SRC

6. xss_fuzz+wafbypass

Posted by HWHXY Blog on January 14, 2019

前言

该篇记录为记录实际的src过程第6篇小文章,内容为某网站的xssbypass。

特征

输入点为callback,全网漫游找到的,waf很强。很多标签都无法使用,<script> frame body,style,只要出现了就直接触发waf.能够通过的有a标签和img标签,这里尝试用a标签bypass,发现对javascript:,这种形式进行了waf,想用编码绕过,发现对&#进行了waf,ok换一种unicode编码,发现对;进行了waf。wow,ok,卡住了。

事件触发的fuzz

那就考虑用事件触发,也就是on*这样的属性,可是基本上手试的所有的都被waf了。不行,收集一波大概有多少个on*,暴力fuzz一边,我就不信开发把所有的情况给考虑到了,收集了一百多个,ok好像还不是很够,Camaro大佬说有150多个,没关系,fuzz再说,不够再想办法。
ok,好像还是有漏网之鱼啊,其他的就不说了,直接说最后怎么过的吧,用的onwheel事件。 onwheel事件在元素上下滚动触发,好说,直接用img,放一个很大的图就ok。 最后的payload: <img src=x width=1000 height=1000 onwheel=alert.call(null,1)> 这里还有个小tip,在alert()这种形式被过滤的情况下, 可以使用上述的形式绕过。

后话

camaro大佬吹爆!