jother编码

本文总结自乌云http://drops.wooyun.org/web/4410，本文为笔记，如有不懂欢迎讨论或者移步原作者大作处。

jother编码特点：

1、简单，不需要太多算法的知识。

2、是对javascript有了较深的了解后的产物。

学习之前的准备：

1、javascript匿名函数相关知识

2、javascript相关函数

3、javascript变量类型基本知识

4、递归思想

jother编码：jother编码是在javascript语言中，利用少量特定字符构造精简的匿名函数对与字符串的编码方式。我理解是，javascript中使用少量特定字符对匿名函数进行编码加密。其中少量的特定字符包括：“+”、“！”、“（”、“）”、“[”、“]”、“{”、“}"。由此可见，1、递归在编码过程中是必须的。2、编码压缩率大于100%或者更高，也就是说编码后的长度比原长度长很多。

看如下例子：

alert([function(){
		alert(1);
	}()])

执行后先弹出1，再弹出空窗口。先执行了alert(1)，然后外层的alert将function的返回值弹出。

alert(function (){document.write('aa');});

执行后弹出aa并且网页上显示aa。也就是说，alert可以执行函数。

alert([]);//"[]"是最简单的函数，执行后什么也不做，返回void。
	alert(+[]);//运算符“+”将返回值void强制转换为数字0
	alert(![]);//运算符“！”将返回值void强制转换为布尔值false.这个！并没有对void取反，而只是单单将void转换为布尔类型。
	alert(!![]);//将上面的false转为true
	alert(+!![]);//将上面的true转为数字1.

由上面的代码，我们得到了数字 0、1的表达方式。于是，我们又得到了所有整数。

"+[]",                                            //0
"+!![]",                                           //1
"!![]+!![]",                                       //2
"!![]+!![]+!![]",                                  //3
"!![]+!![]+!![]+!![]",                             //4
"!![]+!![]+!![]+!![]+!![]",                        //5
"!![]+!![]+!![]+!![]+!![]+!![]",                   //6
"!![]+!![]+!![]+!![]+!![]+!![]+!![]",              //7
"!![]+!![]+!![]+!![]+!![]+!![]+!![]+!![]",         //8
"!![]+!![]+!![]+!![]+!![]+!![]+!![]+!![]+!![]"     //9

它很酷，不是吗？   只有数字还不行，我们需要字符，字符串。那么数字如何变为字符串呢？这里就有点文章可做了，我一开始想到的是ascii码，但是如何将ascii码转换成字符呢？我们需要引入函数才行，但是能不能不引入新的函数？我们换一种思路来考虑这件事情：想办法生成一个数组，然后用数组中已有的字符直接指定下标显示。比如我们很容易就能产生的"true"、"false"。我们想要表示"a"的时候直接想办法输出一个"false"，然后制定下标为"1"（注意这里"f"的下标为"0",所以"a"就是"1"）不就可以了吗？

我们来证实一下：

alert((![])[+!![]])

  怎么样？看到了a吗？如果你回答：“看到了”，那么你肯定没有认真去动手做。这里输出的是“undefined”，这是为什么呢？因为![]表示的是false这个false是bool型的，当我们取一个bool型变量下标的时候javascript是不能允许的，所以这里给了一个undefined。那么我们如何想办法将bool型转为字符串呢？这里用到的是:"![]+[]"。

alert(typeof(![]+[]))

看到了吗？变成了string。这里就是说明了javascript在对bool类型和number类型做“+”运算的时候将其强制转换为了string类型。大家也可以自己动手用alert(typeof(xxx))试着判断一下之前提到的那些类型是否正确。

利用这个办法，我们就可以表示"a"、"e"、"f"、"l"、"r"、"s"、"t"、"u"。当然还有一个很容易得到的字符串——"undefined"，又可以丰富一下我们的字典。这样，还是有很多字符无法表示，下面我们就来讨论一种扩展，Object：

alert({});

