很多白帽子在挖掘XSS漏洞的时候,往往会遇到一个问题,就是明明发现这里的过滤有缺陷,但是就是没法成功的进行构造利用。可能会由于自身对XSS绕过的局限性思维,往往只会反复的去尝试各种不同 payload代码,寄希望于其中某一个可以绕过过滤。但是在遇到强有力的XSS防御措施下,往往只能是竹篮打水一场空。
鉴于这种情况,这里主要分3个章节来简单的分享一些XSS绕过思路。
【第一节】 白名单限制绕过
【第二节】 黑名单限制绕过
【第三节】 长度限制绕过
本次主要说的是【第一节】白名单限制绕过的情况
所谓的白名单,就是指允许某些字符输入,其他一概拒绝,相对黑名单策略,白名单更加安全。
这里直入正题,说说以下几种可能存在XSS的情况。
一、输出在html标签之间
这种只要以白名单的方式,过滤了>< 直接无解,这里就直接略过了。
二、输出在html属性里
这种情况的主要有两种利用方法。
>>>> 2.1 第一种,是利用>
比如 
这种情况,可以用下面的代码形成//p1.ttnews.//p1.ttnews.//p2.ttnews.xyz/60111b8cd7df042770735ae8.jpgyz/60111b8cd7df042770735ae8.jpgyz/60111b8cd7df042770735ae8.jpgss
">这种方法比较简单,也比较常见,先用引号和>闭合掉标签,然后再构造。如果这时候,引号被白名单过滤掉了,那么在某种情况下,也可以利用html解析的优先级进行绕过,比如:
可以用下面的代码形成//p1.ttnews.//p1.ttnews.//p2.ttnews.xyz/60111b8cd7df042770735ae8.jpgyz/60111b8cd7df042770735ae8.jpgyz/60111b8cd7df042770735ae8.jpgss在浏览器里,会优先解析title标签,这样就成功跳出了引号的限制,形成XSS。
>>>> 2.2第二种,就是利用闭合属性,跳出引号,再构造新的属性,形成//p1.ttnews.//p1.ttnews.//p2.ttnews.xyz/60111b8cd7df042770735ae8.jpgyz/60111b8cd7df042770735ae8.jpgyz/60111b8cd7df042770735ae8.jpgss
比如 这种情况,src内容可控,可以用下面的代码形成//p1.ttnews.//p1.ttnews.//p2.ttnews.xyz/60111b8cd7df042770735ae8.jpgyz/60111b8cd7df042770735ae8.jpgyz/60111b8cd7df042770735ae8.jpgss
如果说这里白名单过滤掉了引号,其实某种情况下,还可以利用html实体编码进行绕过。比如
然后onerror属性可控,但是白名单又将所有字母括号给直接过滤掉,这时候不能直接写alert(1),但是由于在html标签的属性里,就可以用下面的编码进行绕过。
所以上述的这些情况,大部分时候,防御策略只需要在白名单中避免存在'">
三、输出在js代码中
这个是本次重点讲的一个点,由于在js中,代码的变化形式比较多样,这里我大概提2个点。
>>>> 3.1 比如某处白名单策略,只允许使用[]$='\()+这些字符以及数字0-9,连任意字母都不允许使用。那么这种情况下,即使知道这里可能有XSS,要怎么样构造利用呢?
