记录一次有意思的XSS过滤绕过
我的朋友赵一天今晚给我发了一个站,跟我说他xss绕不过去,让我试试。我正好无事,就帮她看看咯。
通过赵一天发我的站点,说实话,我自己学到了很多东西,感谢大佬的教诲。今天分享出来:
站点:xxx.com/sou
当我尝试:
xxx.com/souaaaa
我们查看源码或者f12 Ctrl+f搜索aaaa:
颇为震惊,搜索结果有400多条。。
首先是我们发现第一处利用是<input>标签,下面的都是href=""中利用
继续往下看看aaaa还在哪些标签里面:
下面大部分都是a标签。。
继续往下看:
我们发现aaaa在我们的js中。
ok我们整理好了,我们输入的aaaa在input,a和js中输出了。
现在我们以input元素为例子尝试去xss攻击:
首先我先尝试闭合标签:
然后查看源码:
真刺激,我们输入的>被转义成了全角的>
无法利用了
换个姿势我们还能" onxx=
我们试试:
查看源码:
没有对onxxx进行过滤,庆幸的是咱们可以onxxx
这里就用onmouseover了。那么我们直接 "%20onmouseover=alert(1)"
我们发现没有弹窗。。看看怎么回事吧。。
""(1)""
观察发现,过滤了alert这个弹窗事件,括号变成了中午的括号:
我这里采取的措施:把alert事件改成
过滤了alert
我们尝试其他弹窗方法,confirm和prompt,因为过滤了括号,所以使用``(反引号进行利用):
尝试:
查看源码:
prompt没被过滤掉,反引号被过滤了。。头大了 。
然后我尝试对其进行各种编码再次查看源码:
变成这个样子,现在我们来总结下我们的过滤问题:
1.全局的过滤了(),当攻击者输入()将会转义成中文的括号
2.当攻击者对()进行编码处理直接不显示信息被过滤
3.当攻击者输入>会被转义成全角的>
首先从这里看来我们无法明面上进行弹窗xss了。。
那么我们使用另一种思路
从onxxx=下手
onxxx=内容=<script>内容</script>
我首先选择document节点,因为过滤了()所以我不能document.getElementById(id)肯定会被过滤。。。
那么我现在想加载document还想要不被过滤?怎么做? 选择一个不使用()的不就可以了吗。
我尝试:看看是否可以
除了这种方法我们还有其他办法执行吗?
答案是肯定有:" onmouseover="var ccc=11111;document.body.innerHTML=ccc//
成功闭合
对于xss我们的感觉就是必须得弹窗,这里没弹窗,我们的目标,不弹窗誓不罢休:
我们知道location.hash这个属性
今天我们要讲解一个新知识点,docuemt.URL
document.URL属性包含页面完整的URL比如:{协议}://{用户名}:{密码}@{主机名}:{端口号}/{路径}/{文件}?{参数}
他的功能和location.hash类似,我们可以#xss payload利用:
我们如下:" onmouseover=document.body.innerHTML=document.URL "#<img src=1 onerror=alert(1)>
在最新版本IE下:
为什么我不用var xx=xss payload;document.body.innerHTML=xx是因为<>被转义了。。
现在这是一种弹窗方式,还有一种就是JS下的。
JS下的弹窗,我首选location.href:
简直了到处过滤
没办法了还是使用我们之前的姿势吧:"; document.body.innerHTML=document.URL// #<img src=1 onerror=alert(123)>
JS下利用
记录学习下,蛮有意思的。。。如果有其他思路欢迎留言。
记录一次有意思的XSS过滤绕过的更多相关文章
- 记录一次有意思的XSS过滤绕过2
前几天在漏洞挖掘中遇到个xss,感觉绕过过程蛮有意思的,写篇文章记录下. 接下里是我对这个xss详细的分析和绕过 存在问题站点http://******/index/appInfo?appId=784 ...
- WAF指纹识别和XSS过滤器绕过技巧
[译文] -- “Modern Web Application Firewalls Fingerprinting and Bypassing XSS Filters” 0x1 前言 之前在乌云drop ...
- Bypass xss过滤的测试方法
0x00 背景 本文来自于<Modern Web Application Firewalls Fingerprinting and Bypassing XSS Filters>其中的byp ...
