当前位置:网站首页>复现一次循环和两次循环
复现一次循环和两次循环
2022-08-05 08:11:00 【鸡哥yyds】
复现单个循环,过滤标签的属性。
下面代码是:首先截取#号后面的值,然后创建一个div,然后将#号后面的值都赋值给div,然后使用querySelectorAll选取div下所有的子元素;然后获取子元素的属性,并将属性全部删除,但是我们在运行的时候会发现一个问题。
<html lang="en">
<head>
<meta charset="UTF-8"/>
<meta http-equiv="X-UA-Compatible" content="IE=edge"/>
<meta name="viewport" content="width=device-width, initial-scale=1.0"/>
<title>Document</title>
</head>
<body></body>
<script>
// http://127.0.0.1/domfilter/demo6.html#<img src=1 οnerrοr=alert(1)>
const data = decodeURIComponent(location.hash.substr(1));
const root = document.createElement("div");
root.innerHTML = data;
//这里模拟了xss过滤的过程,方法是移除所有属性
for (let el of root.queryselectorA11("*")) {
for (let attr of el.attributes){
el.removeAttribute( attr.name);
}
}
document.body.appendChild(root);
</script>
</html>
过滤方式:截取#后面的值,创建一个div,把#后面的值赋值给div,然后使用querySelectorAll抓div的子元素,获取它的属性,再把子元素的属性全部删除。
我们先输入<img src=1 οnerrοr=alert(1)>试一下,但是运行后得出的结果是它只删除了一个src,把onerror留了下来我们来使用断点调试来看一下执行
从获取到第一个src后,就获取不到onerror了,最后跳出了循环,没有删除onerror。
在进行循环的过程中,attr首先匹配到的是src元素,然后在循环过后直接删除,删除了之后,剩余的哪个onerror自动往前移动,onerror替代了src第一个的位置,它就变成了第一个,但是我在刚刚循环的时候,已经把第一个给循环了,我要去循环下一个的时候它没有了,所以我就结束循环了。所以我们可以利用这一机制,将img标签中放入其他的属性,删除其他的属性来让我们要输出有用的属性进行输出。下面来验证这一想法
可以看到我们的想法确实可以实现,但是src也被删除了,所以我们再添加一个属性,然后换个位置,输入<img x=1 src=1 title=aaa onerror=alert(1)>
可以看到输出了哦我们要输出的属性并且成功弹窗
其他答案:<svg/a/οnlοad=alert(1)>
两次循环,过滤标签里的属性
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<meta http-equiv="X-UA-Compatible" content="IE=edge">
<meta name="viewport" content="width=device-width, initial-scale=1.0"><title>Document</title>
</head>
<body>
</body>
<script>
const data = decodeURIComponent(location.hash.substr(1));;const root = document.createElement( 'div ' );
root.innerHTML = data;
//这里模拟了xss过滤的过程,方法是移除所有属性,sanitizer
for (let el of root.querySelectorA11('*')) {
let attrs = [];
for (let attr of el.attributes){
attrs.push(attr.name);
}
for (let name of attrs) {
el.removeAttribute(name);}
}
document.body . appendchild(root);
</script>
</html>
在这里有两种思路,一种是不进循环,另一种是进入循环后不删除
我们先使用上面那种一次循环的方法看看有什么效果
可以看到输入的<img src=1 οnerrοr=alert(1)>
里面的元素都没了,只剩了一个img标签。
不进循环的方法
这里使用的是两个svg标签,也就是使用\<svg>\<svg onload=alert(1)>
来尽行绕过,它可以在过滤代码之前进行绕过,也就是说,它在代码的root.innerHTML = data;就已经执行了。
要解释这个的话首先要了解以下浏览器的渲染过程。
也就是在DOM树构建完成之后,会触发DOMContentLoaded事件,接着就会加载脚本或者图片,然后执行全部加载完成后会触发load事件。
使用img标签失败的原因是:当我们使用断点测试的时候,首先先将过滤给注释掉,然后我们将断点放在root.innerHTML = data;上
当我们测试的时候发现,src标签一直没有执行,走到最后img才会执行
JS会把dom树
阻塞,如果一个img或者1个svg都会在js执行后才会执行且属性以及被删除了;而2个svg里的最内侧svg是在html赋值的瞬间就把onload事件
