XSS---DOM破坏靶场复现

已于 2024-08-17 19:47:54 修改
阅读量448 收藏 16
点赞数 23
文章标签: java 前端 渗透测试 javascript
于 2024-08-17 19:45:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_64395221/article/details/141284445
版权

目录

一、OK,Boomer

一、网址:

 二、源码分析:

三、 解决思路:

1.页面中的元素可以通过id和name直接取出来

2.覆盖

3.覆盖方法

四、ToString

五、setTimeout函数

六、使用框架白名单 

七、成功绕过 

​编辑 二、案例分析

  一、源码分析:​编辑

二、属性未全部移除

三、原因

四、成功绕过

 五、修复

六、解决方法:

一、OK,Boomer

一、网址:

XSS Game - Learning XSS Made Simple! | Created by PwnFunction

 二、源码分析:

<!-- Challenge -->
<h2 id="boomer">Ok, Boomer.</h2>
<script>
    boomer.innerHTML = DOMPurify.sanitize(new URL(location).searchParams.get('boomer') || "Ok, Boomer")
    setTimeout(ok, 2000)
</script>

 通过源码分析,用户可控参数为boomer,那我们首先试着在该参数上使用img标签

?boomer=<img%20src=1%20οnerrοr="alert(1)">

 但是没有任何反应,通过F12查看,发现img标签里面只有“src=1”,οnerrοr=”alert(1)”被丢弃了,原因是存在DOMPurify.sanitize过滤框架,并且该框架绕过几率几乎很小。

setTimeout(ok, 2000)---定时器,正常情况下 2秒后执行一个ok,但在这里执行不了,没有这个ok,执行了一个完全不存在的。

三、 解决思路:

1.页面中的元素可以通过id和name直接取出来

 Document.cookie

<img name=”cookie”>

本来是想通过Document.cookie取出cookie,但是却取出来了一个标签

说明:页面中的元素可以通过id和name直接取出来

2.覆盖

  1. 首先使用Document.cookie取出cookie,但这里没有cookie所以没取到。
  2. 创建div元素,并在div元素中写入<img name=cookie>
  3. 将div元素插入到body中去
  4. 重新获取cookie,发现取出的是img标签

可以看到Document.cookie已经被我们用img标签覆盖了

3.覆盖方法

 实际上Document.body取到的是<img id=”appendChild”>,说明我们通过多层覆盖掉了Document.body.appendChild方法。

 既然我们可以通过这种⽅式去创建或者覆盖 document 或者 window 对象的某些值,但是看起来我们 举的例⼦只是利⽤标签创建或者覆盖最终得到的也是标签,是⼀个HTMLElment 对象。

但是对于⼤多数情况来说,我们可能更需要将其转换为⼀个可控的字符串类型,以便我们进⾏操作。 

四、ToString

所以我们可以通过以下代码来进⾏fuzz 得到可以通过toString ⽅法将其转换成字符串类型的标签:

Object.getOwnPropertyNames(window) // 拿到window下面所有属性名称

.filter(p => p.match(/Element$/)) //过滤,只要后缀为Element的

.map(p => window[p]) //取值,map一个一个的取

.filter(p => p && p.prototype && p.prototype.toString

 !== Object.prototype.toString)//必须具有自身prototype属性,并且自身具有tostring方法,并且不是继承object的

我们可以得到两种标签对象:HTMLAreaElement (<area>) & HTMLAnchorElement (<a>),这两个 标签对象我们都可以利⽤href 属性来进⾏字符串转换

五、setTimeout函数

 

可以吧函数当字符串放进去,那么就可以用a标签来解决

?Boomer=<a id=ok href=”javascript:alert(1)”>

 

六、使用框架白名单 

但是同样没有任何反应,原因是还是没有绕过这个框架,javascript对于这个框架是一个黑名单,所以使用框架里面的白名单即可。 

七、成功绕过 

 二、案例分析

  一、源码分析:

