XSS编码剖析

2014-09-15 +17 1031187人围观 ,发现 38 个不明物体 WEB安全

0×00 引言

很多不了解htmljs编码的童鞋挖掘xss漏洞时,都是一顿乱插,姿势对了,就能获得快感,姿势不对,就么反应。另外在freebuf里,有很多文章介绍过跨站编码,有兴趣的,可以搜索下。

本文介绍常见的编码方法,能力不足,如有其他意见,请指正。

0×01 常用编码

URL编码:一个百分号和该字符的ASCII编码所对应的2位十六进制数字,例如“/”的URL编码为%2F(一般大写,但不强求)

HTML实体编码:

命名实体:&开头,分号结尾的,例如“<”的编码是“&lt;

字符编码:十进制、十六进制ASCII码或unicode字符编码,样式为“&#数值;,例如“<”可以编码为“&#060;”和“&#x3c;

JS编码:js提供了四种字符编码的策略,

1、三个八进制数字,如果不够个数,前面补0,例如“e”编码为“\145”
2、两个十六进制数字,如果不够个数,前面补0,例如“e”编码为“\x65”
3、四个十六进制数字,如果不够个数,前面补0,例如“e”编码为“\u0065”
4、对于一些控制字符,使用特殊的C类型的转义风格(例如\n和\r)


CSS编码:用一个反斜线(\)后面跟1~6位的十六进制数字,例如e可以编码为“\65”或“65”或“00065”

复合编码:

所谓复合编码,也就是说输出的内容输出在多个环境中,例如

<td onclick=”openUrl(add.do?userName=’<%=value%>’);”>11</td>

value的内容首先出现在一个URL中,这个URL在一段javascript总,而javascript代码又是html的一部分。所以解码的顺序就是HTML解码–>js解码–>url解码,那么正确的编码顺序就应该是url编码–>js编码–>html编码。

0×02基本概念

HTML解析器能识别在文本节点和参数值里的实体编码,并在内存里创建文档树的表现形式时,透明的对这些编码进行解码。

例如以下两种写法的功能是一样的(忽略里面的空格。。鄙视下这个编辑器):

<img src="http://www.example.com">
<img src="ht&# x74;p&#x3a;//www.example.com">

而下面的两个例子,实际上却没法真的加载图片,因为这种编码干扰了标签本身的结构。

<img src&# x3d;"http://www.example.com">
<img s&# x72;c="http://www.example.com">

下面了解下浏览器解析HTML的步骤:浏览器收到从服务器发送来的HTML内容,会从头解析,当遇到<script></script>时,会调用javascript脚本解析器解析javascript,并执行脚本,然后继续解析其他的HTML内容,对于一些需要触发才能执行的事件,当触发事件发送时,脚本解析器才会解析其中的脚本,在事件触发之前,它是HTML的一部分。

0×03实例剖析

3.1 HTML–>js编码

代码如下:

<?php
 
function htmlencode($str){
   if(empty($str)) return;
   if($str == "") return;
 
   $str = str_ireplace("<","",$str);
   $str = str_ireplace(">","",$str);
   $str = str_ireplace("script","",$str);
   $str = str_ireplace("img","",$str);
   $str = str_ireplace(":","",$str);
   $str = str_ireplace("javascript","",$str);
 
   return $str;
}
 
if(!array_key_exists ("name",$_GET) || $_GET['name'] == NULL || $_GET['name'] == ''){
 
 $isempty = true;
 
} else {
             
 $html .= '<pre>';
 $html .= '<a onclick=" ' .htmlencode($_GET['name']).'">click this url</a>';
 $html .= '</pre>';
 
}
?>
 
<html>
<script>
 
</script>
</html>

可以看到,过滤了尖角号,script等标签,当输入javascript:alert(/xss/)时,系统返回的为:

我们现在分析一下$name的环境,$name先在html环境中,然后在javascript环境(onclick事件)中,浏览器解析的顺序是html解码–>js解码,所以我们将javascript:alert(/xss/)进行html编码,从而可以绕过限制(当然此处代码还有其他好几种绕过的方式,此处只是简单说明编码问题),因为在javascript解码时,$name已经被html解码了,那么处在javascript中的$name变量就是正常的js代码。

