记录一次有意思的XSS过滤绕过

  我的朋友赵一天今晚给我发了一个站,跟我说他xss绕不过去,让我试试。我正好无事,就帮她看看咯。

    通过赵一天发我的站点,说实话,我自己学到了很多东西,感谢大佬的教诲。今天分享出来:

    站点:xxx.com/sou

      

 

当我尝试:

  xxx.com/souaaaa

    

 

我们查看源码或者f12 Ctrl+f搜索aaaa:

颇为震惊,搜索结果有400多条。。

    

 

 

首先是我们发现第一处利用是<input>标签,下面的都是href=””中利用

    继续往下看看aaaa还在哪些标签里面:

下面大部分都是a标签。。

    

 

 

 

继续往下看:

我们发现aaaa在我们的js中。

 

 

ok我们整理好了,我们输入的aaaa在input,a和js中输出了。

  现在我们以input元素为例子尝试去xss攻击:

    首先我先尝试闭合标签:

       

 

然后查看源码:

真刺激,我们输入的>被转义成了全角的>

    

 

无法利用了

换个姿势我们还能” onxx=

我们试试:

    

 

查看源码:

   

 

没有对onxxx进行过滤,庆幸的是咱们可以onxxx

  这里就用onmouseover了。那么我们直接 “%20onmouseover=alert(1)”

       

 

我们发现没有弹窗。。看看怎么回事吧。。

  

""(1)””

观察发现,过滤了alert这个弹窗事件,括号变成了中午的括号:

 我这里采取的措施:把alert事件改成

 

 

过滤了alert

 我们尝试其他弹窗方法,confirm和prompt,因为过滤了括号,所以使用“(反引号进行利用):

  尝试: 

       

 

查看源码:

    

 

 

prompt没被过滤掉,反引号被过滤了。。头大了 。

  然后我尝试对其进行各种编码再次查看源码:

    

变成这个样子,现在我们来总结下我们的过滤问题: 

 1.全局的过滤了(),当攻击者输入()将会转义成中文的括号

2.当攻击者对()进行编码处理直接不显示信息被过滤

 3.当攻击者输入>会被转义成全角的>

  首先从这里看来我们无法明面上进行弹窗xss了。。

  那么我们使用另一种思路

   从onxxx=下手

    onxxx=内容=<script>内容</script>

    我首先选择document节点,因为过滤了()所以我不能document.getElementById(id)肯定会被过滤。。。

   那么我现在想加载document还想要不被过滤?怎么做? 选择一个不使用()的不就可以了吗。

    我尝试:看看是否可以

    

 

     

 

 

除了这种方法我们还有其他办法执行吗?

答案是肯定有:” onmouseover=”var ccc=11111;document.body.innerHTML=ccc//

  

 

成功闭合

 

对于xss我们的感觉就是必须得弹窗,这里没弹窗,我们的目标,不弹窗誓不罢休:

我们知道location.hash这个属性

  今天我们要讲解一个新知识点,docuemt.URL

 document.URL属性包含页面完整的URL比如:{协议}://{用户名}:{密码}@{主机名}:{端口号}/{路径}/{文件}?{参数}

他的功能和location.hash类似,我们可以#xss payload利用:

  我们如下:” onmouseover=document.body.innerHTML=document.URL “#<img src=1 onerror=alert(1)>

在最新版本IE下:

 

为什么我不用var xx=xss payload;document.body.innerHTML=xx是因为<>被转义了。。

 

现在这是一种弹窗方式,还有一种就是JS下的。

 

JS下的弹窗,我首选location.href:

 

 

 

简直了到处过滤

没办法了还是使用我们之前的姿势吧:”; document.body.innerHTML=document.URL// #<img src=1 onerror=alert(123)> 

 JS下利用

 

记录学习下,蛮有意思的。。。如果有其他思路欢迎留言。