记录一次有意思的XSS过滤绕过2
前幾天在漏洞挖掘中遇到個(gè)xss,感覺(jué)繞過(guò)過(guò)程蠻有意思的,寫(xiě)篇文章記錄下。
接下里是我對(duì)這個(gè)xss詳細(xì)的分析和繞過(guò)
存在問(wèn)題站點(diǎn)http://******/index/appInfo?appId=784&url=xss
當(dāng)我查看源代碼搜索xss:
一處輸出點(diǎn):
繼續(xù)搜索第二處輸出點(diǎn):
兩次輸出,第一次輸出是在input標(biāo)簽中,第二次是在js中,這里不考慮input中利用了。因?yàn)閕nput的type為hidden,即使能夠利用成功xss也非常的雞肋:
所以不考慮input標(biāo)簽了,我們轉(zhuǎn)戰(zhàn)到j(luò)s下構(gòu)造代碼讓其彈窗。
最簡(jiǎn)單的,我們先閉合引號(hào),先輸入:';alert(1);//
頁(yè)面直接變成空白頁(yè)。。是不是程序判斷中過(guò)濾了 alert?
我們嘗試刪除 alert:
還是 空白頁(yè),說(shuō)明()被過(guò)濾了。
我們嘗試刪除()看看alert有沒(méi)有被過(guò)濾:
頁(yè)面顯示依舊是空白,接著我嘗試把a(bǔ)lert替換成prompt和confirm等常用彈窗遇見(jiàn) ,依舊是空白頁(yè),很明顯這里對(duì)彈窗函數(shù)和過(guò)濾了(),我們?cè)俅螄L試雙引號(hào)("")有沒(méi)有被過(guò)濾:
輸入:http://******/index/appInfo?appId=784&url=xss';"xss";//
頁(yè)面顯示內(nèi)容,然后再次查看源代碼:
雙引號(hào)沒(méi)有被過(guò)濾。過(guò)濾了括號(hào),一些彈窗函數(shù)。
現(xiàn)在我們不抱著彈窗的目的看看能否執(zhí)行一些簡(jiǎn)單的js操作,嘗試用js代碼跳轉(zhuǎn)到百度:
代碼window.location.
我們閉合然后構(gòu)造:
發(fā)現(xiàn)還是顯示空白頁(yè),說(shuō)明過(guò)濾了,我猜測(cè)過(guò)濾window,我刪除其他內(nèi)容 保留window關(guān)鍵字:
只要有 window他就顯示空白頁(yè)面。說(shuō)明對(duì)window做了過(guò)濾。
window表示打開(kāi)的當(dāng)前窗口,表示當(dāng)前的還有this關(guān)鍵字,這里過(guò)濾了window我們可以嘗試使用this代替window:
我們?cè)俅螛?gòu)造地址:http://******/index/appInfo?appId=784&url=xss';this.location.;//
這次他沒(méi)有攔截,讓我們跳轉(zhuǎn)到了百度:
現(xiàn)在我們可以使用他進(jìn)行url的跳轉(zhuǎn),現(xiàn)在我開(kāi)始想著嘗試彈窗,但是這貌似很難,因?yàn)樗^(guò)濾的東西有點(diǎn)多。
我嘗試能不能使用dom節(jié)點(diǎn)寫(xiě)入:
又是空白頁(yè)面,我保留document刪除其他部分 :
我發(fā)現(xiàn)程序只要 有document他就會(huì)攔截你到空白頁(yè),對(duì)于dom來(lái)說(shuō),沒(méi)有document是沒(méi)有靈魂的。雖然過(guò)濾document但是我們還是有辦法繞過(guò)的。
本地調(diào)試:
發(fā)現(xiàn)self['doc'+'ument']就是document
我們構(gòu)造地址:http://******/index/appInfo?appId=784&url=xss';self['doc'%2b'ument'].body.innerHTML=111//
其實(shí)寫(xiě)到這里,我們回顧發(fā)現(xiàn)我們現(xiàn)在已經(jīng)可以做很多我們想做的事情了,我們可以通過(guò)js修改一個(gè) 界面內(nèi)容,通過(guò)js實(shí)現(xiàn)一個(gè)任意跳轉(zhuǎn)等。
但是我們本能的覺(jué)得xss必須得彈個(gè)框框,這是我們普遍對(duì)xss的認(rèn)知,現(xiàn)在我就只想彈窗?我該怎么做?
在過(guò)濾了括號(hào),一些彈窗的函數(shù)后,我發(fā)現(xiàn)我已經(jīng)很難讓他彈窗了。。我思考了很久都無(wú)法做到彈窗。。后來(lái)請(qǐng)教大佬得到了一種彈窗的方法,為我xss學(xué)習(xí)又一次打開(kāi)新的世界:
思路1:通過(guò)函數(shù)劫持彈窗 :
查看源碼我們發(fā)現(xiàn)在下面一行調(diào)用了jq的attr屬性操作函數(shù),這里我們能否進(jìn)行函數(shù)的劫持?對(duì)attr函數(shù)進(jìn)行劫持,劫持他變成alert呢?
這樣不就能彈窗了?
因?yàn)閍lert被過(guò)濾了,所以我們要用self['al'+'ert']替代繞過(guò):
我們嘗試構(gòu)造這樣一個(gè)地址:http://******/index/appInfo?appId=784&url=xss';jQuery['attr']=this['al'%2b'ert']//
我們查看 源代碼:
下面是我對(duì)函數(shù)劫持的分析:
彈窗思路2:
使用#xss payload的方法
使用window.location.hash然后外部定位就不會(huì)造成任何攔截了 :
因?yàn)檫^(guò)濾很多關(guān)鍵字,我們構(gòu)造如下地址:
http://******/index/appInfo?appId=784&url=xss%27;location=this.location.hash.slice%601%60;//#javascript:alert('xss')
就可以造成彈窗,這里過(guò)濾了()我嘗試%28%29一樣是空白頁(yè),嘗試把括號(hào)改成``還是空白頁(yè),當(dāng)我編碼``為%60的時(shí)候發(fā)現(xiàn)沒(méi)有攔截,程序自動(dòng)decode了。故導(dǎo)致xss:
先寫(xiě)到這里,這次xss的繞過(guò)讓我收獲了很多,為我以后xss研究打開(kāi)了新的大門(mén),總結(jié) 了一些寶貴的經(jīng)驗(yàn),從前輩師傅那里學(xué)到了更深層的東西
比如說(shuō)想玩好xss,一定要學(xué)好javascript基礎(chǔ)!馬上要過(guò)年了,特此 寫(xiě)這篇文章 留念下。新的一年有更多的困難和挑戰(zhàn)等著我,更多的基礎(chǔ)知識(shí)需要掌握!加油!
總結(jié)
以上是生活随笔為你收集整理的记录一次有意思的XSS过滤绕过2的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: date时区 es logstash_e
- 下一篇: 飞傲桌面高清数播解码耳放一体机 R7 发