双写绕过的具体实现【小短篇】

已于 2023-04-29 15:26:30 修改
阅读量394 收藏 3
点赞数 1
分类专栏: 干货笔记 XSS 文章标签: 安全 xss web安全
于 2023-03-11 22:32:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ON_Zero/article/details/129469174
版权

双写绕过的具体实现【小短篇】

在一些注入操作中,我们常常需要使用双写来绕过关键字删除,那么,双写绕过具体是怎样实现的?我们如何根据自己的情况构造合适的双写语句?

一、使用环境

以XSSLABS的第七关为例,我们输入了"><a href=javascript:alert('123')>aaaaaaaa</a>//,然而服务器会将其中的hrefscript做以删除。
打入的payload:
在这里插入图片描述
被网页解释器读到的:
在这里插入图片描述
这样的情况下,我们就需要使用双写被删除的关键词来绕过服务器的防护。

双写:顾名思义,将同一个关键词写两次(实际上是使用一个关键词包裹同样的关键词),当服务器将最内层的关键词删去后,外层的关键词又可以组成原有关键词。
举例:服务器删除关键词admin,那么双写就是adadminmin或aadmindmin等,这样,当服务器使用字符对比语句检测到中间的关键词admin并删除后,外边的ad和min又可以组成新的“admin”。
在这里插入图片描述

二、构建步骤

这是一个常见的XSS语句,使用a标签中的href执行js操作,并将Href做了大小写变换:

"><a Href=javascript:alert('123')>aaaaaaaa</a>//

我们在这个语句的基础上构造双写操作。

1 查找删除字符,它们也是双写的对象

要使用双写绕过删除,我们需要知道服务器都删除了些什么,一般是删除了其中的关键字。
我们将上面的XSS语句打入注入点。

"><a Href=javascript:alert('123')>aaaaaaaa</a>//
//删除前
"><a =java:alert('123')>aaaaaaaa</a>//">
//删除后

对比我们原有语句可以看到,服务器删除了href和script两处,它们就是我们要进行双写的对象。

2 将字符串复制后放入原字符串中

我们直接把要双写的字符丢进注入点中,:
在这里插入图片描述
返回的值是空,说明被删除了。
在本文中,此注入点会直接将服务器删除后的payload返回输入框中,在现实中,我们可以右击查看源代码,或是针对特定网页寻找针对方法来查看服务器删除后的payload结果。
在这里插入图片描述我们复制一份字符,直接放入原字符其中。
在这里插入图片描述
返回值是一个完整的"href",说明我们的双写成功了。
在这里插入图片描述
同样地,将字符script也双写。
在这里插入图片描述
将双写后的字符放入payload。
构建结果:

