关注这个漏洞的其他相关笔记:XSS 漏洞 - 学习手册-CSDN博客
0x01:存储型 XSS —— 理论篇
存储型 XSS 又称持久型 XSS,攻击脚本将被永久的存放在目标服务器的数据库或文件中,具有很高的隐蔽性。
常见的攻击方式: 这种攻击多见于论坛、博客、留言板,攻击者在发帖过程中,将恶意脚本连同正常信息一起注入帖子的内容中。随着帖子被服务器存储下来,恶意脚本也永久地被存放在服务器的后端存储器中。当其他用户浏览这个被注入了恶意脚本的帖子时,恶意脚本会在他们的浏览器中得到执行。
其攻击流程如下图所示:
从上面的攻击流程中,我们可以看到,存储型 XSS 的攻击方式能将恶意代码永久的嵌入一个页面中,所有访问这个页面的用户都将成为受害者。如果我们能够谨慎对待不明链接,那么反射型 XSS 攻击将没有多大作为,而存储型 XSS 则不同,由于它注入在一些我们信任的页面,因此无论我们多么小心,都难免会受到攻击(谁会一直打开浏览器的源码模式抓包呀)。
0x02:存储型 XSS —— 实战篇
实验工具准备
PHP 运行环境:phpstudy_x64_8.1.1.3.zip(安装教程:PhpStudy 安装-CSDN博客)
PIKACHU 靶场:pikachu-master.zip (安装教程:PIKACHU 靶场初识-CSDN博客)
本次实验采用的是现成的 PIKACHU 靶场,该靶场的搭建流程参考上面的链接,这里就不多说了。
0x0201:存储型 XSS 攻击
在浏览器的导航栏中输入下面的网址,访问 PIKACHU 靶场中的存储型 XSS 漏洞地址:
http://127.0.0.1/pikachu/vul/xss/xss_stored.php
可以看到是一个留言板,我们可以写几条留言看看:
从上图可以看出来,使用不同的浏览器,在不同的时刻去查看之前的留言,都是能看到相同的内容的。
我们鼠标右击页面,查看一下网页源码:
可以发现,我们传入的内容直接回显在了 <p>
标签中。那么我们尝试留言一个 JavaScript 脚本看看呢:
<script>alert(/You've Been Tricked/)</script>
留言之后,点击 submit
页面直接弹窗了。此时,查看一下留言板的网页源码:
可以看到,我们之前留言的 JavaScript 脚本被成功嵌入到了前端页面中,此时我们使用另一个浏览器访问当前页面,模拟其他用户的登录操作:
可以看到,其他用户一访问这个存在存储型 XSS 漏洞的站点,就收到了弹窗,证明被 XSS 攻击了。至此,存储型 XSS 攻击的全流程演示完毕。
0x0202:存储型 XSS 代码分析
下面是触发存储型 XSS 漏洞的关键代码:
<?php
$link = connect(); // 获取数据库连接对象
$html = '';
if (array_key_exists("message", $_POST) && $_POST['message'] != null) {
// 如果 POST 请求中存在 message 字段,且 message 字段不为空
$message = escape($link, $_POST['message']); // 对传入的数据进行转义,避免 SQL 注入漏洞
$query = "insert into message(content,time) values('$message',now())";
$result = execute($link, $query);// 执行 $query 中的内容,将客户端传递的留言插入到数据库中
if (mysqli_affected_rows($link) != 1) {
$html .= "<p>数据库出现异常,提交失败!</p>";
}
}
?>
<div id="xsss_main">
<p class="xsss_title">我是一个留言板:</p>
<form method="post">
// 用户留言的地方,在 textarea 中填写留言后,点击 submit 即可以 POST 方式提交到当前页面,后续会被直接插入到数据库中
<textarea class="xsss_in" name="message"></textarea><br />
<input class="xsss_submit" type="submit" name="submit" value="submit" />
</form>
<div id="show_message"><br /><br />
<p class="line">留言列表:</p>
<?php
echo $html;
$query = "select * from message";
$result = execute($link, $query); // 查询数据库中存放的所有留言
while ($data = mysqli_fetch_assoc($result)) {
// 遍历查询出来的结果,并拼接回显
echo "<p class='con'>{$data['content']}</p><a href='xss_stored.php?id={$data['id']}'>删除</a>"; // 将数据库中的留言渲染回页面
}
echo $html;
?>
</div>
</div>
用户在留言板中留言后,通过 <form>
表单,将数据传递给后端,后端接收到用户的数据后,使用自己编写的 escape()
函数对用户传入的内容进行了转义,从而避免了 SQL 注入攻击。转义完成后就将用户提交的内容插入到了数据库中。在接下来的逻辑中,目标将数据库中存储的内容直接回显回了页面,没有做任何的过滤,导致出现了 XSS 漏洞。
从上面的代码分析来看,目标只在将用户提交的信息插入数据库的时候做了一次过滤,我们看一下其过滤逻辑:
//转义,避免fuck
function escape($link,$data){
if(is_string($data)){
// 传入的如果是字符串,就直接使用 mysqli_real_escape_string() 进行转义
return mysqli_real_escape_string($link,$data);
}
if(is_array($data)){
// 传入的如果是数组,则对没个元素都使用 mysqli_real_escape_string() 进行转义
foreach ($data as $key=>$val){
$data[$key]=escape($link,$val);
}
}
return $data;
}
mysqli_real_escape_string()
函数的定义与用法如下图所示:
可以发现该函数只转义在 SQL 语句中使用的字符串中的特殊字符。并不包括我们在 XSS 中常用的 <
、>
这些特殊符号,所以目标后端只对输入时的 SQL 注入做了防范,但对 XSS 并未做防御。
所以,当用户在留言板中写入 <script>alert(/You've Been Tricked/)</script>
时,数据库中的数据如下图所示:
当其他用访问该留言板时,页面回显并执行了 <script>alert(/You've Been Tricked/)</script>
,导致弹窗。
0x03:参考文献
-
《Web 安全攻防:渗透测试实战指南》 ISBN 978-7-121-34283-7