XSS中DOM型注入技巧

最新推荐文章于 2024-08-17 23:09:12 发布
最新推荐文章于 2024-08-17 23:09:12 发布
阅读量347 收藏 6
点赞数 23
分类专栏: 网络安全 渗透 文章标签: xss 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63692368/article/details/141280039
版权

XSS中DOM型注入技巧

练习

练习网站: https://xss.pwnfunction.com/

Ma Spaghet!

在这里插入图片描述
题目总体要求:它说要弹出1337,不能有用户的交互,其实就是不能让用户点击触发,比如a标签,让它自动触发

分析:有个url的类进行get的传参,有参数就接受,没参数就是 Somebody,再放到innerHTML里面,,这里问题就是传递的参数直接放到html标签里面去了,就跟反射型一样,对用户传递的参数没过滤好直接传进去了

看看innerHTML标签

官网地址: https://developer.mozilla.org/zh-CN/docs/Web/API/Element/innerHTML

script标签被禁用了,但是可以换其他的,比如img标签,前面是是一个不存在的图片路径,找不到1的图片路径,就触发onerror

 
?somebody=<img src=1 onerror="alert(1337)">

在这里插入图片描述

防御的话可以换成innerTEXT,它会自动把 < 进行实体编码,这样就不会进行标签开始状态,不会被转移,只当作文本

Jefff

在这里插入图片描述

setTimeout定时器,执行一次,还有个定时器setInto循环执行
这里innerText就不用看了,看看eval这里能执行不,先进行闭合",再执行1337再闭合"

  ?jeff=aaa";alert(1337);"

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

这样就是分别执行,会显示aaa

还有就是可以js中的特殊连接符-

?jeff=aaa"-alert(1337);"

在这里插入图片描述
在这里插入图片描述

但是这里是将所以的东西当成一个执行

Ugandan Knuckles

在这里插入图片描述

这里看到input想到单引号闭合实现onclick,但是这里是点击才行,那就是在input里跟用户不交互实现的,那就是onfocus,获取焦点,input本身就有焦点,但是触发的时候还是需要用户去点才能触发,那就还有个autofocus自动对焦
在这里插入图片描述
这就是焦点
在这里插入图片描述

在这里插入图片描述

?wey=aaa" onfocus=alert(1337) autofocus=";

在这里插入图片描述

Ricardo Milos

在这里插入图片描述
这里看到action,有个action的伪协议事件,而这里是两秒后自动提交
在这里插入图片描述
在这里插入图片描述

?ricardo=javascript:alert(1337)

在这里插入图片描述

Ah That’s Hawt

在这里插入图片描述
这里过滤了一下东西,这里还是用的innerHTML,但是这里过滤了括号,那函数触发不了了

在这里插入图片描述

在这里插入图片描述
那加上%28 %29呢
在这里插入图片描述

这里用%28 %29也被编码了,括号没有了,那加上25呢
在这里插入图片描述
还是没有解析,这里是onerro是在js的语法里面,解析不了urlcode,之前那个是因为在img标签里面,那我们这里加locatiion试试

?markassbrownlee=<img src=1 onerror=location="javascript:alert%25281337%2529">

在这里插入图片描述

Ligma

在这里插入图片描述
这里字母数字没有了,那就考虑用编码的方式绕过

编码网站: https://jsfuck.com/
在这里插入图片描述
比如这里编码之后还是需要进行urlcode编码,因为有符号,再用burpsuit或者其他的软件urlencode就行了
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

Mafia

在这里插入图片描述
这里还限制了长度,alert函数,那可以换换其他的,比如confirm
在这里插入图片描述
那现在换换其他的,可以试试构造函数也就是匿名函数也就是Function,而function是普通函数
在这里插入图片描述

那就定义一个函数,在例子中是赋了一个变量,也可以不赋,直接执行就行Function()(),执行前面的()

?mafia=Function(/ALERT(1337)/.source.toLowerCase())()

在这里插入图片描述

还有就是parseInt方法,利用进制数返回,进制数是2-36,也就是0-9 + 26个英文字母 =36

parseInt方法: https://developer.mozilla.org/zh-CN/docs/Web/JavaScript/Reference/Global_Objects/parseInt

还有个跟parseInt相反的方法,将进制转成字符串
toString方法: https://developer.mozilla.org/zh-CN/docs/Web/JavaScript/Reference/Global_Objects/Object/toString

