这篇博客详细介绍了XSS练习平台中的一系列挑战,涵盖从基础的warmup到复杂的DOM、JSON和Callback等场景。作者通过实践和解析代码,展示了如何在不同过滤和限制条件下构造有效的XSS攻击,如使用JSON.stringify、Markdown规则、DOM操作和JavaScript特性来绕过防护。同时,提醒读者注意不同浏览器可能存在的差异,并分享了在解决难题时的思考过程和解决方案。
题目来源:https://alf.nu/alert1
这一系列的题目目标为alert(1),也就是找出一个XSS利用点。
页面会给出一段需要绕过的过滤函数,Output回显函数生成的HTML代码,方便绕过;
Console out是在控制台输出的值,就是console.log里输出的值
ps:请用chorme进行练习,有的题目在firefox上会出错
一. warmup
没有任何过滤,直接闭合前面,注释后面即可
二. Adobe
看源代码,发现代码匹配了所有的双引号(/g表示匹配全部),然后把双引号用\"代替,意思就是直接在双引号前面加转义字符“\”,让双引号变成字符而失效,导致前面不能闭合。我们可以在输入时在双引号前面直接加个反斜杠,让我们输的反斜杠转义函数加的反斜杠,从而使得双引号生效。
三. JSON
这题函数用了JSON.stringify()使得任意的JS转化为JSON字符串(JSON字符串是一种独立于各种编程语言的字符串,我理解就是字符串)。
这些不管,自己尝试输入,其实就是在我们输入的字符串两边加上双引号,并且在输入的双引号等特殊字符前加反斜杠。
由于前面有双引号无法消除,所以我们考虑用</script>标签闭合前面的<script>(不管其中的语句有没有错误),然后在后面另起<script>alert(1)
ps:这里我们可以不规范的HTML代码<script>alert(1),后面没有</script>闭合alert也生效了。
四. JavaScript
这道题刚开始看不懂代码,结合了大佬的WP后得知,这段代码大概是插入一个<a>标签,标签里的href属性可由我们控制,并且href属性中的内容会被自动执行。再看看代码url='javasript:console.log(......),就是说我们可以在之中执行JS代码。
这道题也有JSON.stringify,需要我们消掉前面的双引号,但这题没有<stript>标签,所以不能用上道题的闭合方法。但这题的特点是他是执行url中的JS代码,在url中自然可以用url编码啦,双引号的url编码是%22。得出答案。
这道题不能用火狐来做,我们在控制台测试得到
chrome控制台测试
最低0.47元/天 解锁文章
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