在javascript中"{}"表示一个最简单的类，如果运行上面的代码，会显示"[object Object]"，同样这个object也是不能直接按数组下标获取元素的。聪明的小伙伴们，你们知道怎么才能拿到"[object Object]"的字符吗？就是它：

alert(typeof({}+[]));

alert(({}+[])[+[]]);

这样我们就得到了第一个字符“[”。做这个扩展其实主要是为了得到一个重要的字符"o"，因为我们后面要说的sort函数需要用到它。

首先我们来补充一个前置概念——javascript匿名函数的原生形式

[]['sort']['constructor']('函数体')();

这样的构造可以执行任意javascript代码。

利用jother编码可以在不用字母和数字的情况执行任意js代码，这个在XSS攻击中是十分有用的，唯一的不足就是编码太长了，如何缩短编码，其实还是有些办法的，而且结合真实的攻击环境中可能允许输入一些字符，我们就可以指替换部分代码。比如代码中对“alert”过滤，是否可以利用jother重新编码函数，用匿名函数调用“alert”，在调用“alert”的时候仅替换alert中的r，这样就形成了“ale”+xxx（jother）+“t”的形式。

下面就开始正式介绍如何利用jother编码调用匿名函数，在第一篇内容中我们已经拥有了一些字符串，这些字符串中的每个字符我们都可以利用数组下标定位的方式取到，我们来看一下这些字符都有什么：“true”、“false”、“undefined”、“[object Object]”（注意这里有个很有用的字符空格）。我们来对比一下[]['sort']['constructor']1;我们还缺少什么？其实已经什么都不缺了。下面我们来构造这样的一个形式，为了直观我直接给出构造的结果：

[][(![]+[])[!![]+!![]+!![]]+({}+[])[+!![]]+(!![]+[])[+!![]]+(!![]+[])[+[]]][({}+[])[!![]+!![]+!![]+!![]+!![]]+({}+[])[+!![]]+({}[[]]+[])[+!![]]+(![]+[])[!![]+!![]+!![]]+(!![]+[])[+[]]+(!![]+[])[+!![]]+({}[[]]+[])[+[]]+({}+[])[!![]+!![]+!![]+!![]+!![]]+(!![]+[])[+[]]+({}+[])[+!![]]+(!![]+[])[+!![]]]((!![]+[])[+!![]]+(!![]+[])[!![]+!![]+!![]]+(!![]+[])[+[]]+({}[[]]+[])[+[]]+(!![]+[])[+!![]]+({}[[]]+[])[+!![]]+({}+[])[!![]+!![]+!![]+!![]+!![]+!![]+!![]]+(![]+[])[!![]+!![]]+({}+[])[+!![]]+({}+[])[!![]+!![]+!![]+!![]+!![]]+(![]+[])[+!![]]+(!![]+[])[+[]]+({}[[]]+[])[!![]+!![]+!![]+!![]+!![]]+({}+[])[+!![]]+({}[[]]+[])[+!![]])()

这个例子实际上等价于：  

[]['sort']['constructor']('return location')()

注意这里是return后面的空格就是需要用前面我们提到的[object Object]来取到。

有了这个函数我们就可以获取很多有用的字符了，比如在线的话，就可以取到"http(s)://" 这样就有了新的字符“p”。

有了这个字符以后我们就可以利用escape和unescape函数组合出更多的字母以及特殊符合，例如利用escape(' ');得到“%20”，利用“%”和数字字母组合再unescape得到新的字符。

后面的事情就由你来自由发挥了。

当然构造一些字母的时候还有其他的技巧，比如构造出Infinity 其实是利用数字接近无穷大，原理就是想办法达到 e的100000次方，我们在这里就不一一列出了，具体的思路可以参照附件中的jother.js，这是jother发明者写的一段jother  encode的demo。

