【20171025早】alert(1) to win 练习

本人黑绝楼，自称老黑，男，25岁，曾经在BAT工作过两年，但是一直都是底层人员，整天做重复性工作，甚敢无趣，曾和工作十年之久的同事聊天，发现对方回首过往，生活是寡淡如水，只有机械性工作。旋即老黑毅然决然辞职，现赋闲在家，打算从软件开发工程师转为安全研究，开这个博客记录平生，以飨各位看官。

老黑我无房，无车，无女友，身高一米七七，微胖，为计算机奋斗了四五年，可惜进步甚微，现决心发愤图强，在未来的七八个月里做最后的挣扎，不成功便安心结婚生子，随了父母的心愿。：）

人生处处都是选择，做出正确的选择才能谋取更大的局面。

开篇第一章，2017年10月25日早上7点起床，写了一章小说发到了起点网上，然后开始研究安全，呵呵。

网上安全研究的网站，文章，课题这么多，该将有限的时间用在哪个身上呢？

i春秋，知道创宇技能表，还是直接在补天上挖漏洞？

选择知道创宇的技能表，视频太浪费时间了，文字和实战是首选，视频能不看就不看。

XSS 练习网站

https://alf.nu/alert1

第三题

function escape(s) {
  s = JSON.stringify(s);
  return '<script>console.log(' + s + ');</script>';
}

　　目的是构造可执行alert(1)命令是s字符串，显示到页面是

<html>
<head></head>
<body>
<script>console.log("s")</script>
</body>
</html>

　　TRY:

1. 输入 ") 打算封闭log的函数，可是s经过了JSON.stringify()特殊处理，输入的 " 变成 \" 无法封闭log函数，打算查看JSON.stringify()有什么可以突破的地方，最后发现没有。

2. 简单粗暴的闭合<script>标签，直接构造新的。输入 </script><script>alert(1)</script>，OK！

回过头仔细查看了下JSON的stringify函数是要对特殊字符进行转义的像 "，\ 等，以便正确读取完整的s字符串，所以第一种尝试是不成功的，显而易见，如果连完整的字符串都读取不完整的话，开发人员早就不使用这种函数了。

第四题

function escape(s) {
  var url = 'javascript:console.log(' + JSON.stringify(s) + ')';
  console.log(url);

  var a = document.createElement('a');
  a.href = url;
  document.body.appendChild(a);
  a.click();
}

TRY：

1. 不能像第三题一样，闭合<script>，输入的内容都会套在可恶的双引号里边，结合外部代码，发现是一个url，通过提前对被转义的 " URL编码，尝试闭合log函数，输入

%22);alert(1)// 尝试成功！

　　原理：输入的字符串 -> URL编码 -> 到服务器后解析 -> 实现目的

参考：

https://my.oschina.net/heweipo/blog/395884

http://www.cnblogs.com/liuhongfeng/p/5006341.html

http://blog.sina.com.cn/s/blog_95c8f1ac010198j2.html