什么是存储型xss
存储型xss意味着可以与数据库产生交互的，可以直接存在数据库中
先将DVWA安全等级改为低


先随便写点东西上传
我们发现上传的内容会被显示，怎么显示的呢？
它先是上传到数据库中，然后通过数据库查询语句将内容回显
看看源码

<?phpif( isset( $_POST[ 'btnSign' ] ) ) {// Get input$message = trim( $_POST[ 'mtxMessage' ] );$name    = trim( $_POST[ 'txtName' ] );// Sanitize message input$message = stripslashes( $message );$message = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $message ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));// Sanitize name input$name = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"],  $name ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));// Update database$query  = "INSERT INTO guestbook ( comment, name ) VALUES ( '$message', '$name' );";$result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );//mysql_close();
}?>

可以看到它使用 stripslashes函数将输入的内容进行了过滤

mysql_real_escape_string函数：用于对字符串进行 MySQL 数据库安全地转义，以防止 SQL 注入攻击。比如对引号加上\以进行过滤
过滤之后再将上传的内容插入到数据库
看看怎么展示的

通过这个函数展示

通过sql语句查询然后展示再页面中，可以看到在展示的时候没有进行任何的过滤
既然展示的时候没有任何过滤那么就直接插入恶意代码


插入后访问时就会有弹窗
但是这有什么用，虽然插入了恶意代码但是依然只是在弹窗
可以考虑一下是不是能够拿到他的cookie，拿到cookie不需要账号密码就可以登录后台
这里需要使用到一款kali自带的工具beef如果kali中没有的话可以使用apt install beef-xss下载
如果没有下载成功尝试更新源
启动beef

第一次启动会让你设置密码，启动后会给你提供一个他的后台地址。

我们在外部访问就使用它的IP就行

可以在它的配置文件下查看它的账号密码

在这里，它提供了它盗取cookie的js代码

打开后可以看到巨长无比
我们直接用就行

这里是它给的用法

将IP改为kali的ip，但是有个问题它好像有点太长了，这个输入框应该是限制了长度

可以看到它确实将长度限制在了50
怎么办？

咱手动将它的长度改一下，发现确实可行，上传试试

确实上传了
回到beef

可以看到确实访问到了

可以看到它获取到了cookies
拿到了cookie怎么做呢？

在这里将这些cookie值全部删掉然后刷新

可以看到它让我们重新登录

在这里写上我们刚刚获取的cookie

直接访问主页

可以看到没有使用账号密码但是依旧成功进入