本文深入探讨了利用索引机制进行绕过的方法,通过两个Python案例解释了索引变化如何导致数据过滤不彻底的问题。在XSS过滤场景中,由于索引的自增特性,过滤函数未能有效移除所有属性,从而留下了安全隐患。文中提供了两种绕过方法,分别是调整属性顺序和利用SVG标签。这些分析对于理解Web安全和漏洞利用具有重要意义。
利用索引机制进行绕过
一、过滤机制分析
HTML源码:
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<meta http-equiv="X-UA-Compatible" content="IE=edge">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<title>Document</title>
</head>
<body>
</body>
<script>
const data = decodeURIComponent(location.hash.substr(1));
const root = document.createElement('div');
root.innerHTML = data;
// 这里模拟了XSS过滤的过程,方法是移除所有属性
for (let el of root.querySelectorAll('*')) {
console.log(el); //输出此时遍历的标签
for (let attr of el.attributes) {
console.log(attr,el.attributes,attr.name); //这句代码是用来在控制台上输出数据的
el.removeAttribute(attr.name); //这句代码用来移除属性。
}
}
document.body.appendChild(root);
console.log(root)
</script>
</html>
源码分析:
- 这段代码通过javascript对输入的内容进行过滤,从
<div>标签中抓取标签,进行循环遍历,第一层遍历的是标签,第二层遍历的是标签的属性,目的是将标签中所有的属性都移除出去,但是因遍历索引的原因导致并没有达到预期的效果。
测试payload:
<img aaa='111' src='222' bbb='333' onerror='444'><img ccc='555' src='666' ddd='777' onerror='888'>
- 可以看到当输入测试playload时,控制台输出了几串数据。
- 我们来对输出是数据进行分析,首先遍历第一个标签,是一个
<img>标签,然后便是对img标签中属性进行遍历并删除,遍历完属性之后又开启新一轮的标签遍历,然后对标签中的属性进行遍历并删除。理想很美好,现实很骨感,你看<div>标签中的数据,这是过滤以后插入<div>中的数据,但是很显然过滤失败了,四个属性只过滤掉了两个,src属性和’onerror’属性依然存在,理想状态应该是一个属性都不剩的。这是为什么呢?这个问题的原因和索引有关,我们以python代码为例子进行讲解。
二、相似案例分析1
python源码:
a = [6, 5, 4, 3, 2, 1, 0]
index = 0
for i in a:
print('a['+str(index)+'] = '+str(a[index])+':', a, end='')
print(max(a), end=' = ')
a.remove(max(a))
print(a, end=' --> ')
index = index + 1
print('a[0]='+str(a[0]))
运行结果:
a[0] = 6: [6, 5, 4, 3, 2, 1, 0]-6 = [5, 4, 3, 2, 1, 0] --> a[0]=5
a[1] = 4: [5, 4, 3, 2, 1, 0]-5 = [4, 3, 2, 1, 0] --> a[0]=4
a[2] = 2: [4, 3, 2, 1, 0]-4 = [3, 2, 1, 0] --> a[0]=3
a[3] = 0: [3, 2, 1, 0]-3 = [2, 1, 0] --> a[0]=2
通过观察运行结果,我们发现实际的运行结果与理想的结果出现了差别,理想中的结果应该是将a列表中的所有数据都删除,但是实际的运行结果是并没有都删除,还剩下一部分列表[2, 1, 0]
原因分析:
- 当第一次循环时,参数
i从列表a中获取索引为0的数据,即i = a[0] = 6,i获取到了6这个参数,然后发现列表中最大的值就是 6,下一步便是将6这个参数从a列表中移除,此时a[0]对应的数据变成了5,完成了第一次循环 - 进行第二次循环,此时的索引在0的基础上加1变成了索引1,对应的数据为
a[1] = 4,此时再次从a列表中查找最大值,发现最大值为5,然后便是将5移除a列表,此时a列表中a[0]对应的数据变成了4,即a[0] = 4,完成了第二次循环 - 进行第三次循环,索引在原有的基础上再次加1,此时的索引变成了2,此时
a[2] = 2,再次从a列表中查找最大值,发现最大值为4,然后便是将4移除a列表,a[0]再次发生变化,a[0] = 3,完成第三次循环 - 进行第四次循环,索引再次加1变成了3,此时
a[3] = 0,已经到了a列表的最后一位,这是最后一次循环了,再次从a列表中查找最大值,发现最大值为3,然后便是将3移除a列表,a[0]再次发生变化,a[0] = 2,完成第四次循环
通过上面的步骤分析不难发现,因为索引每次循环都会在原有的基础上加1,并且因为删除了最大值的原因,索引中会自动填补删除掉的那个最大值所在索引的空缺,由最大值后面的那个值依次进行填补,造成索引一直在增加,但是索引的总数确实一直在减少。
三、相似案例分析2
python源码
a = [6, 5, 4, 3, 2, 1]
for i in list1:
if i == 5:
list1.remove(i)
print(i)
输出结果:
6
5
3
2
1
通过上面的结果我们可以发现在打印出的数据中,缺少了一个值,这个值不是5,而是4。为什么呢?理论而言应该是5消失不见才对,但是这次消失的却是4,我们继续看下面的代码进行分析。
python源码
a = [6, 5, 4, 3, 2, 1]
for i in list1:
if i == 5:
list1.remove(i)
print(list1)
print(i)
print(list1)
输出结果:
6
[6, 4, 3, 2, 1]
5
3
2
1
[6, 4, 3, 2, 1]
我们将删除数据后的列表进行打印,打印出的列表中的数据和我们想象中的数据是完全一样的,那为什么非列表的那部分数据打印出来却是如此诡异呢?
我们来分析代码:
- 第一次循环,
i = a[0] = 6,i不等于5,第一次循环结束; - 第二次循环,
i = a[1] = 5,i == 5,将5从列表中移除,此时i参数中存放的数据依旧是5,并没有因为a列表中数据的改变而发生的变化,因为i中存储的仅仅是5这个数值而已,i与a列表并没有什么联系,因此此时a列表中数据的改变对此时的i没有影响。此时a列表中索引对应的值发生了变化,下一次索引a[2]的值由原本的4,变成了3。 - 第三次循环,
i = a[2] = 3,此时数值4所对应的位置为a[1],因为索引每次循环完都会自增,所以很遗憾的将4给忽略了。
四、分析漏洞
我们再次查看控制台打印的信息,发现过滤函数删除了第一个属性,然后因为索引的改变导致原本的第二个属性被过滤函数给忽略了,然后再次删除第三个属性,但是又将第四个属性忽略了,原因和上面的两个例子一样,因为索引的改变导致有一部分的属性被忽略。
五、绕过
分析完原理以后就可以进行绕过了,
方法一:
绕过成功!!
playload:
<img aaa='111' src='222' bbb='333' onerror='alert(1)'>
方法二:
除次之外,还可以使用svg标签进行绕过,原理也是一样的,第一个属性a被删除,第二个属性onload被忽略。通过这个过滤函数删除一下不需要的属性,留下有用的属性,绕过成功。
绕过成功!!
payload:
<svg/a/οnlοad=alert(1)>
扫一扫
2332
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
