XSS中DOM型注入技巧

池布旁2024-08-18 21:36

XSS中DOM型注入技巧

  • 练习
    • [Ma Spaghet!](#Ma Spaghet!)
    • Jefff
    • [Ugandan Knuckles](#Ugandan Knuckles)
    • [Ricardo Milos](#Ricardo Milos)
    • [Ah That's Hawt](#Ah That's Hawt)
    • Ligma
    • Mafia
    • [Ok, Boomer](#Ok, Boomer)

练习

练习网站: https://xss.pwnfunction.com/

Ma Spaghet!

题目总体要求:它说要弹出1337,不能有用户的交互,其实就是不能让用户点击触发,比如a标签,让它自动触发

分析:有个url的类进行get的传参,有参数就接受,没参数就是 Somebody,再放到innerHTML里面,,这里问题就是传递的参数直接放到html标签里面去了,就跟反射型一样,对用户传递的参数没过滤好直接传进去了

看看innerHTML标签

官网地址: https://developer.mozilla.org/zh-CN/docs/Web/API/Element/innerHTML

script标签被禁用了,但是可以换其他的,比如img标签,前面是是一个不存在的图片路径,找不到1的图片路径,就触发onerror

复制代码 
?somebody=<img src=1 onerror="alert(1337)">

防御的话可以换成innerTEXT,它会自动把 < 进行实体编码,这样就不会进行标签开始状态,不会被转移,只当作文本

Jefff

setTimeout定时器,执行一次,还有个定时器setInto循环执行

这里innerText就不用看了,看看eval这里能执行不,先进行闭合",再执行1337再闭合"

复制代码 
  ?jeff=aaa";alert(1337);"



这样就是分别执行,会显示aaa

还有就是可以js中的特殊连接符-

复制代码 
?jeff=aaa"-alert(1337);"


但是这里是将所以的东西当成一个执行

Ugandan Knuckles

这里看到input想到单引号闭合实现onclick,但是这里是点击才行,那就是在input里跟用户不交互实现的,那就是onfocus,获取焦点,input本身就有焦点,但是触发的时候还是需要用户去点才能触发,那就还有个autofocus自动对焦

这就是焦点

复制代码 
?wey=aaa" onfocus=alert(1337) autofocus=";

Ricardo Milos

这里看到action,有个action的伪协议事件,而这里是两秒后自动提交

复制代码 
?ricardo=javascript:alert(1337)

Ah That's Hawt

这里过滤了一下东西,这里还是用的innerHTML,但是这里过滤了括号,那函数触发不了了

那加上%28 %29呢

这里用%28 %29也被编码了,括号没有了,那加上25呢

还是没有解析,这里是onerro是在js的语法里面,解析不了urlcode,之前那个是因为在img标签里面,那我们这里加locatiion试试

复制代码 
?markassbrownlee=<img src=1 onerror=location="javascript:alert%25281337%2529">

Ligma

这里字母数字没有了,那就考虑用编码的方式绕过

编码网站: https://jsfuck.com/

比如这里编码之后还是需要进行urlcode编码,因为有符号,再用burpsuit或者其他的软件urlencode就行了


Mafia

这里还限制了长度,alert函数,那可以换换其他的,比如confirm

那现在换换其他的,可以试试构造函数也就是匿名函数也就是Function,而function是普通函数

那就定义一个函数,在例子中是赋了一个变量,也可以不赋,直接执行就行Function()(),执行前面的()

复制代码 
?mafia=Function(/ALERT(1337)/.source.toLowerCase())()

还有就是parseInt方法,利用进制数返回,进制数是2-36,也就是0-9 + 26个英文字母 =36

parseInt方法: https://developer.mozilla.org/zh-CN/docs/Web/JavaScript/Reference/Global_Objects/parseInt

还有个跟parseInt相反的方法,将进制转成字符串

toString方法: https://developer.mozilla.org/zh-CN/docs/Web/JavaScript/Reference/Global_Objects/Object/toString

那将alert进行parseInt的转换

t是最大的在20

30进制? 0-9 + 20 = 30

复制代码 
?mafia=eval(8680439..toString(30))(1377)

location.hash方法

复制代码 
eval(location.hash.slice())

location.hash将#后面的值取出来,再用slice截取函数截取后面#的内容

复制代码 
?mafia=eval(location.hash.slice(1))#alert(1337)

Ok, Boomer

这里用了DOMPurify框架,那就往下setTimeout()方法试试

setTimeout方法: https://developer.mozilla.org/zh-CN/docs/Web/API/setTimeout

eval() 函数会将传入的字符串当做 JavaScript 代码进行执行

将想要的操作放在字符串里

但是要看看框架的东西

DOMPurify框架白名单: https://github.com/cure53/DOMPurify/blob/main/src/regexp.js

javascript在框架里面,试试白名单里面的

复制代码 
?boomer=<a id=ok href="cid:alert(1337)">
ok是为了走进函数里面
相关推荐
Warren983 小时前
Lua 脚本在 Redis 中的应用
java·前端·网络·vue.js·redis·junit·lua
mCell4 小时前
JavaScript 运行机制详解:再谈 Event Loop
前端·javascript·浏览器
帧栈7 小时前
开发避坑指南(27):Vue3中高效安全修改列表元素属性的方法
前端·vue.js
max5006008 小时前
基于桥梁三维模型的无人机检测路径规划系统设计与实现
前端·javascript·python·算法·无人机·easyui
excel8 小时前
使用函数式封装绘制科赫雪花(Koch Snowflake)
前端
萌萌哒草头将军8 小时前
Node.js v24.6.0 新功能速览 🚀🚀🚀
前端·javascript·node.js
持久的棒棒君10 小时前
启动electron桌面项目控制台输出中文时乱码解决
前端·javascript·electron
小离a_a11 小时前
使用原生css实现word目录样式,标题后面的...动态长度并始终在标题后方(生成点线)
前端·css
郭优秀的笔记11 小时前
抽奖程序web程序
前端·css·css3
布兰妮甜12 小时前
CSS Houdini 与 React 19 调度器:打造极致流畅的网页体验
前端·css·react.js·houdini
热门推荐
01UV安装并设置国内源02Qwen3-Coder 快速上手教程 | Qwen Code + Claude Code03KGG转MP3工具|非KGM文件|解密音频04【2025.08.06最新版】Android Studio下载、安装及配置记录(自动下载sdk)052025最新国内服务器可用docker源仓库地址大全(2025年8月更新)06蜘蛛磁力 搜索引擎大全,如何使用蜘蛛磁力查找磁力链接07TRAE Rules 实践:为项目配置 6A 工作流08全球最强模型Grok4,国内已可免费使用!(附教程)09NVIDIA显卡驱动、CUDA、cuDNN 和 TensorRT 版本匹配指南10GPT-5 使用限制与国内升级全攻略(免费 / Plus / Pro)【2025 最新】