当前位置: 首页 > news >正文

XSS-过滤特殊符号的正则绕过

news 2025/7/19 15:12:57

目录

靶场练习地址:https://xss.pwnfunction.com/

题目源码:

代码分析:

方法一:匿名函数

方法二:使用eval函数绕过限制 

示例:

方法三:利用hash绕过

靶场练习地址:https://xss.pwnfunction.com/

题目源码:

代码分析:

        根据源码可以分析出,过滤了`, ', ",+,-,!,\,[,]并且过滤了弹窗函数alert,这样的一个正则,我们必须知道,弹窗最常用的三个函数,为alert、prompt、confirm,三个函数都能实现弹窗。

那么,最简单的绕过就是:

payload:prompt(1337);payload:confirm(1337);

因为这里是作者编写的失误,所以导致绕过过于简单,实际上过滤了alert也会过滤掉其他弹窗函数 ,所以上述解法基本上是不可能实现的。

如果上面的行不通我们可以使用以下方法来解决:

方法一:匿名函数

var add = new Function('x','y','return x*y'
);

等同于

function add(x,y){return x*y;
}

如何执行: 

Function()()

 因为JavaScript是严格区分大小写的,所以我们可以将大写的ALERT转为小写然后执行:

Function(/ALERT(1337)/.source.toLowerCase())()

事实上就是利用了将alert转化为大小写来绕过。

ok,执行成功!!!

方法二:使用eval函数绕过限制 

这里用到了js中的一个函数:

parseInt(*string*, *radix*): 解析一个字符串并返回指定基数的十进制整数, radix 是2-36之间的整数,表示被解析字符串的基数。

string

        要被解析的值。如果参数不是一个字符串,则将其转换为字符串(使用 ToString抽象操作)。字符串开头的空白符将会被忽略。

radix 可选

         2 到 36,表示字符串的基数。例如指定 16 表示被解析值是十六进制数。请注意,10不是默认值!

示例:

parseInt('1i', 20) // 将'123'看作5进制数,返回十进制数38 

所以我们可以将alert先用三十进制转换为数字,然后再转回为字符串

        至于为什么是三十进制:0-9占十位,a-t占二十位,如果小于三十进制的话,当它从数字转回为字符串时,字符会丢失(例如:asert用29进制转换为数字,然后再转回为字符串时会变为aser,少了一个t),转回字符串的原因:数字无法运行。

所以将alert转化成30进制

parseInt('alert', 30)

结果为数字8680439也就是说我们利用parseInt函数将关键字变为一串数字,但数字肯定无法运行,我们还需要再变回去,要将一个数字转换为特定的 radix 中的字符串字段,要使用 thatNumber.toString(radix)函数。

注:转为tostring方法中间为.. 

eval(8680439..toString(30))(1337)

ok,成功弹窗!

方法三:利用hash绕过

var url = document.createElement('a');
url.href = 'https://developer.mozilla.org/en-US/search?q=URL#search-results-close-container';
console.log(url.href);      // https://developer.mozilla.org/en-US/search?q=URL#search-results-close-container
console.log(url.protocol);  // https:
console.log(url.host);      // developer.mozilla.org
console.log(url.hostname);  // developer.mozilla.org
console.log(url.port);      // (blank - https assumes port 443)
console.log(url.pathname);  // /en-US/search
console.log(url.search);    // ?q=URL
console.log(url.hash);      // #search-results-close-container
console.log(url.origin);    // https://developer.mozilla.org

        我们可以看到location.hash是取url中#后面的部分  ,而#后面的部分不会算作get传参的内容,所以我们可以将代码写在location.hash的位置,然后用eval函数来执行。

注意:location.hash第一个位置是#,所以我们还得使用一个slice函数来进行切割:

                slice(index),index为索引

eval(location.hash.slice(1))#alert(1337)

ok,完成!!!

以上就是目前我知道的所有方法。

http://www.lryc.cn/news/430354.html

相关文章:

  • CocosCreator3.8 IOS 构建插屏无法去除的解决方案
  • Linux软件编程---数据库
  • Spring 源码解读专栏:从零到一深度掌握 Spring 框架
  • 帆软-秋招提前批-笔试
  • 嵌入式AI快速入门课程-K510篇 (第七篇 系统BSP开发)
  • 代码随想录算法训练营day52:图03:101. 孤岛的总面积;102. 沉没孤岛;103. 水流问题
  • 开源大模型本地私有化部署
  • 站长为什么要搭建个人博客网站
  • Golang | Leetcode Golang题解之第355题设计推特
  • Redis如何实现发布/订阅?
  • EmguCV学习笔记 VB.Net 4.4 图像形态学
  • HarmonyOS 开发
  • 拒绝拖延!Kimi助你一天内速成论文初稿!
  • Python画笔案例-005 绘制迷宫
  • 【鸿蒙学习】HarmonyOS应用开发者高级认证 - 应用性能优化二(代码层面)
  • 【Docker】如何将A机器内的镜像,导入到B机器?
  • 动手实现基于Reactor模型的高并发Web服务器(一):epoll+多线程版本
  • 爬虫案例4——爬取房天下数据
  • 网络硬盘录像机NVR程序源码NVR全套运用方案
  • 03:电容的充放电特性及应用举例
  • 【专题】2023-2024中国游戏企业研发竞争力报告合集PDF分享(附原数据表)
  • 会话跟踪方案:Cookie Session Token
  • jemeter压力测试入门
  • SpringBoot3 简单集成 Spring AI 并使用
  • 【C/C++】程序设计基础知识(数据类型与表达式、控制语句、数组与结构)
  • python库——sklearn的关键组件和参数设置
  • CAS-ViT实战:使用CAS-ViT实现图像分类任务(一)
  • 处理数组下标的代码
  • 数学建模算法总结
  • 代码随想录算法训练营第五十五天 | 并查集理论基础、107. 寻找存在的路径