Burpsuite抓包改name参数为<img src=1 onerror=alert(/name/)>
Forward后,成功弹窗:
clipboard (11).png