这里给出一个思路。
先说说js中的constructor的用法,constructor 属性返回对创建此对象的数组函数的引用。
语法,Object.constructor
然后这里Object.constructor===Function这是恒等的关系。你可以在控制台试试,会返回true。
所以我们可以使用以下方式创建,并执行一个函数:
new Function("alert(1)")();
也可以不要new关键字,那么就是
Function("alert(1)")()
然后可以将Function转换下,这里"..."是一个任意字符串,也可以为空,然后"...".substr就是一个Object,所以这代码和上面是等效的。
"...".substr.constructor("alert(1)")()
再转换下,对象可以写成中括号的形式,比如a.b可以写成a['b']这样子。
"..."["substr"]["constructor"]("alert(1)")()
然后对字符串进行变形,任意字符串js中都可以写成\+ASCII码的8位形式,也就是查询到字母的ASCII码然后将其转换为8进制时候的结果。
"..."["\163\165\142\163\164\162"]["\143\157\156\163\164\162\165\143\164\157\162"]("\141\154\145\162\164\50\61\51")()
好了,这样就可以不用任何字母执行一段js代码了。
也可以这样。
new Function("alert(1)")();
等价于
[].constructor.constructor('alert(1)')()
等价于
[]['constructor']['constructor']('alert(1)')()
赋值个变量,缩短下代码,等价于
[][$='constructor'][$]('alert(1)')()
然后替换下所有字符串,等价于
[][$='\143\157\156\163\164\162\165\143\164\157\162'][$]('\141\154\145\162\164(1)')()
哈哈,好像比上面的还要短点。
>>>> 3.2 这里可能有人就要说了,你这就是利用了任意字符串js中都可以写成\+ASCII码的8位形式,那我直接在把\和数字也白名单过滤了不就行了么,其实还是可以的,看下面代码
[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]][([][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]]+[])[!+[]+!+[]+!+[]]+(!![]+[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]])[+!+[]+[+[]]]+([][[]]+[])[+!+[]]+(![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[+!+[]]+([][[]]+[])[+[]]+([][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]])[+!+[]+[+[]]]+(!![]+[])[+!+[]]]((![]+[])[+!+[]]+(![]+[])[!+[]+!+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]+(!![]+[])[+[]]+(![]+[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]])[!+[]+!+[]+[+[]]]+[+!+[]]+(!![]+[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]])[!+[]+!+[]+[+[]]])()
复制这段代码,放到浏览器控制台执行,可以看到弹1了,是不是很神奇,其实这段代码就是alert(1)在经过了N次变形的结果。
然后由于代码只用到了[]+!()6个字符而已,这个写法有个专业的名称,叫做jsfuck。
只是看这一堆代码,谁也不知道这是啥意思,也不知道是怎么来的,为啥就会执行alert(1),所以下面来给解释下原理。
[]等于创建了一个array对象,也就是一个数组,然后![]是取反,控制台直接执行这个会看到,返回了false。那么!![]也就是对false取反,会返回true。
下来再说一个知识,在js中等于关系有两种,==叫做等于,===叫做恒等。区别是这样,恒等的一定满足等于,但是反之则不一定成立。
1+1===2
true,1,"1"是==的关系
false,0,"0",[]也是==的关系,
还有像[],"",0,false也是==的关系,但是注意"0"和""不是==的关系额。
悄悄的再告诉你,[]和![]也是==的关系额,具体为什么,有兴趣的话可以百度了解下。
还有个知识,就是字符串和数字相加,数字会自动转换为字符串类型,返回的结果会是字符串。字符串和数字相减,字符串会转换为数字类型,返回的会是数字。
还有一些特殊的,不是字符串也不是数字的时候,像true+true返回2,true+false会返回1。
所以 +true 的结果是1,+false的结果是0。在结合上面说到的,这样+!![]表示的就是1,+![]表示的就是0了。
原理就是这样子,然后因为alert(1)可以写成,[]['constructor']['constructor']('alert(1)')() ,所以只需要将关键字constructor和alert(1)对应的jsfuck对应的表达形式构造出来,在进行连接就可以了。由于不能用引号,所以这里引号也必须重新构造。
这里直接给出构造思路。那就是利用字符串的可以直接用下标进行读取的特性,比如字符串'abcd',那么'abcd'[2]就会返回'c'。
所以a怎么获取呢,因为![]代表的是fasle,所以![][1]就是'a',然后再将这里的1替换掉,就是![][+!![]],这时候你去试试会发现怎么返回的是true不是'a'啊。那是因为这里的![]不是字符串,所以需要将其先转换为字符串,很简单这样就可以了,前面提到过像[],"",0,false也是==的关系,那么(![]+[])[+!![]] 控制台直接输入代码就可以看到效果。
其他的关键字的字符也都是这么慢慢转换过来的。这里就不在一一列举了,感兴趣的可以看这里有详细的构造思路。https://github.com/aemkei/jsfuck
这里再提供个jsfuck的代码生成工具:
https://www.bugku.com/tools/jsfuck/
总 结
文章其实主要是探讨的绕过思路,并不会覆盖所有的XSS漏洞场景去一一列举。作者认为对于XSS绕过这个问题上,思路还是比较重要的。相比很多人喜欢收集一堆payload,然后一个个的去反复尝试,其实了解了这些payload的构造思路的话,往往只需要测试一些特殊字符,就大概心里有数了。
是不是看的意犹未尽?关注公众号,后续会陆续带来
【第二节】 黑名单限制绕过
【第三节】 长度限制绕过
以及更多的精彩内容。