将data插到div里, 获取div里面的子函数,拿到标签里面的所有属性,然后将属性进行移除。

二、属性未全部移除

但是并没有将所有属性移除,为什么会出现这种情况

三、原因

这是因为它的属性移除是在同一个数组上操作的,假如这个数组里有a、b、c三个 属性,当将a删除后,指针会往下走一步,但是由于第一位的a被删除,那么b会往上移一位,所以b不会被删除。

四、成功绕过

那么想绕过这个过滤就很简单了,将paylod写在第二位或者第四位上就能成功绕过。

 五、修复

 现在上面的做法就不能实现了。

六、解决方法:

1.dom破坏

2.在删除之前就执行

<svg><svg οnlοad=alert(1)>

在删除之前就执行 

 SVG标签能成功的原因:

1.嵌套的 SVG 标签:虽然代码试图删除所有元素的属性,但 SVG 标签的嵌套特性让它有机会绕过。举个例子,<svg><svg onload=alert(1)>,在解析时,第一个 <svg> 会被当作一个普通的 SVG 元素,而内层的 <svg onload=alert(1)> 也会被当作一个有效的 SVG 元素。外层的 SVG 即使属性被移除,但内层的 SVG 仍然存在,并且 onload 属性会触发。

2.过滤方法的局限性:代码通过遍历所有元素并删除其属性来达到过滤目的,但对于某些元素的嵌套结构,它无法完全处理。例如,即使外层的 SVG 标签属性被删除,内部的 SVG 标签仍然能够被解析并执行。

3.解析顺序问题:浏览器在解析 HTML 时,会先生成 DOM 树,然后再应用 JavaScript 来操作 DOM。即使 JavaScript 在之后移除了属性,浏览器在初次解析时已经触发了嵌套的 SVG 标签的 onload 事件。

单一的 <svg> 标签因为缺少执行代码的属性而不会触发 XSS。然而,嵌套结构中,内层的 <svg> 标签仍可能包含恶意代码或事件处理程序,并绕过简单的属性移除过滤逻辑。

