当前位置:网站首页>利用索引机制进行绕过
利用索引机制进行绕过
2022-08-03 03:02:00 【共黄昏】
利用索引机制进行绕过
一、过滤机制分析
HTML源码:
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<meta http-equiv="X-UA-Compatible" content="IE=edge">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<title>Document</title>
</head>
<body>
</body>
<script> const data = decodeURIComponent(location.hash.substr(1)); const root = document.createElement('div'); root.innerHTML = data; // 这里模拟了XSS过滤的过程,方法是移除所有属性 for (let el of root.querySelectorAll('*')) {
console.log(el); //输出此时遍历的标签 for (let attr of el.attributes) {
console.log(attr,el.attributes,attr.name); //这句代码是用来在控制台上输出数据的 el.removeAttribute(attr.name); //这句代码用来移除属性。 } } document.body.appendChild(root); console.log(root) </script>
</html>
源码分析:
- 这段代码通过javascript对输入的内容进行过滤,从
<div>
标签中抓取标签,进行循环遍历,第一层遍历的是标签,第二层遍历的是标签的属性,目的是将标签中所有的属性都移除出去,但是因遍历索引的原因导致并没有达到预期的效果。
测试playload:
<img aaa='111' src='222' bbb='333' onerror='444'><img ccc='555' src='666' ddd='777' onerror='888'>
- 可以看到当输入测试playload时,控制台输出了几串数据。
- 我们来对输出是数据进行分析,首先遍历第一个标签,是一个
<img>
标签,然后便是对img标签中属性进行遍历并删除,遍历完属性之后又开启新一轮的标签遍历,然后对标签中的属性进行遍历并删除。理想很美好,现实很骨感,你看<div>
标签中的数据,这是过滤以后插入<div>
中的数据,但是很显然过滤失败了,四个属性只过滤掉了两个,src
属性和’onerror’属性依然存在,理想状态应该是一个属性都不剩的。这是为什么呢?这个问题的原因和索引有关,我们以python代码为例子进行讲解。
二、相似案例分析1
python源码:
a = [6, 5, 4, 3, 2, 1, 0]
index = 0
for i in a:
print('a['+str(index)+'] = '+str(a[index])+':', a, end='')
print(max(a), end=' = ')
a.remove(max(a))
print(a, end=' --> ')
index = index + 1
print('a[0]='+str(a[0]))
运行结果:
a[0] = 6: [6, 5, 4, 3, 2, 1, 0]-6 = [5, 4, 3, 2, 1, 0] --> a[0]=5
a[1] = 4: [5, 4, 3, 2, 1, 0]-5 = [4, 3, 2, 1, 0] --> a[0]=4
a[2] = 2: [4, 3, 2, 1, 0]-4 = [3, 2, 1, 0] --> a[0]=3
a[3] = 0: [3, 2, 1, 0]-3 = [2, 1, 0] --> a[0]=2
通过观察运行结果,我们发现实际的运行结果与理想的结果出现了差别,理想中的结果应该是将a列表中的所有数据都删除,但是实际的运行结果是并没有都删除,还剩下一部分列表[2, 1, 0]
原因分析:
- 当第一次循环时,参数
i
从列表a
中获取索引为0
的数据,即i = a[0] = 6
,i
获取到了6
这个参数,然后发现列表中最大的值就是 6,下一步便是将6这个参数从a列表中移除,此时a[0]对应的数据变成了5
,完成了第一次循环 - 进行第二次循环,此时的索引在0的基础上加1变成了索引1,对应的数据为
a[1] = 4
,此时再次从a列表中查找最大值,发现最大值为5,然后便是将5移除a列表,此时a列表中a[0]对应的数据变成了4,即a[0] = 4
,完成了第二次循环 - 进行第三次循环,索引在原有的基础上再次加1,此时的索引变成了2,此时
a[2] = 2
,再次从a列表中查找最大值,发现最大值为4,然后便是将4移除a列表,a[0]再次发生变化,a[0] = 3
,完成第三次循环 - 进行第四次循环,索引再次加1变成了3,此时
a[3] = 0
,已经到了a列表的最后一位,这是最后一次循环了,再次从a列表中查找最大值,发现最大值为3,然后便是将3移除a列表,a[0]再次发生变化,a[0] = 2
,完成第四次循环
通过上面的步骤分析不难发现,因为索引每次循环都会在原有的基础上加1,并且因为删除了最大值的原因,索引中会自动填补删除掉的那个最大值所在索引的空缺,由最大值后面的那个值依次进行填补,造成索引一直在增加,但是索引的总数确实一直在减少。
三、相似案例分析2
python源码
a = [6, 5, 4, 3, 2, 1]
for i in list1:
if i == 5:
list1.remove(i)
print(i)
输出结果:
6
5
3
2
1
通过上面的结果我们可以发现在打印出的数据中,缺少了一个值,这个值不是5,而是4。为什么呢?理论而言应该是5消失不见才对,但是这次消失的却是4,我们继续看下面的代码进行分析。
python源码
a = [6, 5, 4, 3, 2, 1]
for i in list1:
if i == 5:
list1.remove(i)
print(list1)
print(i)
print(list1)
输出结果:
6
[6, 4, 3, 2, 1]
5
3
2
1
[6, 4, 3, 2, 1]
我们将删除数据后的列表进行打印,打印出的列表中的数据和我们想象中的数据是完全一样的,那为什么非列表的那部分数据打印出来却是如此诡异呢?
