目录
- XSS游戏-Warmups
- Ma Spaghet!
- Jefff
- Ugandan Knuckles
- Ricardo Milos
- Ah That's Hawt
- Ligma
- Mafia
- Ok, Boomer
- WW3
XSS游戏-Warmups
Ma Spaghet!
1. 尝试注入,输入aaaaaaaa
2. 显示在<h2>标签内
3. 输入标签,添加onmouseover属性值为alert(1337),JS解析运行
Jefff
1. 闭合 “ ,破坏字符串拼接payload
Ugandan Knuckles
- 分析代码使用正则表达式 [<>] 来匹配并移除字符串中的 < 和 > 字符
- 闭合 ” ,使用聚焦 onfocus 执行payload ,添加autoonfocus属性自动聚焦,绕过用户交互
Ricardo Milos
- 直接输入 payload 尝试注入
Ah That’s Hawt
- 分析代码使用正则表达式 /[()]/g来匹配并移除字符串中的( 、` 、) 和 \ 字符
- 使用
- οnerrοr=location=“javascript:alert(1337)”:这是一个 onerror 事件处理程序,它会在图片加载失败时被触发。
location=“javascript:alert(1337)” 试图在 onerror 事件中执行 JavaScript 代码。
location 属性被用于执行 javascript: URL 作为一个脚本。
Ligma
- 分析使用正则表达式 /[A-Za-z0-9]/g 将字符串中的所有字母和数字替换为空字符。
结果是仅保留非字母和非数字字符的部分。例如,如果 balls 的值是 “alert(‘Hello’)”,在清理后将变成 “‘()’”。
- 使用JSFuck将payload转码
- 将转码后的payload转码URL
- 注入payload
Mafia
- 分析slice(0, 50) 用于截取 mafia 字符串的前 50 个字符。这是为了限制处理的数据长度,防止过长的输入
- 使用正则表达式 /['"±!]/gi将字符串中的一些特殊字符(如反引号、单引号、双引号、加号、减号、感叹号、反斜杠、方括号)替换为下划线
_ - 将 mafia 字符串中的 alert 替换为下划线
_ - JSFUCK不能用了
- 大写绕过检测,toLowerCase()还原
- 大写绕过检测,toLowerCase()还原,使用匿名函数执行payload
Ok, Boomer
- DOMPurify.sanitize() 是一个库函数,用于清理并消除输入中的潜在恶意内容,从而防止 XSS 攻击
2. 来到 https://cdnjs.com/libraries/dompurify/2.0.7 查看有哪些过滤
- 浏览器会自动将地址补全,所以需要用协议:地址的格式
3. 可以构造payload
?boomer=<a id=ok href=ftps:alert(1337)>
WW3
<div>
<h4>Meme Code</h4>
<textarea class="form-control" id="meme-code" rows="4"></textarea>
<div id="notify"></div>
</div>
<script>
/* Utils */
const escape = (dirty) => unescape(dirty).replace(/[<>'"=]/g, '');
const memeTemplate = (img, text) => {
return (`<style>@import url('https://fonts.googleapis.com/css?family=Oswald:700&display=swap');`+
`.meme-card{margin:0 auto;width:300px}.meme-card>img{width:300px}`+
`.meme-card>h1{text-align:center;color:#fff;background:black;margin-top:-5px;`+
`position:relative;font-family:Oswald,sans-serif;font-weight:700}</style>`+
`<div class="meme-card"><img src="${img}"><h1>${text}</h1></div>`)
}
const memeGen = (that, notify) => {
if (text && img) {
template = memeTemplate(img, text)
if (notify) {
html = (`<div class="alert alert-warning" role="alert"><b>Meme</b> created from ${DOMPurify.sanitize(text)}</div>`)
}
setTimeout(_ => {
$('#status').remove()
notify ? ($('#notify').html(html)) : ''
$('#meme-code').text(template)
}, 1000)
}
}
</script>
<script>
/* Main */
let notify = false;
let text = new URL(location).searchParams.get('text')
let img = new URL(location).searchParams.get('img')
if (text && img) {
document.write(
`<div class="alert alert-primary" role="alert" id="status">`+
`<img class="circle" src="${escape(img)}" οnlοad="memeGen(this, notify)">`+
`Creating meme... (${DOMPurify.sanitize(text)})</div>`
)
} else {
$('#meme-code').text(memeTemplate('https://i.imgur.com/PdbDexI.jpg', 'When you get that WW3 draft letter'))
}
</script>
- 分析:
从 URL 查询参数中获取 text 和 img 的值。
如果两个参数都存在:
使用 document.write 创建一个 alert 样式的通知,提示正在生成 Meme,并加载图片。
图片加载完成后调用 memeGen 函数来生成 Meme 和显示通知。
如果 text 和 img 参数不存在:
使用默认图片和文本生成 Meme 模板,并将其显示在 textarea 中。
escape函数用于清理输入,去除 URL 编码,并替换掉 <、>、'、" 和 = 等字符
- payload:
?text=<img%20name%3dnotify><style><style%2F><script>alert(1337)%2F%2F&img=https://so2.360tres.com/sdm/420_207_/t01e5b5a11685455ccc.webp