拾荒的狸猫
关注
  • 23
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
xss-labs-master.rar
05-09
"xss-labs-master.rar" 提供了一个针对XSS漏洞的专项练习平台,旨在帮助初学者及安全爱好者提升对XSS攻击的理解和防御能力。这个靶机资源共分为二十个关卡,由浅入深,逐步引导用户掌握XSS攻防的核心技巧。 一、XSS...
xss-labs-master源码
07-06
"xss-labs-master"是一个专门设计的靶场,包含了20个级别的XSS练习,旨在帮助学习者深入理解和掌握XSS攻击的原理、类型以及防御策略。通过逐步解决这些精心设计的挑战,我们可以逐步提升对XSS攻击的理解,并提升安全...
XSS-复现dom破坏案例和靶场
最新发布
山月不问人间事
08-18 426
首先是传给wey一个值,然后赋值给变量let wey,然后这里过滤了<>尖括号,最后将我们的变量wey内容传给Uganda,显示在输入框中,Uganda也带一个inner HTML的属性,所以我们不能使用script标签,那就看看其他的思路;可以看到括号丢失 ,因为url在传参时,会将我们的特殊符号进行解码,但我们传递的是html的实体编码,所以问题出现在了这里,那么我们再将实体编码再进行次url编码。所以我们这里只能换一种思路,他不能加标签,那我们看能不能直接闭合ma,之后执行我们的代码。
Pikachu靶场DOMXSS以及DOMXSS-X
witwitwiter的博客
04-17 3520
Pikachu靶场DOMXSS以及DOMXSS-X 实验环境以及工具 Firefox浏览器、Burp Suite、Pikachu靶场 实验原理 要改变页面的某个东西,JavaScript就需要获得对HTML文档中所有元素进行访问的入口。这个入口,连同对HTML元素进行添加、移动、改变或移除的方法和属性,都是通过文档对象模型来获得的(DOM )。所以,你可以把DOM理解为一个一个访问HTML的标准编程接口。 跨站脚本漏洞测试流程 1.在目标站点上找到输入点,比如查询接口,留言板等; 2.输入一组“特殊字
xss-labs靶场复现流程
weixin_62956463的博客
07-13 1838
XSS,全称跨站脚本攻击(Cross-Site Scripting),是一种常见的网络攻击方式。它允许攻击者将恶意脚本注入到其他用户浏览和使用的正常网页中。这些恶意脚本可以在用户的浏览器上运行,窃取用户的会话信息(如登录凭证)、破坏网页内容、劫持用户会话等。存储型XSS(Persistent XSS):恶意脚本被永久存储在目标服务器上,如数据库、消息论坛、访客留言板等。当浏览器访问这些存储了恶意脚本的资源时,恶意脚本将随资源一同被加载。反射型XSS(Reflected XSS
[ pikachu ] 靶场通关之 XSS (五) --- DOMxss-s
qq_51577576的博客
01-15 527
???? 博主介绍 ????‍???? 博主介绍:大家好,我是_PowerShell,很高兴认识大家~ ✨主攻领域:【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】 ????点赞➕评论➕收藏 == 养成习惯(一键三连)???? ????欢迎关注????一起学习????一起讨论⭐️一起进步????文末有彩蛋 ????作者水平有限,欢迎各位大佬指点,相互学习进步! 目录 ???? 博主介绍 一、DOMxss-s 1. 输入一个字符串 1111 2. 看源码: 3. 过
xss-labs 通关笔记
Ewige的博客
06-30 481
靶场地址:传送门 概述: XSS(跨站脚本)概述 Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。一般XSS可以分为如下几种常见类型: 1.反射性XSS; 反射型XXS是一种非持久性的攻击,它指的是恶意攻击者往Web页面里插入恶意代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的目的。这里插入的恶意代码并没有保存在目标网站,需要引诱用户点击一个链接到目标网站的恶意链接来实施攻击。 原文链接:ht
[ pikachu ] 靶场通关之 XSS (四) --- DOM
qq_51577576的博客
01-15 1836
???? 博主介绍 ????‍???? 博主介绍:大家好,我是_PowerShell,很高兴认识大家~ ✨主攻领域:【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】 ????点赞➕评论➕收藏 == 养成习惯(一键三连)???? ????欢迎关注????一起学习????一起讨论⭐️一起进步????文末有彩蛋 ????作者水平有限,欢迎各位大佬指点,相互学习进步! 一、什么是DOM:(接口) 可以理解为一个访问html的一个标准的接口 Html是由很多的标签组成 在dom
渗透测试基础-DOMXSS原理及实操
weixin_45488495的博客
04-19 4214
