目录
[3.Ugandan Knuckles](#3.Ugandan Knuckles)
[4.Ricardo Milos](#4.Ricardo Milos)
[5. Ligma](#5. Ligma)
[6.Ah That's Hawt](#6.Ah That's Hawt)
1.ma,Spaghet
innerHTML :设置 innerHTML 的值可以让你轻松地将当前元素的内容替换为新的内容。
HTML 5 中指定不执行由 innerHTML 插入的 <script> 标签。
payload: ?somebody=<img%20src=1%20οnerrοr="alert(1337)"%20>
2.Jefff
innerTEXT:在一个节点上设置 innerText 会移除该节点的所有子节点,并用给定的字符串值的单一文本节点代替它们。
简单说就是标签不起作用,直接当成字符串了
setTimeout:全局的 setTimeout() 方法设置一个定时器,一旦定时器到期,就会执行一个函数或指定的代码片段。只能执行一次
所以:这里只能从eval这里破局!
首先通过引号闭合前面的内容,让我们的执行的命令逃逸出来!然后在闭合后面的引号
3.Ugandan Knuckles
可以看见这里被<>被过滤了
我们可以想到onclick这个属性
但是这样写的话有点不满足要求,因为它与用户交互了
input使用这样一个属性 onfocus ,autofocus
这里autofucus默认是yes.
4.Ricardo Milos
这里action为注入点
5. Ligma
这里过滤了英文和数字
这样感觉有点无从下手的感觉,这里只能使用编码了,看下源码!
jsfuck编码
由于URL不识别有些符号,需要对它进行URL编码
6.Ah That's Hawt
分析代码发现()不能使用了
试试能不能通过编码的方式来代替()
但是简单的使用%28 %29并不起作用
因为当浏览器将数据传到后端以后,因为转为()了,还是会被过滤
将%编码试试,%25,这样到后端以后就会变成%28 %29,如果js能够解码的话,最后传到页面的时候在解码%28,%29为(),这样不就实现了嘛
但是,js对符号并不进行解码,只对字符串和标识符进行编码。
那能不能将这一串变为字符串,然后对其解码呢?
当然是可以的,location,可以将其后面的内容当作字符串
7.Msfia
这里当alert,confirm prompt都不能使用
这里有三个方法:
方法1:匿名函数
Function(/ALERT/.source.toLowerCase())()
Function()() 第二个括号的作用,为了执行第一个括号里面的内容
这里得/ /代表之前得是函数,固定格式
方法2:
parseInt 和toString两个搭档
parseInt('alert',30) 得到一个数n,n..toString(30)就变回来了
注意:这里只能30以上36以下,因为30进制才包含t,parseInt最大只能写36
不过这里需要的是:toString转换之后是字符串
需要使用alert()将其当成js代码执行
方法3:
location.hash.slice(1)#alert(1337)
location.hash可以获取#后面的值,#后面的值不会被认为传递的参数
但是得到的是一个字符串,我们需要执行它
最终的payload:?mafia=eval(location.hash.slice(1))#alert(1337)
8.Ok,Boomer
由于我们的输入被过滤框架过滤了,所以,这里基本上没什么希望了
然后我们将目光放在了setTimeOut这个函数这里
发现它2s后执行了一个ok。感觉没啥用
那如果我们能够将这个OK换成我们注入的代码,那是不是就实现注入了呢?
这里需要用到一个DOM破坏的知识
举个栗子:
通过这种方式我们就可以拿到这个标签
通过这种方式我们可以执行标签里面的内容,但是发现它返回的是HTMLFormElent这个玩意
我们写的不是dadsa吗,怎么输出个这个
那是因为:所以元素的顶点就是object,object得toString方法最终得到得是一个元素,如果没有自己的toString方法的话,将会继承object的,返回类似这样的一个值
那怎么得到一个有自己toString方法的元素呢?
Object.getOwnPropertyNames(window) .filter(p => p.match(/Element$/)) .map(p => window[p]) .filter(p => p && p.prototype && p.prototype.toString !== Object.prototype.toString)我们可以得到两种标签对象:HTMLAreaElement ()& HTMLAnchorElement ()
HTMLAnchorElement () 就是a标签,它会将href属性后面内容当字符串输出
利用这点,我们可以实现恶意代码注入
全局的 setTimeout() 方法设置一个定时器,一旦定时器到期,就会执行一个函数或指定的代码片段。setTimeout()可以允许将函数当作字符串执行,a 标签得href可以自动替换成字符串
OK,答案一下就出来了
我们可以<a id=ok href="javascript:alert(1337)">
但是,发现没反应。那是因为javascript被这个框架过滤了,黑名单
换一个它白名单里面的就行了
但是!经过测试,并不是所有的都行
tel ,cid callto 这三个都行
总结:a标签可以让href属性后面内容当作字符串,而不是返回object对象
当我们执行标签代码时,标签会调用toString方法,将内容转换为字符串
我发现一个有意思的点:
href后面转化为我们想要的字符串了
这样看起来没什么问题
这样又有问题了
又正常了
这说明setTimeout执行的是alert函数,而前面的javascript:应该是每传进来,不然就语法错误。
我理解的是javascript:将后面的alert字符串替换成alert js代码,类似于eval的作用,传进setTimeout的时候就不是字符串,而是js代码
但是setTimeout()传进去又变成字符串了,不过不影响,它能将字符串当函数执行
是不是糊涂了
如果我们不经过前面的javascript:将其变成字符串,那么传进去后时候就会带两个引号,那么就算setTimeout可以将字符串当作代码执行,但是,里面还是一层字符串,执行不了。