这里为了证明一开始提到的猜想我们给出一个不用任何字母和数字就能实现alert(1)的例子：

[][(![]+[])[!![]+!![]+!![]]+({}+[])[+!![]]+(!![]+[])[+!![]]+(!![]+[])[+[]]][({}+[])[!![]+!![]+!![]+!![]+!![]]+({}+[])[+!![]]+({}[[]]+[])[+!![]]+(![]+[])[!![]+!![]+!![]]+(!![]+[])[+[]]+(!![]+[])[+!![]]+({}[[]]+[])[+[]]+({}+[])[!![]+!![]+!![]+!![]+!![]]+(!![]+[])[+[]]+({}+[])[+!![]]+(!![]+[])[+!![]]]((![]+[])[+!![]]+(![]+[])[!![]+!![]]+(!![]+[])[!![]+!![]+!![]]+(!![]+[])[+!![]]+(!![]+[])[+[]]+[][(![]+[])[!![]+!![]+!![]]+({}+[])[+!![]]+(!![]+[])[+!![]]+(!![]+[])[+[]]][({}+[])[!![]+!![]+!![]+!![]+!![]]+({}+[])[+!![]]+({}[[]]+[])[+!![]]+(![]+[])[!![]+!![]+!![]]+(!![]+[])[+[]]+(!![]+[])[+!![]]+({}[[]]+[])[+[]]+({}+[])[!![]+!![]+!![]+!![]+!![]]+(!![]+[])[+[]]+({}+[])[+!![]]+(!![]+[])[+!![]]]((!![]+[])[+!![]]+(!![]+[])[!![]+!![]+!![]]+(!![]+[])[+[]]+({}[[]]+[])[+[]]+(!![]+[])[+!![]]+({}[[]]+[])[+!![]]+({}+[])[!![]+!![]+!![]+!![]+!![]+!![]+!![]]+({}[[]]+[])[+[]]+({}[[]]+[])[+!![]]+(!![]+[])[!![]+!![]+!![]]+(![]+[])[!![]+!![]+!![]]+({}+[])[!![]+!![]+!![]+!![]+!![]]+(![]+[])[+!![]]+([]+[][(![]+[])[!![]+!![]+!![]]+({}+[])[+!![]]+(!![]+[])[+!![]]+(!![]+[])[+[]]][({}+[])[!![]+!![]+!![]+!![]+!![]]+({}+[])[+!![]]+({}[[]]+[])[+!![]]+(![]+[])[!![]+!![]+!![]]+(!![]+[])[+[]]+(!![]+[])[+!![]]+({}[[]]+[])[+[]]+({}+[])[!![]+!![]+!![]+!![]+!![]]+(!![]+[])[+[]]+({}+[])[+!![]]+(!![]+[])[+!![]]]((!![]+[])[+!![]]+(!![]+[])[!![]+!![]+!![]]+(!![]+[])[+[]]+({}[[]]+[])[+[]]+(!![]+[])[+!![]]+({}[[]]+[])[+!![]]+({}+[])[!![]+!![]+!![]+!![]+!![]+!![]+!![]]+(![]+[])[!![]+!![]]+({}+[])[+!![]]+({}+[])[!![]+!![]+!![]+!![]+!![]]+(![]+[])[+!![]]+(!![]+[])[+[]]+({}[[]]+[])[!![]+!![]+!![]+!![]+!![]]+({}+[])[+!![]]+({}[[]]+[])[+!![]])())[!![]+!![]+!![]]+(!![]+[])[!![]+!![]+!![]])()([][(![]+[])[!![]+!![]+!![]]+({}+[])[+!![]]+(!![]+[])[+!![]]+(!![]+[])[+[]]][({}+[])[!![]+!![]+!![]+!![]+!![]]+({}+[])[+!![]]+({}[[]]+[])[+!![]]+(![]+[])[!![]+!![]+!![]]+(!![]+[])[+[]]+(!![]+[])[+!![]]+({}[[]]+[])[+[]]+({}+[])[!![]+!![]+!![