Xss(reflect)
low
查看源代码,可以看见它对于输入的参数没有任何过滤,直接输入下列代码,成功弹出
<script>alert(/xss/)</script>
medium
查看源代码可以看见,这里对输入进行了过滤,基于黑名单的思想,使用str_replace函数将输入中的script标签删除,这种防护机制是可以被轻松绕过的。
1、双写绕过
<sc<script>ript>alert(/xss/)</script>
2、大小写混淆绕过
<ScRipt>alert(/xss/)</script>
high
查看源代码可以看到,High级别的代码同样使用黑名单过滤输入,preg_replace() 函数用于正则表达式的搜索和替换,这使得双写绕过、大小写混淆绕过(正则表达式中i表示不区分大小写)不再有效。但是可以通过img、body等标签的事件或者iframe等标签的src注入恶意的js代码。
<img src=1 onerror=alert(/xss/)>
Xss(stored)
low
查看源代码可以看见,并没有对输入进行过滤,且存储在数据库中
相关函数介绍
trim(string,charlist)
函数移除字符串两侧的空白字符或其他预定义字符,预定义字符包括、\t、\n、\x0B、\r以及空格,可选参数charlist支持添加额外需要删除的字符。
mysql_real_escape_string(string,connection)
函数会对字符串中的特殊符号(\x00,\n,\r,\,',",\x1a)进行转义。
stripslashes(string)
函数删除字符串中的反斜杠。
首先发现name参数限制了输入字符的长度,可以在message处输入
<script>alert(/xss/)</script>
message可以任意输入。
对于name参数,可以抓包后修改参数内容,也可以成功弹窗
medium
查看源代码,strip_tags() 函数剥去字符串中的 HTML、XML 以及 PHP 的标签,但允许使用b标签。
addslashes() 函数返回在预定义字符(单引号、双引号、反斜杠、NULL)之前添加反斜杠的字符串。
可以看到,由于对message参数使用了htmlspecialchars函数进行编码,因此无法再通过message参数注入XSS代码,但是对于name参数,只是简单过滤了部分字符串,仍然存在存储型的XSS。代码限制了输入长度,则抓包修改参数即可
对于name参数,以然存在双写绕过和大小写混淆绕过,不再赘述
high
查看源代码可以看到,这里使用正则表达式过滤了script标签,但是却忽略了img、iframe等其它危险的标签,因此name参数依旧存在存储型XSS。且页面依旧限制了输入参数长度
抓包修改参数为
<img src=1 onerror=alert(1)>
Insecure CAPTCHA(不安全的验证码)
low
CAPTCHA是Completely Automated Public Turing Test to Tell Computers and Humans Apart (全自动区分计算机和人类的图灵测试)的简称。这一模块的验证码使用的是Google提供reCAPTCHA服务
服务器通过调用recaptcha_check_answer函数检查用户输入的正确性
recaptcha_check_answer($privkey,$remoteip, $challenge,$response)
参数$privkey是服务器申请的private key ,$remoteip是用户的ip,$challenge 是recaptcha_challenge_field 字段的值,来自前端页面 ,$response是 recaptcha_response_field 字段的值。函数返回ReCaptchaResponse class的实例,ReCaptchaResponse 类有2个属性
$is_valid是布尔型的,表示校验是否有效,
$error是返回的错误代码。
查看源代码可以看见,服务器一共进行两部操作
1、检查用户输入的验证码,验证通过后服务器返回表单。这其中存在明显的逻辑漏洞,服务器仅仅通过检查Change、step 参数来判断用户是否已经输入了正确的验证码。
2、客户端提交POST请求,服务器完成修改密码的操作
输入参数之后进行抓包
根据源代码,直接修改step参数step=2即可绕过验证码
medium
查看源代码,可以看到,Medium级别的代码在第二步验证时,参加了对参数passed_captcha的检查,如果参数值为true,则认为用户已经通过了验证码检查,然而用户依然可以通过伪造参数绕过验证,本质上来说,这与Low级别的验证没有任何区别。
可以通过抓包,修改step参数,并且增加passed_captcha=true即可
high
查看源代码可以看到,服务器的验证逻辑是当$resp(这里是指谷歌返回的验证结果)是false,并且参数recaptcha_response_field不等于hidd3n_valu3(或者http包头的User-Agent参数不等于reCAPTCHA)时,就认为验证码输入错误,反之则认为已经通过了验证码的检查。
则抓包修改参数
User-Agent:reCaptcha
增加参数recaptcha_response_field=hidd3n_valu3
