Xss(reflect)
low

查看源代码,可以看见它对于输入的参数没有任何过滤,直接输入下列代码,成功弹出

<script>alert(/xss/)</script>
medium

查看源代码可以看见,这里对输入进行了过滤,基于黑名单的思想,使用str_replace函数将输入中的script标签删除,这种防护机制是可以被轻松绕过的。

1、双写绕过

<sc<script>ript>alert(/xss/)</script>

2、大小写混淆绕过

<ScRipt>alert(/xss/)</script>
high

查看源代码可以看到,High级别的代码同样使用黑名单过滤输入,preg_replace() 函数用于正则表达式的搜索和替换,这使得双写绕过、大小写混淆绕过(正则表达式中i表示不区分大小写)不再有效。但是可以通过img、body等标签的事件或者iframe等标签的src注入恶意的js代码。

<img src=1 onerror=alert(/xss/)>
Xss(stored)
low

查看源代码可以看见,并没有对输入进行过滤,且存储在数据库中

相关函数介绍

trim(string,charlist)

函数移除字符串两侧的空白字符或其他预定义字符,预定义字符包括、\t、\n、\x0B、\r以及空格,可选参数charlist支持添加额外需要删除的字符。

mysql_real_escape_string(string,connection)

函数会对字符串中的特殊符号(\x00,\n,\r,\,',",\x1a)进行转义。

stripslashes(string)

函数删除字符串中的反斜杠。

首先发现name参数限制了输入字符的长度,可以在message处输入

<script>alert(/xss/)</script>

message可以任意输入。

对于name参数,可以抓包后修改参数内容,也可以成功弹窗

medium

查看源代码,strip_tags() 函数剥去字符串中的 HTML、XML 以及 PHP 的标签,但允许使用b标签。

addslashes() 函数返回在预定义字符(单引号、双引号、反斜杠、NULL)之前添加反斜杠的字符串。

可以看到,由于对message参数使用了htmlspecialchars函数进行编码,因此无法再通过message参数注入XSS代码,但是对于name参数,只是简单过滤了部分字符串,仍然存在存储型的XSS。代码限制了输入长度,则抓包修改参数即可

对于name参数,以然存在双写绕过和大小写混淆绕过,不再赘述

high

查看源代码可以看到,这里使用正则表达式过滤了script标签,但是却忽略了img、iframe等其它危险的标签,因此name参数依旧存在存储型XSS。且页面依旧限制了输入参数长度

抓包修改参数为

<img src=1 onerror=alert(1)>
Insecure CAPTCHA(不安全的验证码)
low

CAPTCHA是Completely Automated Public Turing Test to Tell Computers and Humans Apart (全自动区分计算机和人类的图灵测试)的简称。这一模块的验证码使用的是Google提供reCAPTCHA服务

服务器通过调用recaptcha_check_answer函数检查用户输入的正确性

recaptcha_check_answer($privkey,$remoteip, $challenge,$response)

参数$privkey是服务器申请的private key ,$remoteip是用户的ip,$challenge 是recaptcha_challenge_field 字段的值,来自前端页面 ,$response是 recaptcha_response_field 字段的值。函数返回ReCaptchaResponse class的实例,ReCaptchaResponse 类有2个属性

$is_valid是布尔型的,表示校验是否有效,

$error是返回的错误代码。

查看源代码可以看见,服务器一共进行两部操作

1、检查用户输入的验证码,验证通过后服务器返回表单。这其中存在明显的逻辑漏洞,服务器仅仅通过检查Change、step 参数来判断用户是否已经输入了正确的验证码。

2、客户端提交POST请求,服务器完成修改密码的操作

输入参数之后进行抓包

根据源代码,直接修改step参数step=2即可绕过验证码

medium

查看源代码,可以看到,Medium级别的代码在第二步验证时,参加了对参数passed_captcha的检查,如果参数值为true,则认为用户已经通过了验证码检查,然而用户依然可以通过伪造参数绕过验证,本质上来说,这与Low级别的验证没有任何区别。

可以通过抓包,修改step参数,并且增加passed_captcha=true即可

high

查看源代码可以看到,服务器的验证逻辑是当$resp(这里是指谷歌返回的验证结果)是false,并且参数recaptcha_response_field不等于hidd3n_valu3(或者http包头的User-Agent参数不等于reCAPTCHA)时,就认为验证码输入错误,反之则认为已经通过了验证码的检查。

则抓包修改参数

User-Agent:reCaptcha
增加参数recaptcha_response_field=hidd3n_valu3

即可
参考:https://www.freebuf.com/author/lonehand?type=article