]+!![]+!![]]+(!![]+[])[+[]]+({}+[])[+!![]]+(!![]+[])[+!![]]]((!![]+[])[+!![]]+(!![]+[])[!![]+!![]+!![]]+(!![]+[])[+[]]+({}[[]]+[])[+[]]+(!![]+[])[+!![]]+({}[[]]+[])[+!![]]+({}+[])[!![]+!![]+!![]+!![]+!![]+!![]+!![]]+(!![]+[])[!![]+!![]+!![]]+(![]+[])[!![]+!![]+!![]]+({}+[])[!![]+!![]+!![]+!![]+!![]]+(![]+[])[+!![]]+([]+[][(![]+[])[!![]+!![]+!![]]+({}+[])[+!![]]+(!![]+[])[+!![]]+(!![]+[])[+[]]][({}+[])[!![]+!![]+!![]+!![]+!![]]+({}+[])[+!![]]+({}[[]]+[])[+!![]]+(![]+[])[!![]+!![]+!![]]+(!![]+[])[+[]]+(!![]+[])[+!![]]+({}[[]]+[])[+[]]+({}+[])[!![]+!![]+!![]+!![]+!![]]+(!![]+[])[+[]]+({}+[])[+!![]]+(!![]+[])[+!![]]]((!![]+[])[+!![]]+(!![]+[])[!![]+!![]+!![]]+(!![]+[])[+[]]+({}[[]]+[])[+[]]+(!![]+[])[+!![]]+({}[[]]+[])[+!![]]+({}+[])[!![]+!![]+!![]+!![]+!![]+!![]+!![]]+(![]+[])[!![]+!![]]+({}+[])[+!![]]+({}+[])[!![]+!![]+!![]+!![]+!![]]+(![]+[])[+!![]]+(!![]+[])[+[]]+({}[[]]+[])[!![]+!![]+!![]+!![]+!![]]+({}+[])[+!![]]+({}[[]]+[])[+!![]])())[!![]+!![]+!![]]+(!![]+[])[!![]+!![]+!![]])()(({}+[])[+[]])[+[]]+(!![]+!![]+[])+(!![]+!![]+!![]+!![]+!![]+!![]+!![]+!![]+[]))+(+!![]+[])+[][(![]+[])[!![]+!![]+!![]]+({}+[])[+!![]]+(!![]+[])[+!![]]+(!![]+[])[+[]]][({}+[])[!![]+!![]+!![]+!![]+!![]]+({}+[])[+!![]]+({}[[]]+[])[+!![]]+(![]+[])[!![]+!![]+!![]]+(!![]+[])[+[]]+(!![]+[])[+!![]]+({}[[]]+[])[+[]]+({}+[])[!![]+!![]+!![]+!![]+!![]]+(!![]+[])[+[]]+({}+[])[+!![]]+(!![]+[])[+!![]]]((!![]+[])[+!![]]+(!![]+[])[!![]+!![]+!![]]+(!![]+[])[+[]]+({}[[]]+[])[+[]]+(!![]+[])[+!![]]+({}[[]]+[])[+!![]]+({}+[])[!![]+!![]+!![]+!![]+!![]+!![]+!![]]+({}[[]]+[])[+[]]+({}[[]]+[])[+!![]]+(!![]+[])[!![]+!![]+!![]]+(![]+[])[!![]+!![]+!![]]+({}+[])[!![]+!![]+!![]+!![]+!![]]+(![]+[])[+!![]]+([]+[][(![]+[])[!![]+!![]+!![]]+({}+[])[+!![]]+(!![]+[])[+!![]]+(!![]+[])[+[]]][({}+[])[!![]+!![]+!![]+!![]+!![]]+({}+[])[+!![]]+({}[[]]+[])[+!![]]+(![]+[])[!![]+!![]+!![]]+(!![]+[])[+[]]+(!![]+[])[+!![]]+({}[[]]+[])[+[]]+({}+[])[!![]+!![]+!![]+!![]+!![]]+(!![]+[])[+[]]+