XSS中DOM型注入技巧

XSS中DOM型注入技巧

  • 练习
    • [Ma Spaghet!](#Ma Spaghet!)
    • Jefff
    • [Ugandan Knuckles](#Ugandan Knuckles)
    • [Ricardo Milos](#Ricardo Milos)
    • [Ah That's Hawt](#Ah That's Hawt)
    • Ligma
    • Mafia
    • [Ok, Boomer](#Ok, Boomer)

练习

练习网站: https://xss.pwnfunction.com/

Ma Spaghet!

题目总体要求:它说要弹出1337,不能有用户的交互,其实就是不能让用户点击触发,比如a标签,让它自动触发

分析:有个url的类进行get的传参,有参数就接受,没参数就是 Somebody,再放到innerHTML里面,,这里问题就是传递的参数直接放到html标签里面去了,就跟反射型一样,对用户传递的参数没过滤好直接传进去了

看看innerHTML标签

官网地址: https://developer.mozilla.org/zh-CN/docs/Web/API/Element/innerHTML

script标签被禁用了,但是可以换其他的,比如img标签,前面是是一个不存在的图片路径,找不到1的图片路径,就触发onerror

?somebody=<img src=1 onerror="alert(1337)">

防御的话可以换成innerTEXT,它会自动把 < 进行实体编码,这样就不会进行标签开始状态,不会被转移,只当作文本

Jefff

setTimeout定时器,执行一次,还有个定时器setInto循环执行

这里innerText就不用看了,看看eval这里能执行不,先进行闭合",再执行1337再闭合"

  ?jeff=aaa";alert(1337);"



这样就是分别执行,会显示aaa


还有就是可以js中的特殊连接符-

?jeff=aaa"-alert(1337);"


但是这里是将所以的东西当成一个执行

Ugandan Knuckles

这里看到input想到单引号闭合实现onclick,但是这里是点击才行,那就是在input里跟用户不交互实现的,那就是onfocus,获取焦点,input本身就有焦点,但是触发的时候还是需要用户去点才能触发,那就还有个autofocus自动对焦

这就是焦点

?wey=aaa" onfocus=alert(1337) autofocus=";

Ricardo Milos

这里看到action,有个action的伪协议事件,而这里是两秒后自动提交

?ricardo=javascript:alert(1337)

Ah That's Hawt

这里过滤了一下东西,这里还是用的innerHTML,但是这里过滤了括号,那函数触发不了了

那加上%28 %29呢

这里用%28 %29也被编码了,括号没有了,那加上25呢

还是没有解析,这里是onerro是在js的语法里面,解析不了urlcode,之前那个是因为在img标签里面,那我们这里加locatiion试试

?markassbrownlee=<img src=1 onerror=location="javascript:alert%25281337%2529">

Ligma

这里字母数字没有了,那就考虑用编码的方式绕过

编码网站: https://jsfuck.com/

比如这里编码之后还是需要进行urlcode编码,因为有符号,再用burpsuit或者其他的软件urlencode就行了


Mafia

这里还限制了长度,alert函数,那可以换换其他的,比如confirm

那现在换换其他的,可以试试构造函数也就是匿名函数也就是Function,而function是普通函数

那就定义一个函数,在例子中是赋了一个变量,也可以不赋,直接执行就行Function()(),执行前面的()

?mafia=Function(/ALERT(1337)/.source.toLowerCase())()

还有就是parseInt方法,利用进制数返回,进制数是2-36,也就是0-9 + 26个英文字母 =36

parseInt方法: https://developer.mozilla.org/zh-CN/docs/Web/JavaScript/Reference/Global_Objects/parseInt

还有个跟parseInt相反的方法,将进制转成字符串

toString方法: https://developer.mozilla.org/zh-CN/docs/Web/JavaScript/Reference/Global_Objects/Object/toString

那将alert进行parseInt的转换

t是最大的在20

30进制? 0-9 + 20 = 30

?mafia=eval(8680439..toString(30))(1377)

location.hash方法

eval(location.hash.slice())

location.hash将#后面的值取出来,再用slice截取函数截取后面#的内容

?mafia=eval(location.hash.slice(1))#alert(1337)

Ok, Boomer

这里用了DOMPurify框架,那就往下setTimeout()方法试试

setTimeout方法: https://developer.mozilla.org/zh-CN/docs/Web/API/setTimeout

eval() 函数会将传入的字符串当做 JavaScript 代码进行执行

将想要的操作放在字符串里

但是要看看框架的东西

DOMPurify框架白名单: https://github.com/cure53/DOMPurify/blob/main/src/regexp.js

javascript在框架里面,试试白名单里面的

?boomer=<a id=ok href="cid:alert(1337)">
ok是为了走进函数里面
相关推荐
鑫~阳14 分钟前
html + css 淘宝网实战
前端·css·html
Catherinemin18 分钟前
CSS|14 z-index
前端·css
2401_882727572 小时前
低代码配置式组态软件-BY组态
前端·后端·物联网·低代码·前端框架
NoneCoder2 小时前
CSS系列(36)-- Containment详解
前端·css
anyup_前端梦工厂2 小时前
初始 ShellJS:一个 Node.js 命令行工具集合
前端·javascript·node.js
5hand2 小时前
Element-ui的使用教程 基于HBuilder X
前端·javascript·vue.js·elementui
GDAL3 小时前
vue3入门教程:ref能否完全替代reactive?
前端·javascript·vue.js
六卿3 小时前
react防止页面崩溃
前端·react.js·前端框架
z千鑫3 小时前
【前端】详解前端三大主流框架:React、Vue与Angular的比较与选择
前端·vue.js·react.js
m0_748256144 小时前
前端 MYTED单篇TED词汇学习功能优化
前端·学习