前幾天在漏洞挖掘中遇到個(gè)xss，感覺繞過過程蠻有意思的，寫篇文章記錄下。

　　接下里是我對(duì)這個(gè)xss詳細(xì)的分析和繞過

　　存在問題站點(diǎn)http://******/index/appInfo?appId=784&url=xss

　　當(dāng)我查看源代碼搜索xss：

　　一處輸出點(diǎn)：

　　繼續(xù)搜索第二處輸出點(diǎn)：

　　　　

兩次輸出，第一次輸出是在input標(biāo)簽中，第二次是在js中，這里不考慮input中利用了。因?yàn)閕nput的type為hidden，即使能夠利用成功xss也非常的雞肋：

　

所以不考慮input標(biāo)簽了，我們轉(zhuǎn)戰(zhàn)到j(luò)s下構(gòu)造代碼讓其彈窗。

　　最簡(jiǎn)單的，我們先閉合引號(hào)，先輸入：';alert(1);//

　　

頁(yè)面直接變成空白頁(yè)。。是不是程序判斷中過濾了 alert？

　　我們嘗試刪除 alert：

　　

還是 空白頁(yè)，說明()被過濾了。

我們嘗試刪除()看看alert有沒有被過濾:

　　

頁(yè)面顯示依舊是空白，接著我嘗試把a(bǔ)lert替換成prompt和confirm等常用彈窗遇見 ，依舊是空白頁(yè)，很明顯這里對(duì)彈窗函數(shù)和過濾了()，我們?cè)俅螄L試雙引號(hào)("")有沒有被過濾:

　　

輸入：http://******/index/appInfo?appId=784&url=xss';"xss";//

頁(yè)面顯示內(nèi)容，然后再次查看源代碼：

　　

雙引號(hào)沒有被過濾。過濾了括號(hào)，一些彈窗函數(shù)。

　　現(xiàn)在我們不抱著彈窗的目的看看能否執(zhí)行一些簡(jiǎn)單的js操作，嘗試用js代碼跳轉(zhuǎn)到百度:

　　代碼window.location.

　　我們閉合然后構(gòu)造：

　　

發(fā)現(xiàn)還是顯示空白頁(yè)，說明過濾了，我猜測(cè)過濾window，我刪除其他內(nèi)容 保留window關(guān)鍵字:

　　

只要有 window他就顯示空白頁(yè)面。說明對(duì)window做了過濾。

　　window表示打開的當(dāng)前窗口，表示當(dāng)前的還有this關(guān)鍵字，這里過濾了window我們可以嘗試使用this代替window:

　　我們?cè)俅螛?gòu)造地址:http://******/index/appInfo?appId=784&url=xss';this.location.;//

　　這次他沒有攔截，讓我們跳轉(zhuǎn)到了百度:

　　　　

現(xiàn)在我們可以使用他進(jìn)行url的跳轉(zhuǎn)，現(xiàn)在我開始想著嘗試彈窗，但是這貌似很難，因?yàn)樗^濾的東西有點(diǎn)多。

　　我嘗試能不能使用dom節(jié)點(diǎn)寫入:

　　

又是空白頁(yè)面，我保留document刪除其他部分 ：

　　

我發(fā)現(xiàn)程序只要 有document他就會(huì)攔截你到空白頁(yè)，對(duì)于dom來說，沒有document是沒有靈魂的。雖然過濾document但是我們還是有辦法繞過的。

本地調(diào)試：

發(fā)現(xiàn)self['doc'+'ument']就是document

我們構(gòu)造地址：http://******/index/appInfo?appId=784&url=xss';self['doc'%2b'ument'].body.innerHTML=111//

其實(shí)寫到這里，我們回顧發(fā)現(xiàn)我們現(xiàn)在已經(jīng)可以做很多我們想做的事情了，我們可以通過js修改一個(gè) 界面內(nèi)容，通過js實(shí)現(xiàn)一個(gè)任意跳轉(zhuǎn)等。

　　但是我們本能的覺得xss必須得彈個(gè)框框，這是我們普遍對(duì)xss的認(rèn)知，現(xiàn)在我就只想彈窗？我該怎么做？

　　在過濾了括號(hào)，一些彈窗的函數(shù)后，我發(fā)現(xiàn)我已經(jīng)很難讓他彈窗了。。我思考了很久都無法做到彈窗。。后來請(qǐng)教大佬得到了一種彈窗的方法，為我xss學(xué)習(xí)又一次打開新的世界：

　　思路1:通過函數(shù)劫持彈窗 ：

　　查看源碼我們發(fā)現(xiàn)在下面一行調(diào)用了jq的attr屬性操作函數(shù)，這里我們能否進(jìn)行函數(shù)的劫持？對(duì)attr函數(shù)進(jìn)行劫持，劫持他變成alert呢？

　　這樣不就能彈窗了？

　　因?yàn)閍lert被過濾了，所以我們要用self['al'+'ert']替代繞過：

　　我們嘗試構(gòu)造這樣一個(gè)地址：http://******/index/appInfo?appId=784&url=xss';jQuery['attr']=this['al'%2b'ert']//

　　　　

我們查看 源代碼：

　　

　　　　

下面是我對(duì)函數(shù)劫持的分析:

　　

　　彈窗思路2：

　　使用#xss payload的方法　　

　　使用window.location.hash然后外部定位就不會(huì)造成任何攔截了 ：

　　因?yàn)檫^濾很多關(guān)鍵字，我們構(gòu)造如下地址:

　　http://******/index/appInfo?appId=784&url=xss%27;location=this.location.hash.slice%601%60;//#javascript:alert('xss')

　　

就可以造成彈窗，這里過濾了()我嘗試%28%29一樣是空白頁(yè)，嘗試把括號(hào)改成``還是空白頁(yè)，當(dāng)我編碼``為%60的時(shí)候發(fā)現(xiàn)沒有攔截，程序自動(dòng)decode了。故導(dǎo)致xss:

先寫到這里，這次xss的繞過讓我收獲了很多，為我以后xss研究打開了新的大門，總結(jié) 了一些寶貴的經(jīng)驗(yàn)，從前輩師傅那里學(xué)到了更深層的東西

比如說想玩好xss，一定要學(xué)好javascript基礎(chǔ)！馬上要過年了，特此 寫這篇文章 留念下。新的一年有更多的困難和挑戰(zhàn)等著我，更多的基礎(chǔ)知識(shí)需要掌握！加油！　　　　

總結(jié)

以上是生活随笔為你收集整理的记录一次有意思的XSS过滤绕过2的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。