无须字母构建XSS向量


Oct 16 2015

无须字母构建XSS向量

首页 » 渗透测试 » 无须字母构建XSS向量   

要求

之前我在玩一个XSS游戏的时候突然有了些想法,本着分享的原则,于是便有了这篇文章。在此,我将分享一个此前没有接触过的一个XSS攻击向量

相同水平的前提下,在攻击向量中不使用任何字母,且必须调用alert(1)。

闲话少说,看这里:

""[(!1+"")[3]+(!0+"")[2]+(''+{})[2]][(''+{})[5]+(''+{})[1]+((""[(!1+"")[3]+(!0+"")[2]+(''+{})[2]])+"")[2]+(!1+'')[3]+(!0+'')[0]+(!0+'')[1]+(!0+'')[2]+(''+{})[5]+(!0+'')[0]+(''+{})[1]+(!0+'')[1]](((!1+"")[1]+(!1+"")[2]+(!0+"")[3]+(!0+"")[1]+(!0+"")[0])+"(1)")()

真是一团糟,我们到底做了些什么呢?接下来容我慢慢给大家道来。

分析

首先从空字符串开始,接下来我们访问括号而不是我们熟悉的点符号的属性。

请注意,在接下来的一分钟我们将构建字符串,不会用到点符号构造字符串名的对象属性,现在切换到括号。

现在我们访问的是什么属性?下面这个就是“字符串”

(!1+"")[3]+(!0+"")[2]+(''+{})[2]

接下来从!1(false)开始,将“”添加到一个non-String值中是一个快速且直接的方法,所以(!1+””)我们得到false

将字符带入索引3中的“false”(结果切好是s),在(!0+””)[2]或者“true”[2]再次尝试,你会得到字母u。最后将字符带入索引2的字符串“[object Object]”中,你会得到字母b。

不使用任何字母,构造一个字符串来访问空字符串对象的“sub”属性,然而sub不仅仅是一个属性,它还是一个函数!

此时此刻,你可能会认为我接下来会通过调用String.sub函数破坏过滤。或许这么做也行,但是我选择更加有深度的做法,函数有什么内置属性?如何构造函数?

如果你打开一个JavaScript控制台,键入“”[“sub”][“constructor”],你看到了什么?为什么得到了Function()函数!似乎我们有事情干了…

给你点提示:这其中有n

((""[(!1+"")[3]+(!0+"")[2]+(''+{})[2]])+"")[2]

我们有熟悉的“”[“sub”]:

((""["sub"])+"")[2]

向其中增加“”,得到function sub() { [native code] }。将字符带入索引2得到字母n

总结

我们现在得到了相当于Function()“”[“sub”][“constructor”],调用它我们就可以定义一个函数了。当我们尝试调用alert(1)时,就需要连接更多的“true”和“false”来构建alert字符串,其后在加上+”(1)”

现在我们调用Function(“alert(1)”),大功告成,现在只需一个调用,返回一个匿名函数就可以实现弹出。

// empty string "" // ["sub"] [(!1+"")[3]+(!0+"")[2]+(''+{})[2]] // ["constructor"] [(''+{})[5]+(''+{})[1]+((""[(!1+"")[3]+(!0+"")[2]+(''+{})[2]])+"")[2]+(!1+'')[3]+(!0+'')[0]+(!0+'')[1]+(!0+'')[2]+(''+{})[5]+(!0+'')[0]+(''+{})[1]+(!0+'')[1]] // ("alert(1)") (((!1+"")[1]+(!1+"")[2]+(!0+"")[3]+(!0+"")[1]+(!0+"")[0])+"(1)") // call anonymous function returned by Function() ()

本文最开始的Function(“alert(1)”)()确实十分混乱,不使用任何可识别的字符串确实很难辨识。你可以在地址栏键入“javascript:”复制粘贴上面的代码点击回车键进行测试。

我喜欢你能够喜欢JavaScript语言中这种十分隐晦的表达方式,Happy hacking!

* 参考来源:inventropy,编译/FB小编鸢尾,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

如果您喜欢本博客,欢迎点击图片定订阅到邮箱填写您的邮件地址,订阅我们的精彩内容:

正文部分到此结束

文章标签:这篇文章木有标签

版权声明:若无特殊注明,本文皆为( mOon )原创,转载请保留文章出处。

也许喜欢: «PHPYUN最新版任意密码暴力重置(需爆破6位数) | XSS盲打思路1:jQuery我爱你»

你肿么看?

你还可以输入 250/250 个字

 微笑 大笑 拽 大哭 亲亲 流汗 喷血 奸笑 囧 不爽 晕 示爱 害羞 吃惊 惊叹 爱你 吓死了 呵呵

评论信息框

这篇文章还没有收到评论,赶紧来抢沙发吧~