1)GET传参直接输出在src中会存在反射性xss漏洞,可以利用复现urlcode编码规则绕过xss限制
2)url编码规则:将需要转码的字符的ASCII码转换为16进制,然后从右向左,取4位(不足4位按照四位处理)每2位做一位,前面加上%,编码成%XY格式
(参考来源于https://www.cnblogs.com/wangzh110/p/4886665.html)
demo![](https://i-blog.csdnimg.cn/blog_migrate/1e881fb6d3a425703657753d4e2cd042.png)
通过分析源代码可知屏幕上打印图片路径来自于GET传递的参数,同时会将接收到参数中的 ()$<>' 等字符均会被替换为空格。<>被过滤,闭合标签写入新标签不可行;&被过滤,使用&#的HTML实体编码不可行,因此使用url编码。
进行url构造
闭合双引号,逃逸出限制,利用GET传递一个不存在的参数和onerror函数来触发弹窗
127.0.0.1/demo.php?xss=aa" onerror="alert(1)
使用url编码替换(),因为()均会被替换为空格,“(”为%28,“)”为%29
127.0.0.1/demo.php?xss=aa" onerror="alert%281%29
浏览器会在提交数据时先进行一次转码,所以进入函数时%28%29又会被转换为()。我们需要让转码后的数据进入函数时保持在%28%29的状态,而%的url编码是%25
127.0.0.1/demo.php?xss=aa" onerror="alert%25281%2529
显示
在进入时候显示为
127.0.0.1/demo.php?xss=aa" onerror="alert%281%29
浏览器显示转码为
127.0.0.1/demo.php?xss=aa" onerror="alert(1)
发现问题
可是通过观察控制台返回的数据发现%28%29并没有被转换,因为onerror是一个js函数,而在js的语法中不能编码符号
我们可以利用location来绕过这一限制, location会将等号右边的所有值变成字符串变量,而变量在js中可以编码,相应的"alert()“替换为JavaScript的一个伪协议"javascript:alert()”,于是
demo1![](https://i-blog.csdnimg.cn/blog_migrate/f4a80c5bec3fbe3deba5259cae0df35b.png)
多了对script、alert的关键字限制 ,由于location会将等号右边的值转化为字符串,因此可以利用字符串可拼接的特性绕过关键字限制。
只有字母和数字[0-9a-zA-Z]、一些特殊符号“$-_.+!*'(),”[不包括双引号]、以及某些保留字,才可以不经过编码直接用于url。urlcode不识别加号,所以需要将+转化为%2b,这样在进入时才会被转换为+,返回时正确拼接。
进行url构造
127.0.0.1/demo1.php?xss=aa" onerror=location="javas"%2b"cript:a"%2b"lert%25281%2529
xss分类
最常见的几种分类:反射型(非持久型)XSS、存储型(持久型)XSS、DOM型XSS