复现urlcode绕过xss限制的两个demo

1)GET传参直接输出在src中会存在反射性xss漏洞,可以利用复现urlcode编码规则绕过xss限制

2)url编码规则:将需要转码的字符的ASCII码转换为16进制,然后从右向左,取4位(不足4位按照四位处理)每2位做一位,前面加上%,编码成%XY格式
(参考来源于https://www.cnblogs.com/wangzh110/p/4886665.html)

demo复现urlcode绕过xss限制的两个demo_第1张图片

通过分析源代码可知屏幕上打印图片路径来自于GET传递的参数,同时会将接收到参数中的  ()$<>'  等字符均会被替换为空格。<>被过滤,闭合标签写入新标签不可行;&被过滤,使用&#的HTML实体编码不可行,因此使用url编码。 

进行url构造

闭合双引号,逃逸出限制,利用GET传递一个不存在的参数和onerror函数来触发弹窗

127.0.0.1/demo.php?xss=aa" onerror="alert(1)

使用url编码替换(),因为()均会被替换为空格,“(”为%28,“)”为%29

127.0.0.1/demo.php?xss=aa" onerror="alert%281%29

浏览器会在提交数据时先进行一次转码,所以进入函数时%28%29又会被转换为()。我们需要让转码后的数据进入函数时保持在%28%29的状态,而%的url编码是%25

127.0.0.1/demo.php?xss=aa" onerror="alert%25281%2529

显示

在进入时候显示为

127.0.0.1/demo.php?xss=aa" onerror="alert%281%29

浏览器显示转码为

127.0.0.1/demo.php?xss=aa" onerror="alert(1)

发现问题

可是通过观察控制台返回的数据发现%28%29并没有被转换,因为onerror是一个js函数,而在js的语法中不能编码符号

我们可以利用location来绕过这一限制, location会将等号右边的所有值变成字符串变量,而变量在js中可以编码,相应的"alert()“替换为JavaScript的一个伪协议"javascript:alert()”,于是复现urlcode绕过xss限制的两个demo_第2张图片

demo1复现urlcode绕过xss限制的两个demo_第3张图片

多了对script、alert的关键字限制 ,由于location会将等号右边的值转化为字符串,因此可以利用字符串可拼接的特性绕过关键字限制。

只有字母和数字[0-9a-zA-Z]、一些特殊符号“$-_.+!*'(),”[不包括双引号]、以及某些保留字,才可以不经过编码直接用于url。urlcode不识别加号,所以需要将+转化为%2b,这样在进入时才会被转换为+,返回时正确拼接。

进行url构造

127.0.0.1/demo1.php?xss=aa" onerror=location="javas"%2b"cript:a"%2b"lert%25281%2529

 复现urlcode绕过xss限制的两个demo_第4张图片

xss分类

最常见的几种分类:反射型(非持久型)XSS存储型(持久型)XSSDOM型XSS

复现urlcode绕过xss限制的两个demo_第5张图片

 复现urlcode绕过xss限制的两个demo_第6张图片

 

你可能感兴趣的:(安全,web安全)