源代码为:

3.2 js–>html编码

代码如下:

<?php
 
if(!array_key_exists ("name",$_GET) || $_GET['name'] == NULL || $_GET['name'] == ''){
 
   $isempty = true;
 
} else {
   $value = $_GET['name'];
   $html .= '<pre>';
   $html .= "Your Name is :
       <div id='a'></div>
       <script>
           document.getElementById('a').innerHTML= "."'".htmlspecialchars($value)."'".";
       </script>
 ";
   $html .= '</pre>';
 
}
 
?>

可以看到,$value使用了htmlspecialchars进行了编码,htmlspecialchars会对&<>进行html编码,当输入<img src=1 onerror=alert(/xss/)>时,系统不会弹框,因为特殊符号被html编码了。

我们现在分析下$value的环境,$value先在javascript中,然后在html环境中(通过innerHTML操作html),所以浏览器解码顺序为js解码–>html解码,所以我们可以对$value进行js编码,绕过htmlspecialchars限制,因为$value在html解码时,已经是正常的html代码了。

3.3 URL编码

此外,如果&等符号被过滤的话,可以对其进行URL编码,然后测试。

0×04 Tips

1、DOM:只有使用合规的完整闭合的HTML区块对每个innerHTML节点进行赋值,因为这样才不会改变被重写段落之外的文档层级结构。如果格式不对,在重写发生之前输入的数据会先按照规定的语法进行强制转换。

即通过DOM操作HTML时,可以使用<script>alert(/xss/)来代替<script>alert(/xss/)</script>,因为DOM会自动补全。

2、innerHTML只能使用<img src=1onerror=alert(1)>这种方式来触发JS。而不能以<script>alert(1)</script>来触发,因为这种压根不会执行<script>..</script>之间的内容。

这些评论亮了

  • jack (3级) 回复
    都是一顿乱插,姿势对了,就能获得快感,姿势不对,就么反应。
    )18( 亮了
  • anlfi (5级) 回复
    @Black-Hole 
    你是说你要断更了? :smile:
    你的fans都等着呢
    )9( 亮了
  • @ Black-Hole  黑客部正式曝光14年黑客史并脱离黑客界
    中国黑客部为了传承中国黑客文化将一下深藏多年分站出售
    国内的90.00后们,我们老了,爱国有限能力有限,时间有限,中国黑阔的未来靠你们了!希望你们也不要忘了中国也有很憧憬的黑客历史回忆,那是多么惊心动魄,多么纯净的原始黑客文化。
    黑客部旗下老站(演示认证后交易丨不懂的小白勿扰,希望有人能够运营下去):
    www.hack-gov.cn(中国黑客部) 整站带数据(1200)
    www.ywhack.com (中国黑客联盟) 整站带数据(1000)
    www.cqhacker.org (乌云程序) 整站带数据(900)
    www.milw0rm.cn (知名国外黑客论坛) 整站带数据(900)
    www.overarea.com (华夏联盟程序)整站带数据 (550)
    www.freebuf.com (关注极客祖宗黑客模板)带数据 (250)
    黑客部出售(可出租)旗下域名:
    www.juntuan.net 第八军团正牌域名可查询已13年 (10000)
    www.cnxhacker.com 中国X黑客小组正牌域名13年 (8000)
    www.cnhacker.net 中国黑客联盟老牌正版域名 (20000)
    黑客部旗下黑客程序出售:
    黑基网,黑白网络,20CN,绿色兵团,非安全中国,被黑站点统计,黑客同盟,黑客动画吧。
    黑客部注明(黑客部经历14年历史本次将国内所有老黑客站点程序全部出售)
    中国黑客部担保 演示认证后交易 请勿相信骗子上当 唯一QQ:1414303472
    )8( 亮了
  • Black-Hole (6级) FreeBuf专栏作者 回复
    我的xss系列,看来不用写编码一章了。
    )8( 亮了
  • Black-Hole (6级) FreeBuf专栏作者 回复
    @anlfi  不会断更的,过几天第三系列会放出,编码一章,视情况而定吧
    )7( 亮了
发表评论

已有 38 条评论

取消
Loading...
css.php