portswigger的Exploiting DOM clobbering to enable XSS

于 2024-08-18 00:51:15 发布
阅读量836 收藏 8
点赞数 30
文章标签: xss DOM型xss 渗透 安全 绕过
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/banliyaoguai/article/details/141288321
版权

目录

尝试一下看看可不可以XSS

DOM破坏

查看源码确定DOM破坏漏洞点以及代码分析

首先查看/resources/labheader/js/labHeader.js,没有什么作用

然后domPurify这东西是一个过滤框架也没啥子用

看/resources/js/loadCommentsWithDomClobbering.js尝试分析代码(对于代码的分析在注释中)

技巧

payload构造

尝试一下看看可不可以XSS

首先进入一个评论区进行评论,然后尝试xss

HTML is allowd这里是用textarea标签提交,这没有办法插入

然后再下面尝试xss,无法成功

然后查看源码发现都被过滤了

DOM破坏

查看源码确定DOM破坏漏洞点以及代码分析

DOM破坏肯定是要看js的我们打开源码查看一下,发现了如下图的代码

首先查看/resources/labheader/js/labHeader.js,没有什么作用

completedListeners = [];

(function () {
    let labHeaderWebSocket = undefined;
    function openWebSocket() {
        return new Promise(res => {
            if (labHeaderWebSocket) {
                res(labHeaderWebSocket);
                return;
            }

            let newWebSocket = new WebSocket(location.origin.replace("http", "ws") + "/academyLabHeader");

            newWebSocket.onopen = function (evt) {
                res(newWebSocket);
            };

            newWebSocket.onmessage = function (evt) {
                const labSolved = document.getElementById('notification-labsolved');
                const keepAliveMsg = evt.data === 'PONG';
                if (labSolved || keepAliveMsg) {
                    return;
                }
                document.getElementById("academyLabHeader").innerHTML = evt.data;
                animateLabHeader();

                for (const listener of completedListeners) {
                    listener();
                }
            };

            setInterval(() => {
                newWebSocket.send("PING");
            }, 5000)
        });
    }

    labHeaderWebSocket = openWebSocket();
})();

function animateLabHeader() {
    setTimeout(function() {
        const labSolved = document.getElementById('notification-labsolved');
        if (labSolved)
        {
            let cl = labSolved.classList;
            cl.remove('notification-labsolved-hidden');
            cl.add('notification-labsolved');
        }

    }, 500);
}

然后domPurify这东西是一个过滤框架也没啥子用

看/resources/js/loadCommentsWithDomClobbering.js尝试分析代码(对于代码的分析在注释中)

function loadComments(postCommentPath) {
    let xhr = new XMLHttpRequest();
    xhr.onreadystatechange = function() {
        if (this.readyState == 4 && this.status == 200) {
            let comments = JSON.parse(this.responseText);
            displayComments(comments);
        }
    };
    xhr.open("GET", postCommentPath + window.location.search);
    xhr.send();

// 创建一个新的 XMLHttpRequest 对象 xhr。
// 设置 onreadystatechange 事件处理函数,检查请求的状态(readyState 为 4 表示请求完成,status 为 200 表示请求成功)
//在请求完成后,将解析后的评论数据传递给 displayComments 函数
// 使用 GET 方法发起请求,URL 由 postCommentPath 和当前页面的查询参数组成(window.location.search)
    

    function escapeHTML(data) {
        return data.replace(/[<>'"]/g, function(c){
            return '&#' + c.charCodeAt(0) + ';';
        })
    }
//对输入内容进行实体编码,让其无法进入标签开始状态
    function displayComments(comments) {
        let userComments = document.getElementById("user-comments");
//获取id,用于显示评论
        for (let i = 0; i < comments.length; ++i)
        {
            comment = comments[i];
            let commentSection = document.createElement("section");
            commentSection.setAttribute("class", "comment");

            let firstPElement = document.createElement("p");
//遍历 comments 数组中的每个评论对象。
// 为每个评论创建一个新的 <section> 元素,并设置其 class 属性为 "comment"。
// 创建一个新的 <p> 元素,用于显示评论的作者、日期和头像。


            let defaultAvatar = window.defaultAvatar || {avatar: '/resources/images/avatarDefault.svg'}
            let avatarImgHTML = '<img class="avatar" src="' + (comment.avatar ? escapeHTML(comment.avatar) : defaultAvatar.avatar) + '">';

