DOM破坏绕过XSSfilter例题

目录

一、什么是DOM破坏

 二、例题1

​编辑 三、多层关系

1.Collection集合方式

2.标签关系

四、例题2

一、什么是DOM破坏

DOM破坏（DOM Clobbering）指的是对网页上的DOM结构进行不当的修改，导致页面行为异常、性能问题、安全风险或其他不良影响的情况。

就是⼀种将 HTML 代码注⼊⻚⾯中以操纵 DOM 并最终更改页面上 JavaScript 行为的技术

这里我们举一些例子就能更好地解释

 

可以看到打印的结果如下

通过打印标签中的id或者name属性值，我们获取到了整个标签

从中我们也发现了规律，直接打印x，y不管是id还是name都可以打印出来

而通过document来获取x，y只能打印出name属性的标签

window和直接打印的结果是一样的，都可以打印

 

下面这个例子可以看到cookie开始是空值，然后创建了一个div元素

在div里面添加了标签，然后添加到body里面去

这时候再打印cookie，发现变成了

这个例子成功地让本来为空值的cookie有了值，而且是我们可以控制的
 

然而得到一个标签对象并不是我们想要的，有些函数的参数并不是一个对象，而是字符串

这就需要函数在调用自己时，自己本身有一个ToString函数能够转换为字符串，然后让函数执行

所以我们需要一个自身拥有ToString函数的标签，而不是继承父类Object的ToString函数

 

 