({}+[])[+!![]]+(!![]+[])[+!![]]]((!![]+[])[+!![]]+(!![]+[])[!![]+!![]+!![]]+(!![]+[])[+[]]+({}[[]]+[])[+[]]+(!![]+[])[+!![]]+({}[[]]+[])[+!![]]+({}+[])[!![]+!![]+!![]+!![]+!![]+!![]+!![]]+(![]+[])[!![]+!![]]+({}+[])[+!![]]+({}+[])[!![]+!![]+!![]+!![]+!![]]+(![]+[])[+!![]]+(!![]+[])[+[]]+({}[[]]+[])[!![]+!![]+!![]+!![]+!![]]+({}+[])[+!![]]+({}[[]]+[])[+!![]])())[!![]+!![]+!![]]+(!![]+[])[!![]+!![]+!![]])()([][(![]+[])[!![]+!![]+!![]]+({}+[])[+!![]]+(!![]+[])[+!![]]+(!![]+[])[+[]]][({}+[])[!![]+!![]+!![]+!![]+!![]]+({}+[])[+!![]]+({}[[]]+[])[+!![]]+(![]+[])[!![]+!![]+!![]]+(!![]+[])[+[]]+(!![]+[])[+!![]]+({}[[]]+[])[+[]]+({}+[])[!![]+!![]+!![]+!![]+!![]]+(!![]+[])[+[]]+({}+[])[+!![]]+(!![]+[])[+!![]]]((!![]+[])[+!![]]+(!![]+[])[!![]+!![]+!![]]+(!![]+[])[+[]]+({}[[]]+[])[+[]]+(!![]+[])[+!![]]+({}[[]]+[])[+!![]]+({}+[])[!![]+!![]+!![]+!![]+!![]+!![]+!![]]+(!![]+[])[!![]+!![]+!![]]+(![]+[])[!![]+!![]+!![]]+({}+[])[!![]+!![]+!![]+!![]+!![]]+(![]+[])[+!![]]+([]+[][(![]+[])[!![]+!![]+!![]]+({}+[])[+!![]]+(!![]+[])[+!![]]+(!![]+[])[+[]]][({}+[])[!![]+!![]+!![]+!![]+!![]]+({}+[])[+!![]]+({}[[]]+[])[+!![]]+(![]+[])[!![]+!![]+!![]]+(!![]+[])[+[]]+(!![]+[])[+!![]]+({}[[]]+[])[+[]]+({}+[])[!![]+!![]+!![]+!![]+!![]]+(!![]+[])[+[]]+({}+[])[+!![]]+(!![]+[])[+!![]]]((!![]+[])[+!![]]+(!![]+[])[!![]+!![]+!![]]+(!![]+[])[+[]]+({}[[]]+[])[+[]]+(!![]+[])[+!![]]+({}[[]]+[])[+!![]]+({}+[])[!![]+!![]+!![]+!![]+!![]+!![]+!![]]+(![]+[])[!![]+!![]]+({}+[])[+!![]]+({}+[])[!![]+!![]+!![]+!![]+!![]]+(![]+[])[+!![]]+(!![]+[])[+[]]+({}[[]]+[])[!![]+!![]+!![]+!![]+!![]]+({}+[])[+!![]]+({}[[]]+[])[+!![]])())[!![]+!![]+!![]]+(!![]+[])[!![]+!![]+!![]])()(({}+[])[+[]])[+[]]+(!![]+!![]+[])+(!![]+!![]+!![]+!![]+!![]+!![]+!![]+!![]+!![]+[])))()

注意这里我们由于用到了对'('、')'的编码，其实就要用到escape和unescape，所以要在http(s)://协议下面使用，如果是本地文件那么会取到"file://"导致无法正常执行。   最后给出jother编码和解码的方法：

编码：我想如果你仔细阅读了全文，这个问题对你来说应该很简单了。

解码：直接使用

alert(xxx)、console(xxx)、document.write(xxx)即可（xxx为编码内容）。