            let divImgContainer = document.createElement("div");
            divImgContainer.innerHTML = avatarImgHTML
// 使用 defaultAvatar 对象提供一个默认头像(如果 window.defaultAvatar 不存在,则使用默认路径)
//     创建一个包含头像 <img> 标签的 HTML 字符串,并设置头像的 src 属性,如果 comment.avatar存在,它会将 comment.avatar 经过 escapeHTML 函数处理后作为头像URL。如果 comment.avatar 不存在,则使用 defaultAvatar.avatar 作为默认头像URL
//     将头像的 HTML 插入到一个新的 <div> 元素中

            if (comment.author) {
                if (comment.website) {
                    let websiteElement = document.createElement("a");
                    websiteElement.setAttribute("id", "author");
                    websiteElement.setAttribute("href", comment.website);
                    firstPElement.appendChild(websiteElement)
                }

                let newInnerHtml = firstPElement.innerHTML + DOMPurify.sanitize(comment.author)
                firstPElement.innerHTML = newInnerHtml
            }

            if (comment.date) {
                let dateObj = new Date(comment.date)
                let month = '' + (dateObj.getMonth() + 1);
                let day = '' + dateObj.getDate();
                let year = dateObj.getFullYear();

                if (month.length < 2)
                    month = '0' + month;
                if (day.length < 2)
                    day = '0' + day;

                dateStr = [day, month, year].join('-');

                let newInnerHtml = firstPElement.innerHTML + " | " + dateStr
                firstPElement.innerHTML = newInnerHtml
            }

            firstPElement.appendChild(divImgContainer);

            commentSection.appendChild(firstPElement);

            if (comment.body) {
                let commentBodyPElement = document.createElement("p");
                commentBodyPElement.innerHTML = DOMPurify.sanitize(comment.body);

                commentSection.appendChild(commentBodyPElement);
            }
            commentSection.appendChild(document.createElement("p"));

            userComments.appendChild(commentSection);

//如果评论对象中有 body,则创建一个新的 <p> 元素来显示评论内容,并使用 DOMPurify.sanitize 进行清理。
//将清理后的评论内容 <p> 元素添加到评论部分。
//还会在每个评论后添加一个空的 <p> 元素(可能是为了间距)。
//最后,将创建的评论部分添加到 userComments 元素中。
        }
    }
};

然后我们的注入点在这里,这里非常可疑

我们开始是没有头像的所以我们开始会走到window.defaultAvatar上,所以只要我们想办法构造一个 defaultAvatar.avatar就可以进行XSS了

技巧

然后我们借助一个js特性,看下面两张图id相同时不同的值的取法

然后如果是a标签的话获取属性后会将a标签的href的值进行一个toString方法传进去

具体看下面最后一道题目的解

xss.pwnfunction-Easy-CSDN博客

payload构造

首先闭合下面双引号

所以下面构造的时候1后面要加双引号但是加双引号的时候会出现问题,无法闭合,我们尝试是用HTML实体编码

<a id=defaultAvatar><a id=defaultAvatar name="avatar" href="1&quot; onerror=alert(1)//">

尝试XSS,这里还是不行,"还是会被编码

然后是用一个小技巧,是用一个不存在的伪协议,然后这个伪协议不存在,后面&quot就不会被编码

<a id=defaultAvatar><a id=defaultAvatar name=avatar href="AS:&quot; onerror=alert(1)//">