那将alert进行parseInt的转换
在这里插入图片描述
t是最大的在20
30进制? 0-9 + 20 = 30

?mafia=eval(8680439..toString(30))(1377)

在这里插入图片描述

location.hash方法

eval(location.hash.slice())

location.hash将#后面的值取出来,再用slice截取函数截取后面#的内容

在这里插入图片描述

?mafia=eval(location.hash.slice(1))#alert(1337)

在这里插入图片描述

Ok, Boomer

在这里插入图片描述
这里用了DOMPurify框架,那就往下setTimeout()方法试试
setTimeout方法: https://developer.mozilla.org/zh-CN/docs/Web/API/setTimeout

在这里插入图片描述

在这里插入图片描述

eval() 函数会将传入的字符串当做 JavaScript 代码进行执行

在这里插入图片描述
将想要的操作放在字符串里
但是要看看框架的东西
DOMPurify框架白名单: https://github.com/cure53/DOMPurify/blob/main/src/regexp.js

在这里插入图片描述

javascript在框架里面,试试白名单里面的

?boomer=<a id=ok href="cid:alert(1337)">
ok是为了走进函数里面

在这里插入图片描述

池布旁
关注
  • 23
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ctf xss注入.pdf
02-11
为了实现这一目标,我们需要利用XSS注入技巧来插入一段JavaScript代码,使其能够在用户访问网页时执行。 - **步骤1:** 在开发者工具打开控制台,观察页面加载过程的请求和响应。 - **步骤2:** 分析页面结构,...
Catfish(鲶鱼) Blog V1.3.15存储 xss1
08-03
根据脚本执行的位置不同,XSS可以分为三种类:反射XSS、存储XSS以及DOMXSS。本次讨论的是存储XSS,这类XSS的特点是恶意脚本被持久化地保存在服务器上,通过正常的网页请求即可触发。 ##### 2. 漏洞分析 ...
渗透测试基础-DOMXSS原理及实操
weixin_45488495的博客
04-19 4214
渗透测试基础-DOMXSS原理及实操DOM是什么,DOMXSS又是什么DomXSS靶场演练漏洞总结 只为对所学知识做一个简单的梳理,如果有表达存在问题的地方,麻烦帮忙指认出来。我们一起为了遇见更好的自己而努力????! DOM是什么,DOMXSS又是什么 Dom是一个与平台,编程语言无关的【端口】,它允许程序或者脚本动态的访问和更新文档的内容,结果和样式,处理后的结果能够成为显示的一部分,不依赖于提交数据到服务器端,从而客户端获得Dom的数据在本地执行,如果Dom的数据没有经过严格的确定,就会产
DOM XSS链污染漏洞挖掘
Ba1_Ma0的博客
04-16 773
DOM XSS链污染漏洞挖掘
XSS注入原理以及一些绕过姿势
热门推荐
qq_37019068的博客
10-09 1万+
介绍 XSS——跨站脚本攻击。通过这个攻击手段,攻击者可以将恶意的 JavaScript 代码插入存在 XSS 漏洞的 Web 页面,当用户浏览带有恶意代码的页面时,这些恶意代码会被触发,从而达到攻击的目的。可以说,XSS 是针对用户层面的攻击。 XSS的分类 通常,我们吧XSS分为三个类,即 存储,反射DOM。不同的类原理各有差异,而且注入的点也不同。 存储 存储XSS,最大的特点是可持久化,因为在过滤条件差的情况下,存储XSS的恶意代码会直接被保存在服务器端的数据库。而这个恶意
DOMXSS详讲
weixin_59047731的博客
11-21 2077
在网站页面有许多元素,当页面到达浏览器时,浏览器会为页面创建一个项级的Document object文档对象,接着生成各个子文档对象,每个页面元素对应一个文档对象,每个文档对象包含属性、方法和事件。也就是说,客户端的脚本程序可以通过DOM动态修改页面内容,从客户端获取DOM的数据并在本地执行。由于DOM是在客户端修改节点的,所以基于DOMXSS漏洞不需要与服务器端交互,它只发生在客户端处理数据的阶段。除了富文本的输出之外,在变量输出到HTML页面时,可以使用编码或者转义的方式来防御XSS攻击。
XSS.rar_XSS
09-22
存储XSS发生在服务器端,攻击者将恶意脚本提交到服务器,并存储在数据库或其他持久化存储。当其他用户访问包含这些恶意脚本的页面时,脚本会在他们的浏览器执行。这种类XSS更具危险性,因为它可以影响...
xss-lab全通关教程
05-07
