xss复现

目录

反射型 

Ma Spaghet!

Jefff

Ugandan Knuckles

onfocus

Ricardo Milos

Ah That's Hawt

location

Ligma

Mafia

构造函数

dom破坏

Ok, Boomer

反射型 

Ma Spaghet!

<!-- Challenge -->
<h2 id="spaghet"></h2>
<script>spaghet.innerHTML = (new URL(location).searchParams.get('somebody') || "Somebody") + " Toucha Ma Spaghet!"
</script>

分析代码：将get传参somebody直接放在h2标签中

 尝试传入script语句

没有触发

 这里使用的是innerHTML函数，查询得知该函数不会执行<script>标签

 但这里仅仅是不执行<script>标签，可以使用<img>

搞定

Jefff

<!-- Challenge -->
<h2 id="maname"></h2>
<script>let jeff = (new URL(location).searchParams.get('jeff') || "JEFFF")let ma = ""eval(`ma = "Ma name ${jeff}"`)setTimeout(_ => {maname.innerText = ma}, 1000)
</script>

 分析代码：get传参，与字符串拼接后放在h2标签

这里有双引号限制，可通过闭合双引号来逃逸双引号

成功

Ugandan Knuckles

<!-- Challenge -->
<div id="uganda"></div>
<script>let wey = (new URL(location).searchParams.get('wey') || "do you know da wey?");wey = wey.replace(/[<>]/g, '')uganda.innerHTML = `<input type="text" placeholder="${wey}" class="form-control">`
</script>

分析代码：get传参，放入<input>标签 ，但这里过滤了<和>

不过这里依然可以用闭合双引号的方式，增加一个点击事件

不过这种方式需要手动点击输入框才可以触发

onfocus

input标签自带一个焦点属性，按tab键可以切换焦点，当焦点在input标签时触发

不过这种方式依然需要手动触发，但input还要自动聚焦autofocus

自动触发

Ricardo Milos

<!-- Challenge -->
<form id="ricardo" method="GET"><input name="milos" type="text" class="form-control" placeholder="True" value="True">
</form>
<script>ricardo.action = (new URL(location).searchParams.get('ricardo') || '#')setTimeout(_ => {ricardo.submit()}, 2000)
</script>

 分析代码：get传参，默认为#，两秒后进行form表单提交

form表单的action是支持javascript:伪协议的

成功

Ah That's Hawt

<!-- Challenge -->
<h2 id="will"></h2>
<script>smith = (new URL(location).searchParams.get('markassbrownlee') || "Ah That's Hawt")smith = smith.replace(/[\(\`\)\\]/g, '')will.innerHTML = smith
</script>

 分析代码：get传参放入h2标签，不过过滤了括号，反引号和转义字符

尝试编码%来绕过

失败了

 因为alert是js中的函数，而js不能对符号编码，所以失败

location

这里使用location属性，经查询，location会将后面的值当作字符串

将alert转为字符串后，再编码符号

成功

Ligma

/* Challenge */
balls = (new URL(location).searchParams.get('balls') || "Ninja has Ligma")
balls = balls.replace(/[A-Za-z0-9]/g, '')
eval(balls)

这里过滤了字母和数字

使用编码的方式

成功

Mafia

/* Challenge */
mafia = (new URL(location).searchParams.get('mafia') || '1+1')
mafia = mafia.slice(0, 50)
mafia = mafia.replace(/[\`\'\"\+\-\!\\\[\]]/gi, '_')
mafia = mafia.replace(/alert/g, '_')
eval(mafia)

过滤了alert，不过prompt、confirm也能实现弹窗

构造函数

Function 构造函数创建一个新的 Function 对象。直接调用此构造函数可用动态创建函数

Function(/ALERT(1337)/.source.toLowerCase())()

将ALERT转小写后执行

dom破坏

Ok, Boomer

<!-- Challenge -->
<h2 id="boomer">Ok, Boomer.</h2>
<script>boomer.innerHTML = DOMPurify.sanitize(new URL(location).searchParams.get('boomer') || "Ok, Boomer")setTimeout(ok, 2000)
</script>

 分析代码：两秒后执行ok，不过奇怪的是这里并没有定义

Dom Clobbering 就是⼀种将 HTML 代码注⼊⻚⾯中以操纵 DOM 并最终更改⻚⾯上 JavaScript ⾏为的 技术。 

<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><meta name="viewport" content="width=device-width, initial-scale=1.0"><title>Document</title>
</head>
<body><a id="test1" href="aaaaaaaa"></a>
</body>
<script>alert(test1)
</script>
</html>

可以发现herf中的值会当作字符串展示，而setTimeout能够执行字符串

payload=<a id="ok" href="javascript:alert(1)">

 没有绕过前端框架

使用了白名单

将javascript换掉

成功