PortSwigger靶场之将 XSS 存储到onclick带有尖括号和双引号 HTML 编码以及单引号和反斜杠转义的事件中通关秘籍

携欢2025-10-15 19:04

一、实验室挑战分析

  • 漏洞类型: 存储型 XSS(在评论功能中)。

  • 目标: 提交评论,使得点击评论作者姓名时触发 alert() 函数。

  • 注入点: 评论作者的姓名网站 输入,被反射到 onclick 事件处理程序中。

  • 防御机制(需要绕过):

    1. 尖括号 (<, >) HTML 编码:尖括号 <> 被 HTML 编码为 &lt;&gt, 阻止注入新的 HTML 标签。无法使用 <script><img><svg> 等标签执行 JS,

      ❌ 无法使用 onloadonerror 等事件处理器(除非通过其他方式)

    2. 双引号 (") HTML 编码:双引号 " 被 HTML 编码为 &quot, 阻止通过闭合属性值来注入新属性或修改现有属性如 onfocusonclick),

      ❌ 无法添加 onmouseover=onload= 等属性

    3. 单引号 (') 转义: 单引号 ' 被转义为 \' , 防止在 JavaScript 字符串中闭合字符串

    4. 反斜杠 (\) 转义: 反斜杠 \ 被转义为 \\ |,防止利用反斜杠"逃逸"转义机制。

  • 利用机制:如果输入被插入到 HTML 属性中(如 onclick),浏览器会先解码 ' 为 ',从而绕过服务端对 ' 的转义;也可以利用表达式执行函数,即使字符串被闭合保护。

    在 HTML 中,' 是表示单引号 ' 的字符实体。浏览器在解析 HTML 标签的属性或文本内容时,会自动将 ' 解码为实际的单引号字符 '

    然而,在 JavaScript 字符串中,' 仅被视为普通字符串序列,不会被自动转换为单引号。

    服务器在接收用户输入时,通常不会自动解码 HTML 实体,也就是说,如果输入中包含 ',服务器默认将其作为字面字符串处理,而非 '。但某些后端框架或应用程序可能会显式调用 HTML 实体解码函数,将 ' 转换为 ' 后再进行后续处理(如转义),这种情况下就可能影响安全过滤逻辑。

    因此,能否利用 ' 来绕过对单引号的转义,关键在于服务器端是否执行了 HTML 实体解码。

二、理论分析

我们进入上面评论页面,输入任意评论和信息并提交,之后查看页面代码如下:

html 复制代码 
<a id="author" href="https:/1" onclick="var tracker={track(){}};tracker.track('https:/1');">1</a>

  • <a> 标签是一个超链接,显示作者名1。

  • href="https:/1":显示我们评论填写的 URL

  • onclick="...":当用户点击这个链接时,会执行 JavaScript 代码。

  • 脚本内容:

    javascript 复制代码 
    var tracker = { track() {} }; 
tracker.track('https:/1');
    • 它定义了一个对象 tracker,包含一个空的 track() 方法。
    • 然后调用 tracker.track(...),但由于方法为空,实际什么也不做。

分析完关键语句的脚本内容,我们继续分析。

我们输入的 "Website" 被同时写入了 HTML 标签的 href 属性和 onclick 事件中,具体出现在 tracker.track('http://1') 这一函数调用里。由于该 track 方法体为空,因此即使被调用也不会产生实际影响。

此时,我们可以利用 HTML 实体编码的特性,使用 ' 来绕过对单引号的转义限制。因为 onclick 是 HTML 标签的属性,浏览器在解析该属性值时,会优先将其中的 HTML 实体(如 ')解码为对应的字符 (即 '),然后再将解码后的结果传递给 JavaScript 引擎执行。这意味着,' 会在 JavaScript 执行前被转换为单引号,从而实现字符串的提前闭合。

然而,在提交评论时,系统对 "Website" 字段有格式校验(如必须为合法 URL),因此无法直接输入 JavaScript 函数或恶意脚本。为了绕过这一限制,我们需要将 payload 封装在数学表达式或合法 URL 形式中,其中的 HTML 实体(包括 ')进行解码 ,然后再将解码后的结果传递给 JavaScript 引擎执行。这意味着,即使服务器未解码,只要 ' 出现在 HTML 属性中,浏览器就会将其转换为 ',从而绕过基于字符过滤的防御机制。

三、解决靶场

javascript 复制代码 
Payload:http://'-alert(1)-'

在提交评论时候提交网站输入上面payload,对应js会解析为:

javascript 复制代码 
'http://' - alert() - ''

当 JavaScript 遇到非数字类型的值参与算术运算(如减法),会尝试将其隐式转换为数字,这里的 'http://' → 不是一个合法的数字格式 → 转换结果为 NaN(Not-a-Number);同时alert() 函数没有返回值 ,在 JavaScript 中,没有返回值的函数默认返回 undefined

接着,JavaScript 开始从左到右计算减法(减法是左结合):

  1. 'http://' - undefined

    → 两者都转为数字:

    • 'http://'NaN
    • undefinedNaN
      NaN - NaN = NaN

  2. 然后计算:NaN - ''

    • ''(空字符串)→ 转为数字是 0
      NaN - 0 = NaN

虽然表达式结果是 NaN,但关键在于:**alert() 已经执行了!**这里我们巧妙的利用数学运算"包装"恶意函数调用。最后成功通关

相关推荐
Liu.7749 分钟前
vue3组件之间传输数据
前端·javascript·vue.js
|晴 天|9 分钟前
前端闭包:从概念到实战,解锁JavaScript高级技能
开发语言·前端·javascript
开发者小天10 分钟前
react的拖拽组件库dnd-kit
前端·react.js·前端框架
用户44455436542620 分钟前
在Android开发中阅读源码的指导思路
前端
用户542778485154022 分钟前
ESM 模块(ECMAScript Module)详解
前端
全栈前端老曹37 分钟前
【ReactNative】核心组件与 JSX 语法
前端·javascript·react native·react.js·跨平台·jsx·移动端开发
用户54277848515401 小时前
JavaScript 闭包详解:由浅入深掌握作用域与内存管理的艺术
前端
小小黑0071 小时前
快手小程序-实现插屏广告的功能
前端·javascript·小程序
用户54277848515401 小时前
闭包在 Vue 项目中的应用
前端
TG:@yunlaoda360 云老大1 小时前
配置华为云国际站代理商OBS跨区域复制时,如何编辑委托信任策略?
java·前端·华为云
热门推荐
01GitHub 镜像站点02UV安装并设置国内源03Linux下V2Ray安装配置指南04安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)05在VSCode配置Java开发环境的保姆级教程(适配各类AI编程IDE)06RedissonClient的配置解析07BongoCat - 跨平台键盘猫动画工具08jdk21下载、安装(Windows、Linux、macOS)09Open-AutoGLM Windows 安装部署教程10Labelme从安装到标注:零基础完整指南