反射XSS是通过诱使用户点击含有恶意代码的链接来触发,而存储XSS则是在网站的数据库注入代码,当其他用户查看时触发。DOMXSS则与前两者不同,它不涉及服务器,而是利用了JavaScript对DOM(Document Object ...
XSS盲打与cookie劫持
m0_74249600的博客
08-14 850
本文紧接上篇文章讲述了XSS盲打、cookie劫持以及靶场实践,请关注持续更新(本文部分内容来自课件,如有版权问题请与我联系)
XSSDOM破坏
m0_67441173的博客
08-17 524
@keyframes x{}
XSS-过滤特殊符号的正则绕过
最新发布
2301_78549931的博客
08-17 490
结果为数字8680439也就是说我们利用parseInt函数将关键字变为一串数字,但数字肯定无法运行,我们还需要再变回去,要将一个数字转换为特定的。
反射XSS的几种payload
m0_70638961的博客
08-17 326
符合web的解码顺序,所以可以被执行。和数据只能有文本,不会有HTML解码和URL解码操作和里会有HTML解码操作,但不会有子元素其他元素数据(如div)和元素属性数据(如href)会有HTML解码操作部分属性(如href)会有URL解码操作,但URL的协议需为ASCIIJavaScript会对字符串和标识符Unicode解码根据浏览器的自动解码,反向构造 XSS Payload 即可。
xss.pwnfunction-Easy
banliyaoguai的博客
08-17 404
然后要获取prototype携带的toString方法,且不能是Object.prototype下的字符串方法,因为后者返回的是一个元素,我们需要的是可控的字符串。然后你是用上面的两个属性弹窗一个属性就会以字符串的形式展示href里面的值,如果你用的是从object继承来的toString,就会返回一个对象,例子如下。我们看到innerHTML可以想到使用img标签,然后看到过滤了括号我们可以尝试使用location,然后使用%25编码%绕过()它匹配字符串 "ALERT(1337)"。
XSS跨站脚本攻击
m0_71864767的博客
08-16 795
\u0031\u0032在解码的时候会被解码为字符串`12`,注意是字符串,不是数字,文字显然是需要引号的,JS执行失败。#script属于原始文本元素只可以容纳文本,于是直接由JS处理,JS可以解析Unicode的编码。#script属于原始文本元素只可以容纳文本,于是直接由JS处理,JS可以解析Unicode的编码。#script属于原始文本元素只可以容纳文本,于是直接由JS处理,JS也认不出来,执行失败。#是RCDATA元素,可以容纳文本和字符引用,不能容纳其他元素。
XSS DOM漏洞复现 与DOM 破坏
iteuko的博客
08-17 286
此关过滤了字母数字,所以只能用编码去解决,去JSFUCK上面把alert(1337)编码,然后再编码成url编码格式 放入即可。第二种parseint 解析一个字符串并返回指定基数的十进制整数,radic是2-36之间的整数,表示被解析字符串的基数。指针的原理,删完一个,指针会后移动,所以删除1,3,5的位置 ,2,4位置保留,那么把payload写到2,4,位置即可。CSS动画,下面的el删除的是后面的input的内容,已经通过它们占了。获取到ok,会自动用tostring方法,获取href属性。
XSS项目实战
qq_68389880的博客
08-17 292
innerText函数会将'<','>'进行实体编码转义;ok传入了,但是后面的函数值被删掉了,这是因为javascript对于DOMPurify框架来说是黑名单,我们需要找到这个框架对应的白名单;过滤了'(' ')' '`' '\';过滤了alert函数,可以选择切换为confirm函数,但是意义不大;这道题过滤了'<''>';①弹出'1337';①弹出'1337';①弹出'1337';①弹出'1337';①弹出'1337';①弹出'1337';①弹出'1337';①弹出'1337';
XSS---DOM破坏靶场复现
qq_64395221的博客
08-17 448
但是没有任何反应,通过F12查看,发现img标签里面只有“src=1”,onerror=”alert(1)”被丢弃了,原因是存在DOMPurify.sanitize过滤框架,并且该框架绕过几率几乎很小。这是因为它的属性移除是在同一个数组上操作的,假如这个数组里有a、b、c三个 属性,当将a删除后,指针会往下走一步,但是由于第一位的a被删除,那么b会往上移一位,所以b不会被删除。将data插到div里, 获取div里面的子函数,拿到标签里面的所有属性,然后将属性进行移除。然而,嵌套结构,内层的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值