XSS 挑战

前言

看到一篇有趣的帖子，是Gareth Heyes分享的一个有趣的xss 挑战，帖子的内容如下：

<script>
function solve(obj, property){
    if(typeof obj === 'undefined') {
        obj[property].innerHTML = '<img src=1 onerror="alert(`You win`)">';
    } else {
        alert('You must try harder than that.');
    }
}
</script>
<div id=x></div>

挑战

目的

需要绕过限制，触发弹窗

初步判断

在这个挑战中有一个接收器--inner HTML，

innerHTML 属性用于设置或返回指定标签之间的 HTML 内容。简单理解就是获取对象的内容或者向对象插入内容，

当obj的类型为定义时，才能进入if 判断，我们才能制定属性的innerHTML设置为xss负载

ok，到这一步大概思路就有了，如何传入一个(obj，property),才能弹窗

寻找类型是undefined的对象

console.log(typeof 42);
// expected output: "number"

console.log(typeof 'blubber');
// expected output: "string"

console.log(typeof true);
// expected output: "boolean"

console.log(typeof undeclaredVariable);
// expected output: "undefined"

var arr = new Array(); // Array类型
console.log(typeof arr);
var nul =null; // 特殊地
console.log(typeof nul);
var  obj = new Object(); // Object 类型
console.log(typeof obj);
var arr2 = [1,32]; // 字面数字的数组
console.log(typeof arr2);
function Person(name){// 自定义对象
    this.name =name;
}
var stu = new Person();
console.log(typeof stu);
// expected output: "object"

var fn = function(){};
console.log(typeof fn);
// expected output: "function"

根据typeof的介绍也能了解到typeof的返回值

我继续阅读文档，发现有typeof返回值为undefined的有三种：

typeof undefined === 'undefined';
typeof declaredButUndefinedVariable === 'undefined';
typeof undeclaredVariable === 'undefined';

而这几种都是无法绕过判断的

当我看到后面发现document.all的时候 ，我感觉这可能是突破口

所有的浏览器都有一个暴露的类型undefined的非标准宿主对象--document.all

document.all已经从web标准中删除，但是各大浏览器目前还支持，Document接口有一个只读属性，返回一个HTMLALLCollection，包含页面上的所有元素

在挑战脚本中，绕过了对obj类型的限制，在脚本中，刚好存在一个div标签，我们可以用document.all中的id来访问div

当通过solve函数调用时，idv就具有了通过innerHTML接收器插入的img标签

测试一下

成功了

总结

挑战其实很简单，只要认真的阅读完关于typeof的介绍就可以通过，这也是很多ctf出题人常见的思路，利用一些规范来限制，绕过某些正常逻辑。

本文始发于微信公众号（跟着石头学安全）：XSS 挑战