用户
搜索

该用户从未签到

i春秋作家

Rank: 7Rank: 7Rank: 7

6

主题

31

帖子

362

魔法币
收听
0
粉丝
17
注册时间
2016-12-23

i春秋签约作者

发表于 2016-12-30 18:02:56 1715658
本帖最后由 sucppVK 于 2016-12-30 20:14 编辑

一、前言
本文原创作者:vk,本文属i春秋原创奖励计划,未经许可禁止转载!
很多人对于XSS的了解不深。
一提起来就是:“哦,弹窗的”、”哦,偷cookie的。”
骚年,你根本不知道什么是力量。虽然我也不知道,哈哈。
好了,不瞎扯了,进入今天的主题:

XSS易容术---bypass之编码混淆

二、正文
1、总括
很多时候,我们的一些关键字被过滤。
直接闭合前面payload,插入测试语句<script>alert(/xss/)</script>,
是弹不出窗的。
原因有很多,过滤方式也有很多,所以绕过的姿势自然也不少。
但并不是什么情况都能绕过的,例如:
[JavaScript] 纯文本查看 复制代码
<div>
  <?php echo htmlspecialchars($_POST['xss']); ?>
</div>

接收过来的数据,被php函数
htmlspecialchars处理
这个函数是转实体,转实体后,你再怎么折腾,也绕过不了。

2、xss常用的编码
第一个,html实体编码,例如:
&#x61;&#x6c;&#x65;&#x72;&#x74;&#x28;&#x29;
第二个,进制类,例如:\x61\x6c\x65\x72\x74\x60\x78\x73\x73\x60,某些时候,也有不带x,例如:\5c\6a
第三个,Unicode,例如:\u0061\u006c\u0065\u0072\u0074\u0060\u4e2d\u6587\u4e5f\u53ef\u4ee5\u0060
第四个,纯转义,例如:\'   \"   \<   \> ,这样的在特殊字符前加\进行转义。
先变个魔术,猜猜这样的代码能不能成功弹窗。
[JavaScript] 纯文本查看 复制代码
<img src=# onerror=eval("\x61\x6c\x65\x72\x74\x28\x2fxss/)")>

QQ截图20161203181722.png
|
|不
|准
|偷
|看
|
|
|
|
好吧,可以弹窗如图:
QQ截图20161230180340.png
那这样呢:
[JavaScript] 纯文本查看 复制代码
<img src="javascript:alert(1)">

|
|
|
|不
|准
|偷
|看
|
|
|
|
|
|
|
是不行的哦!你可以自己试试
QQ截图20161230190040.png
是不是颠覆了你的xss观。
什么?js伪协议不能用了?
哈哈,其中奥妙无穷,跟我一起来探索吧。

3、编码的正确使用姿势。
3.1    总论
我相信很多人都知道,是有那么几个编码是运用在xss的bypass里的(bypass就是绕过)
但是具体怎么用,什么时候用,在哪里用,并不清楚。
这可是有讲究的,瞎用的话浏览器可不帮你解析。
除非你有这个工具:
QQ图片20161203181705.png

它会告诉你什么时候,用什么编码,辅助你学习。
什么?这个工具在哪?
额,没错,这是笔者自己写的,在后面会放出源码~~
好了废话不多说,总结如下:
3.2    编码运用总结
html标签中:
  • html中当然会支持html实体编码,例如&#61,也有&lt;
  • 支持十六进制,但是要以&#x开头,其中x大写小写无所谓。
  • 支持十进制,要以&#开头,注意,没有x哦。
  • 支持数字部分高位补充0,例如&#00000000061,&#61这两是一样的。
  • 可能你已经发现了,后缀有没有;  都无所谓

javascript中:
  • eval函数里,支持十六进制,但是要以 \x 开头,x只能小写!必须两位,例如:\x5c
  • eval函数里,支持八进制,但是要以 \ 开头。必须两位,例如:\134
  • eval函数里,还支持\u前缀的unicode,本质是:16进制的ascii码。必须是四位,例如:\u005c
注意了,这个可和html实体编码不一样,对格式比较严格,不能随便在数字部分补充0。

聪明的童鞋可能已经发现了:
为什么第一个说的是html标签,第二个没说script标签呢?
以为js代码不一定要在script标签中啊。
比如这个:
[JavaScript] 纯文本查看 复制代码
<img src=# onerror=alert(/xss/)>

这就是在on事件中。
这样会出现什么有意思的事情呢?
细心的同学也许发现了,没错,是混合双打:
QQ截图20161230183855.png
img是html标签,里面用html编码是没问题的,而on事件里面可以直接解析js代码,
于是我使用eval函数,然后用js支持的编码替换内容,一样可以成功弹窗。
复杂使用起来就如一开始那副图那样,用了多种编码。