渗透测试基础-DOMXSS原理及实操DOM是什么,DOMXSS又是什么DomXSS靶场演练漏洞总结 只为对所学知识做一个简单的梳理,如果有表达存在问题的地方,麻烦帮忙指认出来。我们一起为了遇见更好的自己而努力????! DOM是什么,DOMXSS又是什么 Dom是一个与平台,编程语言无关的【端口】,它允许程序或者脚本动态的访问和更新文档的内容,结果和样式,处理后的结果能够成为显示的一部分,不依赖于提交数据到服务器端,从而客户端获得Dom中的数据在本地执行,如果Dom中的数据没有经过严格的确定,就会产
xss-labs1-13(记录一下)
weixin_74182283的博客
04-22 719
a href='javascript:alert(1)'> 这个代码便是js中一个基本的伪协议写法,通过修改href的值(一般href后面都跟一个正常地址)将其修改成javascript:url(构造的东西) 在,执行的时候,会先运行href里的代码,而href里是个javascript,探测到javascript后,会先执行javascript后面的url,也就是构造的东西,如果这个构造的东西返回不为空,则会将构造的数据放到前台上。因此这里需要尝试使用其他语句来对其进行,可以尝试使用js中的伪协议。
DVWA-DOM Based Cross Site Scripting (XSS)
Cwillchris的博客
10-28 906
实验环境: DVWA靶机:172.16.12.10 靶场用户名:admin 密码:123 windos攻击机:172.16.12.7 kali攻击机:172.16.12.30 实验步骤: DOM—based XSS漏洞是基于文档对象模型Document Objeet Model,DOM)的一种漏洞。DOM是一个与平台、编程语言无关的接口,它允许程序或脚本动态地访问和更新文档内容、结构和样式,处理后的结果能够成为显示页面的一部分。DOM中有很多对象,其中一些是用户可以操纵的,如uRI,locatio
WEB渗透学习-XSS-labs靶场
04-20
**XSS(跨站脚本攻击)学习指南:XSS-labs靶场详解** XSS,全称为Cross-Site Scripting,是网络安全领域常见的漏洞类型之一。它允许攻击者通过注入恶意脚本到Web页面中,进而对用户浏览器进行操控。XSS-labs是一个...
xss-labs靶场,直接放到www目录下直接用,超方便
09-24
**XSS-Labs靶场详解** XSS-Labs是一个针对跨站脚本(Cross-Site Scripting,简称XSS)安全漏洞的专业靶场。这个靶场设计了一系列的挑战关卡,旨在帮助用户深入理解XSS攻击的原理、类型以及防御策略。通过实战演练,...
xss-labs靶场通关
10-13
xss-labs靶场通关 本篇文章将对xss-labs靶场的六关源码进行详细的分析和总结,并对每一关的xss攻击payload进行解释。 第一关 xss-labs靶场的第一关源码没有做任何过滤,直接上xss payload:<script>alert("XSS")...
JAVA进阶补充
2301_80150315的博客
08-15 885
概念:把已经有的方法拿过来用,当作函数式接口中抽象方法的方法体条件:引用处必须是函数式接口被引用的方法需要已经存在被引用方法的形参和返回值需要跟抽象方法的形参和返回值保持一致被引用方法的功能需要满足当前需求:方法引用符意义:就是为让控制台的报错信息更加的见名知意自定义异常的步骤:定义异常类写继承关系空参构造带参构造​file对象就表示一个路径,可以是文件的路径、也可以是文件夹的路径;这个路径可以是存在的,也允许是不存在的构造方法描述根据文件路径创建对象。
手撕快排——三种实现方法(附动图及源码)
jsjs1346的博客
08-16 577
🤖💻👨‍💻👩‍💻🌟🚀🤖🌟👨‍💻👩‍💻👨‍💻👩‍💻🚀是一种高效的排序算法,广泛应用于各种场景。它采用策略,将一个数组分成两个子数组,然后递归地对这两个子数组进行排序。本文将介绍三种快速排序的实现方法,并附上相应的源码。⚙️一、快速排序的基本原理一个基准元素(pivot)分成两个子数组递归合并O(n log n)O(n log n)O(n^2)后文我们将给出优化方案O(log n)📚三、实现霍尔方法是快速排序原始版本中使用的分区方法。
进程间通信 ---共享内存
BUG制造机的博客
08-14 1049
在这篇文章中向大家介绍了共享内存的原理以及常用的指令函数,希望大家有所收获!😁。
Java Spring|day3.SpringBoot
weixin_60364343的博客
08-15 362
告诉Spring boot需要什么功能,它就能引入需要的依赖库起步依赖就是特殊的Maven依赖,利用了传递依赖解析,把常用库聚合在一起,组成几个为特定功能而定制的依赖。
xss-labs-master靶场
09-29
xss-labs-master靶场是一个用于学习和实践跨站脚本攻击(Cross-Site Scripting,简称XSS)的实验环境。可以从GitHub上下载该靶场的源码,地址是https://github.com/do0dl3/xss-labs。在这个靶场中,你可以找到各种关于XSS的实例和挑战,通过实践来提高对XSS攻击的理解和防御能力。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值