我们来分析代码:
- 第一次循环,
i = a[0] = 6
,i
不等于5,第一次循环结束; - 第二次循环,
i = a[1] = 5
,i == 5
,将5从列表中移除,此时i
参数中存放的数据依旧是5,并没有因为a列表中数据的改变而发生的变化,因为i
中存储的仅仅是5这个数值而已,i
与a列表
并没有什么联系,因此此时a列表中数据的改变对此时的i
没有影响。此时a列表中索引对应的值发生了变化,下一次索引a[2]的值由原本的4,变成了3。 - 第三次循环,
i = a[2] = 3
,此时数值4所对应的位置为a[1],因为索引每次循环完都会自增,所以很遗憾的将4给忽略了。
四、分析漏洞
我们再次查看控制台打印的信息,发现过滤函数删除了第一个属性,然后因为索引的改变导致原本的第二个属性被过滤函数给忽略了,然后再次删除第三个属性,但是又将第四个属性忽略了,原因和上面的两个例子一样,因为索引的改变导致有一部分的属性被忽略。
五、绕过
分析完原理以后就可以进行绕过了,
方法一:
绕过成功!!
playload:
<img aaa='111' src='222' bbb='333' onerror='alert(1)'>
方法二:
除次之外,还可以使用svg标签进行绕过,原理也是一样的,第一个属性a被删除,第二个属性onload被忽略。通过这个过滤函数删除一下不需要的属性,留下有用的属性,绕过成功。
绕过成功!!
playload:
<svg/a/οnlοad=alert(1)>
边栏推荐
- How to write test cases in software testing technology (2)
- 370万欧元!西班牙iPronics加速可重构光子芯片商用
- MySQL-如何分库分表?一看就懂
- 智能健身动作识别:PP-TinyPose打造AI虚拟健身教练!
- 5. Software testing ----- automated testing
- 【数据分析】基于MATLAB实现SVDD决策边界可视化
- Jincang Database OCCI Migration Guide (5. Program Development Example)
- 【剑指offer】——股票的最大利润
- ldap创建公司组织、人员
- QT添加资源文件、样式表、qss文件使用
猜你喜欢
SPI机制是什么?
服务器在线测速系统源码
2022-08-01 顾宇佳 学习笔记
Go新项目-编译项目的细节(4)
问题记录:jenkins构建时报错The goal you specified requires a project to execute but there is no POM in...
对话框管理器第四章:对话框消息循环
zyMedia系列之播放视频
5. Software testing ----- automated testing
实现统一账号登录,sonarqube集成ldap
IPv4编址;A类、B类、C类、D类、E类IP地址(IP地址;网络地址和主机地址;子网掩码;网关;广播地址;)
随机推荐
ClickHouse卸载、重安装
compose 位移视图
370万欧元!西班牙iPronics加速可重构光子芯片商用
ROS计算图——rqt_graph
Get the first/last day of the current week, month, quarter in MySQL
uniapp中动态修改导航栏标题
Spark SQL简介
zyMedia系列之播放视频
用 SQL 做数据分析的十大常用功能,附面试原题解答!!
leetcode:151. 颠倒字符串中的单词
ClickHouse删除表
leetcode:172. 阶乘后的零
leetcode:162. 寻找峰值
PyTorch installation - error when building a virtual environment in conda before installing PyTorch
Summary of some interviews
【leetcode热题Hot100】——任务调度器
Likou second week wrong questions collection
HCIP第十八天
ClickHouse—入门
JWT入门学习