也可以这样:
QQ图片20161203181656.png
书上还有说css里支持\开头的十六进制,但是笔者实验没有成功。Orz(ps:书比较旧,现在浏览器不支持很正常)
4、献上辅助脚本源码(html+js)
[HTML] 纯文本查看 复制代码
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en">
<head>
    <meta http-equiv="Content-Type" content="text/html;charset=UTF-8">
    <title>xss编码转换器</title>
    <script>
    //提示框
        function tips(param){
            str=document.getElementById('tip');
            switch(param){
                case "&#":
                    str.innerHTML="提示:这个前缀只在html标签里才有效哦";
                break;

                case "bfstrin":
                    str.innerHTML="提示:对对,就是这里,输入需要编码的字符吧,例如:alert()";
                break;

                case "bfstrout":
                    str.innerHTML="提示:写好要转码的字符了吧,选择前缀后缀,以及位数哦。";
                break;

                case "\\x":
                    str.innerHTML="提示:这个前缀在eval里面有效哦,注意:必须选择16进制。";
                break;

                case "\\u":
                    str.innerHTML="提示:这个前缀在eval里面有效哦,注意:必须选择16进制,只能是四位(自动改好)。";
                break;

                case "\\":
                    str.innerHTML="提示:这个在css里面有效哦,但是只要ie6以前的浏览器才支持,Orz。";
                break;

                case "%":
                    str.innerHTML="提示:这个放在url里有效哦,%bf%27可是能干掉GBK的。";
                break;

                case " ":
                    str.innerHTML="提示:这个。。你竟然不要前缀了。";
                break;                

                case "af":
                    str.innerHTML="提示:这个只能配合&#用,而且可有可无。";
                break;

                case "jz":
                    str.innerHTML="提示:想换什么进制,eval只支持8进制和16进制,html标签支持10进制和16进制。";
                break;                

                case "num":
                    str.innerHTML="提示:html实体编码(&#)里面,ascii码前面可以任意插0,别的都不行。";
                break;                

                case "go":
                    str.innerHTML="提示:期待很久了吧,那啥,那个,失败了也和我没关系。。";
                break;                

                case "no":
                    str.innerHTML="提示:别,千万别,别按这个按钮,地球会毁灭。";
                break;
            }
        }

    //获取参数
        function getparam(){
            var bf=document.getElementById('bf').value;
            var af=document.getElementById('af').value;
            var jz=document.getElementById('jz').value;
            var num=document.getElementById('num').value;
            var param=[];
            param[0]=bf;
            param[1]=af;
            param[2]=jz;
            param[3]=num;
            return param;    
        }

    //取数,转ascii
        function enasc(){
            enstr=document.getElementById('bfstr').value;
            var bfstrarr=new Array();
            for(i=0;i<enstr.length;i++){
                tmpstr=enstr.substr(i,1);
                bfstrarr[i]=tmpstr.charCodeAt();
            }
            return bfstrarr;
        }

    //编码主函数
        function enxsscode(){
            var param=getparam();
            var bfstrarr=enasc();
            var destr="";
            for(i=0;i<bfstrarr.length;i++){
                bfstrarr[i]=bfstrarr[i].toString(param[2]);   //换进制
                var bu=0;
                if(param[0]=="\\u")
                    bu=4-String(bfstrarr[i]).length+1;
                else
                    bu=param[3]-String(bfstrarr[i]).length+1;
                
                if(param[2]==16 && param[0]=="&#")
                    destr+=param[0]+"x"+new Array(bu).join('0')+""+bfstrarr[i]+""+param[1];
                else if(param[2]==16 && param[0]=="\\u"){
                    destr+=param[0]+new Array(bu).join('0')+""+bfstrarr[i]+""+param[1];
                }else{    
                    destr+=param[0]+new Array(bu).join('0')+""+bfstrarr[i]+""+param[1];
                }            
            var afstr=document.getElementById('afstr');
            afstr.value=destr;
            }
        }
    </script>
</head>
<style>
    #bg{
        text-align: center;
        margin:0 auto;
        border:2px ridge red;
        width:1200px;
        height:700px; 
    }
    #header{
        background: #2f2f2f;
        border-bottom: 7px solid #a1cc33;
        height:60px;
        padding-top: 10px;
    }
    #left{
        float: left;
        border: 2px solid black;
        width: 500px;
        height: 500px;
        margin-left: 50px; 
        margin-top: 20px; 
    }
    #right{
        float: right;
        border: 2px solid black;
        width: 500px;
        height: 500px;
        margin-right: 50px; 
        margin-top: 20px; 
    }
    #mid{
        float: left;
        border: 2px solid green;
        width: 70px;
        height: 500px;
        margin-left: 10px; 
        margin-top: 20px;        
    }
    #tip{
        
        margin-top: 15px;
        margin-bottom: 0px;
        height: 20px; 
        text-align: center;
        color: red;
    }
    .param{
        margin-left: 2px;
        width: 55px;
    }
</style>
<body>
    <div id="bg">
        <div id="header">
            <h1 style="display:inline;">XSS编码转换器</h1>-made by vk
        </div>