"><a hrhrefef=javascscriptript:alert('123')>aaaaaaaa</a>//

在这里插入图片描述
成功绕过。
在这里插入图片描述
在这里插入图片描述

3 应对方法

服务器使用循环删除,多次删除就可以避免双写绕过。

Wuyong_12
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
28-2 文件上传漏洞 - 双写绕过
weixin_43263566的博客
03-19 255
在代码编写过程中,双写绕过原理指的是只对黑名单中的内容进行一次空替换。由于只进行一次替换,导致了双写绕过的情况。具体来说,这种绕过技术可以通过在文件名后面添加额外的字符来实现。例如,将黑名单中的后缀名替换为空,而实际上添加了额外的字符(比如"pph"),使得最终文件后缀名变为。这种方法利用了只替换一次的特性,在绕过黑名单检测的同时保留了原本的文件类型(如。正常的上传一个php文件看看。
iwebsec靶场 SQL注入漏洞通关笔记9- 双写关键字绕过
mooyuan的博客
11-29 1372
打开靶场第09关,http://192.168.71.151/sqli/09.php?id=1如下所示​SQL注入主要分析几个内容(1)闭合方式是什么?iwebsec的第9关关卡为数字型,无闭合(2)注入类别是什么?这部分是普通的数字型注入,使用union法即可注入成功(3)是否过滤了关键字?很明显通过源码,iwebsec的第09关卡过滤了不区分大小写select关键字。
文件上传--Upload-labs--Pass10--双写绕过
2302_79800344的博客
02-19 701
双写绕过str_ireplace()函数
【CTFHub】 文件上传 — 双写绕过
cx_sam的博客
08-06 2383
CTFHub WEB 文件上传
双写绕过 [极客大挑战 2019]BabySQL 1
m0_75178803的博客
11-14 473
这样我们就知道操作系统version_compile_os为Linux,数据库版本为10.3.18-MariaDB。这样我们就可以知道数据库用户名为root@localhost,数据库名为geek。尝试登录了一下用户名和密码,发现下面没有flag。而且根据报错内容显示是没有我们注入上去的or的。根据报错显示页面过滤了union和select。页面报错,根据报错显示页面过滤掉了or和by。接下来我们查询geek数据库下的表名信息。1' or '1'='1 页面报错。1 or '1'='1 页面报错。
小学生暑假短篇日记.doc
09-19
小学生暑假短篇日记.doc
第一章随便写的短篇精.docx
最新发布
04-21
第一章随便写的短篇精.docx
儿童励志的短篇小故事.pdf
10-14
儿童励志的短篇小故事.pdf
英语短篇幽默小故事.doc
09-20
英语短篇幽默小故事.doc
短篇感人小故事朗诵素材.doc
09-15
短篇感人小故事朗诵素材.doc
双写绕过的原理
m0_51504576的博客
04-18 1970
可以看到代码对key进行了过滤,那怎么办呢? 可以构造kekeyy,当key被过滤掉时,剩下的字符自动拼接在一起,就形成了key,所以说: 这样就可以拿下flag了
【文件上传绕过】十、利用后缀名双写绕过
ssrf
10-11 2480
文章目录一、实验环境二、源码三、双写后缀进行绕过 一、实验环境 服务端对敏感后缀名替换为空 本pass会从文件名中去除.php|.php5|.php4|.php3|.php2|php1|.html|.htm|.phtml|.pHp|.pHp5|.pHp4|.pHp3|.pHp2|pHp1|.Html|.Htm|.pHtml|.jsp|.jspa|.jspx|.jsw|.jsv|.jspf|.jtml|.jSp|.jSpx|.jSpa|.jSw|.jSv|.jSpf|.jHtml|.asp|.asp
php双写绕过,PHP preg_系列漏洞小结
weixin_42522575的博客
03-10 1827
最近看 P 神以前写的文章,其中在 3 个参数的回调函数中提到了 preg_replace /e 命令执行,对这块不是很熟悉的我特此写这篇文章总结学习一下。preg_matchint preg_match ( string $pattern , string $subject [, array &$matches [, int $flags = 0 [, int $offset = 0 ]...
文件上传漏洞练习 upload-labs(11~15)【双写绕过,get%00截断绕过,post 00截断绕过,图片马上传及绕过
bin789456的博客
08-24 901
写在前面 下面几道题目与php源码有关,如果你对php并不是很熟悉,或者看起来较为吃力,可以点击下方 源码分析链接 会有基础知识准备,同时在pass-03中有源码分析和对各个函数的讲解。 Pass-11 这里点开源码都不一样了,不再是之前的去点,转小写,去特殊字符等等函数。 来看看吧: $is_upload = false; $msg = null; if (isset($_POST['submit'])) { if (file_exists(UPLOAD_PATH)) { $den
buu web:[极客大挑战 2019]BabySQL(sql注入双写绕过
m0_55378150的博客
04-18 3026
打开靶场,熟悉的界面 依旧是先上万能密码 1' or 1=1# 1' or 1=1# 好家伙,直接就给你报错了,可以看到,or被它过滤掉了,所以我们尝试一下双写绕过 1' oorr 1=1# 1' oorr 1=1# 成功登录! 可以拿admin回去登录界面继续注入了,先爆字段 admin' oorrder by 2#(密码随便输) 提示在字段数附近有报错,猜测可能是by也被过滤了,依旧是双写绕过 admin' oorrder bbyy 2# 可以的,通过...
SQLMAP-Tamper之较为通用的双写绕过
蚁景网安学院
03-15 1378
21年省决赛的SQLITE注入就是用的双写绕过,当时是手搓代码打的,这几天想起来了,寻思着写个tamper试试。一开始以为很简单,后来才发现有很多要注意的点,折磨了挺久。
bugku学习之39.多次(检查过滤双写绕过过滤以及报错注入)
s11show_163的博客
03-04 695
考察: 过滤的判断length 异或符号的使用:id=1’ ^ (length(‘order’)!=0)%23 双写绕过关键词过滤:id=1’ oorrder by 3%23、 id=0’ uunionnion sselectelect 1,database()%23 无法双写绕过时的盲注报错注入:http://123.206.87.240:9004/Once_More.php?id=1' an...
sqlmap 双写关键字绕过 tamper
shadowwolf’s blog
08-30 2513
双写绕过的存在一般都是在某一些简单的waf中,将关键字select等只使用replace()函数置换为空,这时候可以使用双写关键字绕过 但是鉴于手注有些小麻烦,所以还是上sqlmap sqlmap中无双写注入的脚本,所以我编写了一个tamper,可以根据测出的被ban的关键词进行修改: #!/usr/bin/env python ''' sqlmap 双写绕过 by:shadowwolf ''' from lib.core.compat import xrange from lib.core.enums i
2-4 【实验】11-双写绕过+代码审计
山兔的博客
03-23 1387
今天我们讲的是pass-10,我们用到的思路和我们之前讲sql注入,用到的思路是一样的,我们回想一下之前我们用到的思路 过滤union select,后台做了个单词的替换,将我们的union替换为空,或者替换为其它的一些特殊的字符,这个时候,我们在后台语句的执行中,因为union置换为空,所以产生了语法错误 当时我们有个思路,我们在union中间在加个union uniunionon select 当我们中间这个union被过滤之后,变为空之后,我们这个union就会和前面三个字符,后面两个字符,合并,组
以末日为主题写一篇短篇小说
02-23
末日来临的时刻,人们感到无助而又无助。...他们知道,只有坚持不懈,才能实现自己的梦想。因此,在末日来临的时刻,他们仍然坚定地坚持着,相信着美好的未来。他们知道,只有勇敢地面对挑战,才能看到希望的曙光。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值