- XSS插入绕过一些方式总结
详见:http://blog.csdn.net/keepxp/article/details/52054388 1 常规插入及其绕过 1.1 Script 标签 绕过进行一次移除操作: <scr ...
- (转)Bypass xss过滤的测试方法
from wooyun//五道口杀气 · 2014/01/02 19:16 0x00 背景 本文来自于<Modern Web Application Firewalls Fingerprinti ...
- xss原理绕过防御个人总结
xss原理 xss产生的原因是将恶意的html脚本代码插入web页面,底层原理和sql注入一样,都是因为js和php等都是解释性语言,会将输入的当做命令执行,所以可以注入恶意代码执行我们想要的内容 x ...
- 风炫安全WEB安全学习第二十六节课 XSS常见绕过防御技巧
风炫安全WEB安全学习第二十六节课 XSS常见绕过防御技巧 XSS绕过-过滤-编码 核心思想 后台过滤了特殊字符,比如说
- dedecms功能性函数封装(XSS过滤、编码、浏览器XSS hack、字符操作函数)
dedecms虽然有诸多漏洞,但不可否认确实是一个很不错的内容管理系统(cms),其他也不乏很多功能实用性的函数,以下就部分列举,持续更新,不作过多说明.使用时需部分修改,你懂的 1.XSS过滤. f ...
- Asp.net Mvc中利用ValidationAttribute实现xss过滤
在网站开发中,需要注意的一个问题就是防范XSS攻击,Asp.net mvc中已经自动为我们提供了这个功能.用户提交数据时时,在生成Action参数的过程中asp.net会对用户提交的数据进行验证,一旦 ...
随机推荐
- CPP笔记_函数返回局部变量
本篇笔记记录的是关于返回函数中的局部值. 我们知道,在函数中创建的局部变量会随着函数的调用过程的结束,也即其对应函数栈帧的清除,而结束其生命周期.那么,如果我们把这个局部变量返回,就有可能存在该变量对 ...
- 【学习笔记】【Javaweb】二、Session对象过期时间三种设置方法、Session失效监听器
一.前言 本文:https://www.cnblogs.com/Twobox/p/10361712.html 参考:https://www.cnblogs.com/diewufeixian/p/422 ...
- mac /linux vi/vim永久显示行号开启高亮模式
临时显示:进入vi编辑器,输入命令 :set number //下次在进入vi 无法显示行号 :set nonumber //本次vi关闭行号显示 vi 每次修改后推荐使用命令: sourc ...
- sed 查找文件的某一行内容
1,查找文件text中第三行的内容 命令: sed -n '3p' text 2,查找文件text中第二行到第四行的内容 命令: sed -n '2,4p' text
- c/c++ 多线程 参数传递
多线程 参数传递 1,值传递,拷贝一份新的给新的线程.线程1中有个int变量a,在线程1中启动线程2,参数是a的值,这时就会拷贝a,线程1和线程2不共享a. 2,引用传递,不拷贝一份新的给新的线程.线 ...
- Centos7.5 部署postfix邮件系统
1. Postfix 1.1 邮件服务的介绍 电子邮件是—种用电子手段提供信息交换的通信方式,是互联网应用最广的服务.通过网络的电子邮件系统,用户可以以非常低廉的价格(不管发送到哪里,都只需负担网费) ...
- 码农人生——从未学过Android如何开发Android App 案例讲解-第002期案例
标题有点晃眼,本次分享是002期博文的实践故事,不会有任何代码.也不会教别人android 如何开发,类似博文已经有大批大批,而且还会有陆陆续续的人写,我写的文章,主要是经验之谈,希望总结出的一些方法 ...
- 网络编程_tcp与dup协议简单应用
老师的博客:http://www.cnblogs.com/Eva-J/articles/8066842.html 计算机网络基础 :http://www.cnblogs.com/Eva-J/artic ...
- java.io.IOException: There appears to be a gap in the edit log. We expected txid ***, but got txid
方式1 原因:namenode元数据被破坏,需要修复解决:恢复一下namenode hadoop namenode -recover 一路选择Y,一般就OK了 方式2 Need to copy the ...
- Sklearn中的回归和分类算法
一.sklearn中自带的回归算法 1. 算法 来自:https://my.oschina.net/kilosnow/blog/1619605 另外,skilearn中自带保存模型的方法,可以把训练完 ...