layout: post
title: 6. xss_fuzz+wafbypass
category: SRC
tags: SRC
keywords: SRC,XSS
前言
该篇记录为记录实际的src过程第6篇小文章,内容为某网站的xssbypass。
特征
输入点为callback,全网漫游找到的,waf很强。很多标签都无法使用,<script>
frame
body
,style
,只要出现了就直接触发waf.能够通过的有a标签和img标签,这里尝试用a标签bypass,发现对javascript:
,这种形式进行了waf,想用编码绕过,发现对&#
进行了waf,ok换一种unicode编码,发现对;
进行了waf。wow,ok,卡住了。
事件触发的fuzz
那就考虑用事件触发,也就是on*
这样的属性,可是基本上手试的所有的都被waf了。不行,收集一波大概有多少个on*
,暴力fuzz一边,我就不信开发把所有的情况给考虑到了,收集了一百多个,ok好像还不是很够,Camaro大佬说有150多个,没关系,fuzz再说,不够再想办法。
ok,好像还是有漏网之鱼啊,其他的就不说了,直接说最后怎么过的吧,用的onwheel
事件。
onwheel事件在元素上下滚动触发,好说,直接用img,放一个很大的图就ok。
最后的payload:
<img src=x width=1000 height=1000 onwheel=alert.call(null,1)>
这里还有个小tip,在alert()
这种形式被过滤的情况下, 可以使用上述的形式绕过。
后话
camaro大佬吹爆!