加载了所以就没有进入到js的删除事件里
img和其他payload的失败原因在于sanitizer
执行的时间早于事件代码的执行时间,sanitizer
将恶意代码清除了。由于js阻塞dom树,一直到js语句执行结束后,才可以引入img,此时img的属性已经被sanitizer
清除了,自然也不可能执行事件代码了。最内层的svg先触发,然后再到下一层,而且是在DOM树构建完成以前就触发了相关事件;最外层的svg则得等到DOM树构建完成才能触发。
套嵌的svg之所以成功,是因为当页面为root.innerHtml
赋值的时候浏览器进入DOM树构建过程;在这个过程中会触发非最外层svg标签的load事件,最终成功执行代码。
进入循环后不删除有用的数据
如果有一个元素可以拦截el.attributes,有可能删除的不是el而是里面的子元素,比如说在div标签里有form和img两个元素,将img的值删掉让form弹窗;要想进循环只有一个元素肯定不行,所以要想办法变成一个数组来进入循环,所以可以写进2个img
以看到确实进入了循环,但是form没有触发,这里就需要用onfocus,而onfocus是input的属性,form没有,但是也要把焦点对到input里面,所以要用到tabindex(tabindex 全局属性 指示其元素是否可以聚焦,以及它是否/在何处参与顺序键盘导航)<form tabindex=1 onfocus="alert(1)" autofocus="ture"><input 20name=attributes><input name=attributes></form> tabindex=1
聚焦在input的子元素上;autofocus="ture“自动聚焦加上tabindex属性的话就可以把焦点聚集在input上,否则onfoucus是没有办法实现的。
所以这样的话:我们就可以进行尝试:
<form tabindex=1 onfoucus=“alert(1)” autofocus=“true”><input name=attributes><input name=attributes></from>
这种是成功跳出弹窗的,但是因为这个是自动将你的鼠标自动对焦,所以会一直进行弹窗,所以我们可以在它执行成功一次之后将他移除。
<form%20tabindex=1%20οnfοcus="alert(1);this.removeAttribute(‘onfocus’);"autofocus=“true”><input%20name=attributes><input%20name=attributes></form>
边栏推荐
- 七夕看什么电影好?爬取电影评分并存入csv文件
- [转帖]嫁人一定要嫁工资至少比你高3571.4元的男士
- [Structural Internal Power Cultivation] The Mystery of Enumeration and Union (3)
- 别把你的天使弄丢了
- openSource 知:社区贡献
- [Structure internal power practice] Structure memory alignment (1)
- Redis cache and existing problems--cache penetration, cache avalanche, cache breakdown and solutions
- VXE-Table融合多语言
- Pagoda measurement - building small and medium-sized homestay hotel management source code
- 【结构体内功修炼】枚举和联合的奥秘(三)
猜你喜欢
MySQL 数据库 报错 The server quit without updating PID file (/var/lib/mysql/localhost.localdomain.pid)
爬虫从入门到入牢
Three solutions to solve cross-domain in egg framework
【结构体内功修炼】枚举和联合的奥秘(三)
双向循环带头链表
[Structure internal power practice] Structure memory alignment (1)
线性代数对角化
强网杯2022 pwn 赛题解析——house_of_cat
Redis implements distributed lock-principle-detailed explanation of the problem
Chapter3、色调映射
随机推荐
openSource 知:社区贡献
长期招聘嵌入式开发-深圳宝安
谷歌零碎笔记之MVCC(草稿)
利用Jenkins的持续集成
餐饮大单品「真香」,却没有穿透周期的能力
爱情是一部忧伤的乐曲
The toss of MM before going to the street (interesting)
Embedded Systems: Basic Timers
SVG星球大战样式Toggle切换开关按钮
uniapp时间组件封装年-月-日-时-分-秒
Iptables implementation under the network limited (NTP) synchronization time custom port
MM上街前的折腾(有趣)
pnpm 是凭什么对 npm 和 yarn 降维打击的
Spark cluster deployment (third bullet)
彩绘漂亮MM集
爬虫之验证码
图扑软件与华为云共同构建新型智慧工厂
SVG Star Wars Style Toggle Toggle Button
路由----router
别把你的天使弄丢了