XSS中DOM型注入技巧

池布旁2024-08-18 21:36

XSS中DOM型注入技巧

  • 练习
    • [Ma Spaghet!](#Ma Spaghet!)
    • Jefff
    • [Ugandan Knuckles](#Ugandan Knuckles)
    • [Ricardo Milos](#Ricardo Milos)
    • [Ah That's Hawt](#Ah That's Hawt)
    • Ligma
    • Mafia
    • [Ok, Boomer](#Ok, Boomer)

练习

练习网站: https://xss.pwnfunction.com/

Ma Spaghet!

题目总体要求:它说要弹出1337,不能有用户的交互,其实就是不能让用户点击触发,比如a标签,让它自动触发

分析:有个url的类进行get的传参,有参数就接受,没参数就是 Somebody,再放到innerHTML里面,,这里问题就是传递的参数直接放到html标签里面去了,就跟反射型一样,对用户传递的参数没过滤好直接传进去了

看看innerHTML标签

官网地址: https://developer.mozilla.org/zh-CN/docs/Web/API/Element/innerHTML

script标签被禁用了,但是可以换其他的,比如img标签,前面是是一个不存在的图片路径,找不到1的图片路径,就触发onerror

?somebody=<img src=1 onerror="alert(1337)">

防御的话可以换成innerTEXT,它会自动把 < 进行实体编码,这样就不会进行标签开始状态,不会被转移,只当作文本

Jefff

setTimeout定时器,执行一次,还有个定时器setInto循环执行

这里innerText就不用看了,看看eval这里能执行不,先进行闭合",再执行1337再闭合"

  ?jeff=aaa";alert(1337);"



这样就是分别执行,会显示aaa

还有就是可以js中的特殊连接符-

?jeff=aaa"-alert(1337);"


但是这里是将所以的东西当成一个执行

Ugandan Knuckles

这里看到input想到单引号闭合实现onclick,但是这里是点击才行,那就是在input里跟用户不交互实现的,那就是onfocus,获取焦点,input本身就有焦点,但是触发的时候还是需要用户去点才能触发,那就还有个autofocus自动对焦

这就是焦点

?wey=aaa" onfocus=alert(1337) autofocus=";

Ricardo Milos

这里看到action,有个action的伪协议事件,而这里是两秒后自动提交

?ricardo=javascript:alert(1337)

Ah That's Hawt

这里过滤了一下东西,这里还是用的innerHTML,但是这里过滤了括号,那函数触发不了了

那加上%28 %29呢

这里用%28 %29也被编码了,括号没有了,那加上25呢

还是没有解析,这里是onerro是在js的语法里面,解析不了urlcode,之前那个是因为在img标签里面,那我们这里加locatiion试试

?markassbrownlee=<img src=1 onerror=location="javascript:alert%25281337%2529">

Ligma

这里字母数字没有了,那就考虑用编码的方式绕过

编码网站: https://jsfuck.com/

比如这里编码之后还是需要进行urlcode编码,因为有符号,再用burpsuit或者其他的软件urlencode就行了


Mafia

这里还限制了长度,alert函数,那可以换换其他的,比如confirm

那现在换换其他的,可以试试构造函数也就是匿名函数也就是Function,而function是普通函数

那就定义一个函数,在例子中是赋了一个变量,也可以不赋,直接执行就行Function()(),执行前面的()

?mafia=Function(/ALERT(1337)/.source.toLowerCase())()

还有就是parseInt方法,利用进制数返回,进制数是2-36,也就是0-9 + 26个英文字母 =36

parseInt方法: https://developer.mozilla.org/zh-CN/docs/Web/JavaScript/Reference/Global_Objects/parseInt

还有个跟parseInt相反的方法,将进制转成字符串

toString方法: https://developer.mozilla.org/zh-CN/docs/Web/JavaScript/Reference/Global_Objects/Object/toString

那将alert进行parseInt的转换

t是最大的在20

30进制? 0-9 + 20 = 30

?mafia=eval(8680439..toString(30))(1377)

location.hash方法

eval(location.hash.slice())

location.hash将#后面的值取出来,再用slice截取函数截取后面#的内容

?mafia=eval(location.hash.slice(1))#alert(1337)

Ok, Boomer

这里用了DOMPurify框架,那就往下setTimeout()方法试试

setTimeout方法: https://developer.mozilla.org/zh-CN/docs/Web/API/setTimeout

eval() 函数会将传入的字符串当做 JavaScript 代码进行执行

将想要的操作放在字符串里

但是要看看框架的东西

DOMPurify框架白名单: https://github.com/cure53/DOMPurify/blob/main/src/regexp.js

javascript在框架里面,试试白名单里面的

?boomer=<a id=ok href="cid:alert(1337)">
ok是为了走进函数里面
相关推荐
Martin -Tang30 分钟前
vite和webpack的区别
前端·webpack·node.js·vite
迷途小码农零零发31 分钟前
解锁微前端的优秀库
前端
王解1 小时前
webpack loader全解析,从入门到精通(10)
前端·webpack·node.js
我不当帕鲁谁当帕鲁1 小时前
arcgis for js实现FeatureLayer图层弹窗展示所有field字段
前端·javascript·arcgis
那一抹阳光多灿烂2 小时前
工程化实战内功修炼测试题
前端·javascript
放逐者-保持本心,方可放逐2 小时前
微信小程序=》基础=》常见问题=》性能总结
前端·微信小程序·小程序·前端框架
毋若成4 小时前
前端三大组件之CSS,三大选择器,游戏网页仿写
前端·css
红中马喽5 小时前
JS学习日记(webAPI—DOM)
开发语言·前端·javascript·笔记·vscode·学习
Black蜡笔小新6 小时前
网页直播/点播播放器EasyPlayer.js播放器OffscreenCanvas这个特性是否需要特殊的环境和硬件支持
前端·javascript·html
秦jh_6 小时前
【Linux】多线程(概念,控制)
linux·运维·前端
热门推荐
01玄机平台应急响应—webshell查杀02Ubuntu 20.04使用Livox mid 360 测试 FAST_LIO03【HarmonyOS】HUAWEI DevEco Studio 下载地址汇总04新版微信小程序获取用户手机号05文件或文件夹名称中有空格如何批量去除06组基轨迹建模 GBTM的介绍与实现(Stata 或 R)07【TC3xx芯片】TC3xx芯片电源管理系统PMS详解08优化手机性能,解决卡顿问题:关闭这3个微信开关,释放内存空间09基于YOLOv10深度学习的CT扫描图像肾结石智能检测系统【python源码+Pyqt5界面+数据集+训练代码】深度学习实战、目标检测10【Flutter】基于 GetX 实现 Dio 的生命周期自动化