再从新输入一次评论

板栗妖怪
关注
  • 30
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
portswigger证书
11-19
portswigger证书,der格式、pem格式,转化好的,直接可以用哦! Android设备抓包必备哦!
Testing for reflected XSS using Burp Repeater.pdf
07-06
首先,访问一个可能存在反射XSS漏洞的实验网站,如`https://portswigger.net/web-security/cross-site-scripting/reflected/lab-html-context-nothing-encoded`。通过在搜索栏输入任意字符串(通常称为“金丝雀”...
buby:PortSwigger Burp Suite 的 BurpExtender 接口的 JRuby 实现
06-08
说明: Buby 是 JRuby 与 PortSwigger 流行的商业 Web 安全测试工具 Burp Suite 的混搭。 Burp 由使用 BurpExtender API 的 Java 扩展或使用新的嵌入式 JRuby 支持的 JRuby BurpExtender 实现驱动并绑定到 JRuby。 ...
Python-一个基于burp的反射xss检测插件
08-12
Burp Suite是一款强大的网络安全套件,由PortSwigger公司开发,主要用于Web应用的安全测试。它包括许多模块,如拦截代理、扫描器、断点调试等,是渗透测试人员的常用工具。反射跨站脚本(Reflected XSS)是Web应用...
burpsuitezhengshu
02-04
burpsuite safty credenticate service,...................................................................................................
XSS Game前八关
m0_63050933的博客
08-16 417
分享一个XSS游戏的链接。
XSS盲打与cookie劫持
m0_74249600的博客
08-14 835
本文紧接上篇文章讲述了XSS盲打、cookie劫持以及靶场实践,请关注持续更新(本文部分内容来自课件,如有版权问题请与我联系)
XSS- DOMclobbering与svg深度利用
2301_78549931的博客
08-15 671
DOM clobbering主要是用来进行DOMXSS攻击,其可以篡改JS函数原本的属性恶意插入一些XSS代码到页面的JS中去,它的特征就是利用了元素配置id或name属性后可以使用包括document、window、自己名称的形式进行访问(假如我们写了一个a标签,给他了一个id和name,那么我们就可以通过id或name来拿到这个a标签)。其可以对document的属性进行恶意的替换。
网络安全实训第一天(dami靶场搭建,XSS、CSRF、模板、任意文件删除添加、框架、密码爆破漏洞)
Wrop的博客
08-14 337
介绍了部分漏洞的利用方法和环境搭建
XSS小游戏(题目+解析)DOM破坏!!!
最新发布
Nirvana92的博客
08-16 740
我将题目要求进行翻译: 题目的主要要求就是:弹出一个(1337)的弹窗 开始解题: Let’s Go! 首先,传个参数看看 发现参数直接显示在了 < h2 > 标签里面了,肯定是有问题的。 回看一下代码: 用的是innerHTML,这个就是解题的关键,它里面有一个威胁标签,官方将其禁用了,就是 < script > 但是也只是禁用了这一个标签,所以换一个就行了用 < img > 试试:成功! 绕过代码: 二、Jefff 看代码知道: 这个值赋值给了ma,然后在1秒的睡眠后,在页面输出 那么就正常的
XSS跨站脚本攻击
m0_71864767的博客
08-16 778
\u0031\u0032在解码的时候会被解码为字符串`12`,注意是字符串,不是数字,文字显然是需要引号的,JS执行失败。#script属于原始文本元素只可以容纳文本,于是直接由JS处理,JS可以解析Unicode的编码。#script属于原始文本元素只可以容纳文本,于是直接由JS处理,JS可以解析Unicode的编码。#script属于原始文本元素只可以容纳文本,于是直接由JS处理,JS也认不出来,执行失败。#是RCDATA元素,可以容纳文本和字符引用,不能容纳其他元素。
XSS反射性
m0_67441173的博客
08-16 421
script>是原始文本元素,可以容纳文本,所以它把里面内容当成一个文本没有进行实体解码,但是JS有不认识这个&符合,所以执行不了。没有用编码符合他把12重新解码后,JS认为他是一个字符串,但是有没有' '单引号共和" "双引号的包裹,JS就认为是语法错误。3.,URL 编码 ":" 就是%3a。先是实体编码解码,再是urlcode解码,最后是unicode解码成alert(15),所以他可以执行成功。
Animetronic - hackmyvm
tanbinn的博客
08-12 482
hackmyvm的Animetronic靶场
GPS叉车安全管理系统,远程监控管理车辆,保障叉车资产安全
jiuxindianzi的博客
08-16 339
九盾叉车监管系统利用GPS技术实现叉车全面监管,含IC卡指纹认证、无线实时测速、安全带报警器及小程序后台管理,提升安全性、效率及管理水平,降低运营成本。
H5直播行业的安全挑战:为何害怕黑客攻击?
@云安全小杜
08-13 441
随着移动互联网的快速发展,H5直播因其便捷性和互动性成为众多平台的选择。然而,这种开放性和交互性也带来了安全风险,使得H5直播行业成为了黑客攻击的目标之一。本文将探讨H5直播面临的常见威胁,并提供一些基本的防御措施。
企业如何组建安全稳定的跨国通信网络
TIANGEKUAJING的博客
08-13 259
当企业在海外设有分公司时,如何建立一个安全且稳定的跨国通信网络是一个关键问题。为了确保跨国通信的安全和稳定性,可以考虑以下几种方案。
如何选择较为安全的第三方依赖版本?
极客星云-CSDN博客
08-16 59
本篇博文分享如何选择较为安全的第三方依赖版本的方法。
Scout Suite:开源云安全审计工具
网络研究观
08-12 349
Scout Suite 是一个开源、多云安全审计工具,旨在评估云环境的安全态势。
安全自动化和编排:如何使用自动化工具和编排技术来提高安全操作效率。(第二篇)
艰难的活着
08-13 996
深入理解Kubernetes环境中的安全自动化与编排(第二篇)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值