        <!--主体 -->
        <form action="" method="post">
        <div id="tip">
            提示:左边区域输入待转码的字符
        </div>
        <div id="left">
            <textarea name="bfstr" id="bfstr" cols="30" rows="10" 
            style="resize:none; width:490px; height:490px; " ></textarea>
        </div>
        <div id="mid">
                <p style="padding-top: 10px; margin: 0px;">前缀:<br></p>
                <select name="bf" id="bf" class="param">
                    <option value="&#">&#</option>
                    <option value="\u">\u</option>
                    <option value="\x">\x</option>
                    <option value="\">\</option>
                    <option value="%">%</option>
                    <option value=" "> </option>
                </select>
                <br><br>
                后缀:
                <input type="text" id="af" name="af" value=";" class="param" />
                <br><br>
                进制:
                <select name="jz" id="jz" class="param">
                    <option value="8">8</option>
                    <option value="10">10</option>
                    <option value="16">16</option>
                </select>
                <br><br>
                位数:
                <input type="text" id="num" name="num" value="4" class="param" />
                <br><br>
                <input type="button" id="" name="" value="编码-->" class="param" />
                <br><br>
                <input type="button" id="" name="" value="<--解码" class="param"style="padding-left: 2px"/>
                <br><br>
                <input type="button" id="" name="" value="jsfuck" class="param" />
        </div>
        <div id="right">
            <textarea name="afstr" id="afstr" cols="30" rows="10" style="resize:none; width:490px; height:490px; " ></textarea>
        </div>
        </form>
    </div>
</body>
</html>


4、结束语
切记搞清楚,什么编码在什么位置能被浏览器正常解析,在进行实战的时候,一定要现在本地测试一下,然后再把payload扔过去。
不然出错了,你想破脑袋也很难排错。

评分

参与人数 3积分 +15 魔法币 +30 收起 理由
wyldlmu + 15 + 10
xiaoye + 10 vk继续加油
Binghe + 10 排版精美 好文

查看全部评分

本帖被以下淘专辑推荐:

发表于 2017-1-5 16:42:21
文章奖励介绍及评分标准:http://bbs.ichunqiu.com/thread-7869-1-1.html,如有疑问请加QQ:286894635!

奖金点评
100附上了脚本,思路也清晰,下次可以考量一下一些浏览器特性上的编码问题。

Hacking the earth
使用道具 举报 回复
发表于 2017-1-8 20:15:23
NinoPy 发表于 2017-1-5 20:14
函数都没调用,还缺少一个decode函数,jsfxxk是做嘛的?求解

恩,解码模块是没有写,因为这篇文章重点是编码。
jsfxxk,这也是一个编码混淆,用六个字符代替所有代码
使用道具 举报 回复
sucppVK 发表于 2017-1-8 20:15
恩,解码模块是没有写,因为这篇文章重点是编码。
jsfxxk,这也是一个编码混淆,用六个字符代替所有代码 ...

感谢解答
使用道具 举报 回复
楼主问下:<img src="javascRipt:alert(1)">  这个不执行,herf标签可以,这里不是很理解,谢谢。
使用道具 举报 回复
发表于 2017-12-27 16:55:33
<img src="1" onerror=eval("alert(/xss/)")>
eval里面的alert为何用html的编码也能够实现?
使用道具 举报 回复
发表于 2016-12-31 10:22:08
xiaoye 发表于 2016-12-30 23:38
哈哈,vk,赞一个,虽然没有颠覆我的xss观,哈哈,文章可以的

抱紧叶神大腿
使用道具 举报 回复
函数都没调用,还缺少一个decode函数,jsfxxk是做嘛的?求解
使用道具 举报 回复
发表于 2016-12-30 23:38:27
哈哈,vk,赞一个,虽然没有颠覆我的xss观,哈哈,文章可以的
http://blog.163.com/sy_butian/欢迎交流
使用道具 举报 回复
发表于 2016-12-30 22:55:26
可见作者是一个细心地有耐心的人。
Only the code will always follow me.
使用道具 举报 回复
发表于 2017-1-3 10:46:58
说的不错,没有做不到,只有想不到
不服你TMD来打我啊!
使用道具 举报 回复
发表于 2017-1-4 09:10:09
写的很赞啊~!
使用道具 举报 回复
发表于 2017-1-5 09:58:17

不错的知识。
当你的才华还撑不起你的野心时,就应该静下心来学习
使用道具 举报 回复
发表于 2017-1-5 20:07:31
源代码...是不是有少许问题啊。。。
使用道具 举报 回复
发表于 2017-1-18 15:29:12
使用道具 举报 回复
发表于 2017-1-28 01:00:42
贵在实战积累经验
使用道具 举报 回复
12下一页
发新帖
您需要登录后才可以回帖 登录 | 立即注册