Dom XSS Challenge

01

—

9行代码，直接告诉你答案，这个XSS触发点是个DOM的，既然是DOM XSS的挑战 那触发点很明显，就是这个window.open方法。

第一行的代码location=location.pathname其实如果你有什么tip可以让pathname也可以控，那就。。是一个xss了

在关键那一行，window.open的第一个参数，一般dom xss就是

window.open("javascript:alert`1`;",'test');

对照这个代码里的，就是我们需要控制this.contentWindow.name，这个变量是指iframe窗体内的name变量。

回到第一行，location这个关键词是可以跳转的，如果我们有办法让浏览器location到我们的网站就好了。因为这个比赛的官方放了一个tip：“//不仅仅是注释符”

接下来我们进入debug状态

我们本着SQL注入的思维，对可控的pathname进行常规测试，注入代码为

https://challenge.intigriti.io/#../../..//xsser.cn/?

这样的话可以满足location.search，然后因为有多个/，pathname可能会认为是/#../../..//xsser.cn/

我们先给18行下断点(图里的18行)

可以看到此时的pathname是"/"，这个其实是没问题的。

代码步进继续debug

此时因为没有对子域名下断点，debug跟不到。。。。直接代码结束也没任何反应。。这就是firefox和chrome下的差异，这道题用chrome分分钟解出，用firefox会很困惑 以为自己的思路有问题。

我们重新debug，并且在firefox下对跳转的域名的代码也debug，在chrome只要在主代码里debug就行了。

我们的思路就是注入代码，让path变量变成/static/4/../..//xsser.cn/?.png，那么iframe里的页面会跳转到我们的域名，因为在浏览器里/static/4/../../被浏览器自动完成了目录跳转，进入2个目录然后通过../跳出来，相当于什么也没进去。

然后//在浏览器里又是使用当前默认的协议的意思，所以这个path就相当于//xsser.cn/?.png，"?"后面是参数，相当于没有，没啥用。所以最后的iframe.src就等于"//xsser.cn/?.png"，于是乎iframe加载了xsser.cn

就这么简单

那么iframe的src是我们可以控的...window.name不就是手到擒来。只要在你的xsser.cn首页加载一段js，设置当前的window.name="javascript:alert`xss`;"

你就可以看到那个可爱的小框框

END