可以看到一个对象调用父类的toString函数就会返回[object object]，所以我们需要一个本身有toString函数的标签

通过下面的脚本过滤出了自身拥有toString函数的标签

HTMLAreaElement()和HTMLAnchorElement()，也就是和<a>标签</p> <p>所以这两个标签我们可以利用<br><img alt="" height="407" src="https://1000bd.com/contentImg/2024/04/09/ac4900dd334be5b5.png" ></p> <h2 id="%C2%A0%E4%BA%8C%E3%80%81%E4%BE%8B%E9%A2%981"><a name="t1"></a> 二、例题1</h2> <p> </p> <p>然后我们来看一道例题Ok, Boomer. | <a href="https://so.csdn.net/so/search?q=XSS&spm=1001.2101.3001.7020" target="_blank" class="hl hl-1" data-report-view="{"spm":"1001.2101.3001.7020","dest":"https://so.csdn.net/so/search?q=XSS&spm=1001.2101.3001.7020","extra":"{\"searchword\":\"XSS\"}"}" data-report-click="{"spm":"1001.2101.3001.7020","dest":"https://so.csdn.net/so/search?q=XSS&spm=1001.2101.3001.7020","extra":"{\"searchword\":\"XSS\"}"}" data-tit="XSS" data-pretit="xss">XSS</a> Warmups</p> <p>XSS Game - Ok, Boomer | PwnFunction</p> <p>这道题通过get参数将内容写入h2标签内，而且有过滤框架DOMPurify</p> <p>这个过滤框架由安全团队cure53开发，以我们的技术很难绕过</p> <p>但是注意setTimeout函数内的ok参数</p> <p>这里的JS代码是没有任何关于ok参数的定义的，所以我们可以使用DOM破坏<br><br><img alt="" height="575" src="https://1000bd.com/contentImg/2024/04/09/714ed28fec065b46.png" ></p> <p> 构造ok参数，因为setTimeout函数执行字符串，所以需要用到<a>或者<textarea>标签</p> <pre data-index="0" class="set-code-show" name="code"><code class="hljs language-cobol"><ol class="hljs-ln" style="width:100%"><li><div class="hljs-ln-numbers"><div class="hljs-ln-line hljs-ln-n" data-line-number="1"></div></div><div class="hljs-ln-code"><div class="hljs-ln-line">payload:</div></div></li><li><div class="hljs-ln-numbers"><div class="hljs-ln-line hljs-ln-n" data-line-number="2"></div></div><div class="hljs-ln-code"><div class="hljs-ln-line"> </div></div></li><li><div class="hljs-ln-numbers"><div class="hljs-ln-line hljs-ln-n" data-line-number="3"></div></div><div class="hljs-ln-code"><div class="hljs-ln-line"><span class="hljs-operator"><</span>a id<span class="hljs-operator">=</span>ok href<span class="hljs-operator">=</span><span class="hljs-string">"tel:alert(1)"</span><span class="hljs-operator">></span>a<span class="hljs-operator"><</span><span class="hljs-operator">/</span>a<span class="hljs-operator">></span></div></div></li></ol></code><div class="hljs-button signin active" data-title="登录复制" data-report-click="{"spm":"1001.2101.3001.4334"}" onclick="hljs.signin(event)"></div></pre> <p> 这里因为DOMPurify框架过滤了javascript，所以我们用tel，也可以执行script脚本</p> <h2 id="%E2%80%8B%E7%BC%96%E8%BE%91%C2%A0%E4%B8%89%E3%80%81%E5%A4%9A%E5%B1%82%E5%85%B3%E7%B3%BB"><a name="t2"></a><img alt="" height="585" src="https://1000bd.com/contentImg/2024/04/09/6343bbf6560c473b.png" > 三、多层关系</h2> <p> 如果我们需要获取一个标签下的子标签的内容，怎么获取呢？可以直接x.y吗？</p> <p> <img alt="" height="215" src="https://1000bd.com/contentImg/2024/04/09/9d4b6c8ede9f2eac.png" ></p> <p>显然不行，返回undefined </p> <p><img alt="" height="302" src="https://1000bd.com/contentImg/2024/04/09/42d5a20a2316db26.png" > </p> <h3 id="1.Collection%E9%9B%86%E5%90%88%E6%96%B9%E5%BC%8F"><a name="t3"></a>1.Collection集合方式</h3> <p>既然直接x.y不行，那我们可以用一个集合来做x，然后再获取y</p> <p>此时x指代了一个集合，既有div也有a标签，然后再获取它的y属性</p> <p><img alt="" height="349" src="https://1000bd.com/contentImg/2024/04/09/451bdd9ab8472751.png" > </p> <p> <img alt="" height="98" src="https://1000bd.com/contentImg/2024/04/09/d82c628e1d4ac995.png" ></p> <h3 id="2.%E6%A0%87%E7%AD%BE%E5%85%B3%E7%B3%BB"><a name="t4"></a>2.标签关系</h3> <p><br> 要想知道哪些标签能直接调用x.y，可以通过一段代码来获取，但代码有点长，就直接说结果了</p> <p>form---button<br> from---fieldset<br> from---img<br> from---image<br> from---input<br> from---object<br> from---output<br> from---select<br> from---textarea<br> 这九种组合可以直接调用x.y，来获取子标签内容</p> <p>比如<br><img alt="" height="145" src="https://1000bd.com/contentImg/2024/04/09/99993e06bea054a3.png" ></p> <p> <img alt="" height="273" src="https://1000bd.com/contentImg/2024/04/09/4bc2af4d21981193.png" ></p> <p> </p> <p>3.三层标签如何获取<br> 如果有三层标签，就需要要⽤到以上两种技巧来构建了</p> <p>先分析x.y，x是一个集合，然后获取y，利用了第一种方法--集合方式，获取了第一个form标签</p> <p>然后x.y.z，因为form和output标签存在关系，可以直接调用y.z，利用了第二种方法--标签关系</p> <p>最后x.y.z.value就成功拿到output标签内的内容<br><img alt="" height="182" src="https://1000bd.com/contentImg/2024/04/09/a47666ff4ea69175.png" ></p> <p><img alt="" height="208" src="https://1000bd.com/contentImg/2024/04/09/9342f4030bcf8a45.png" > </p> <h2 id="%E5%9B%9B%E3%80%81%E4%BE%8B%E9%A2%982"><a name="t5"></a>四、例题2</h2> <p><br> 首先审计代码，data为URL后的hash值，然后创建了一个div标签，把我们输入的hash值放进了div这个标签里面</p> <p>第一个for循环拿出了div元素的所有后代元素，用el表示</p> <p>定义了一个空数组attrs</p> <p>第二个for循环拿出了后代元素的所有属性，用attr表示</p> <p>然后将属性添加到attrs数组里</p> <p>第三个for循环拿出了attrs数组里面的属性，用name表示</p> <p>然后移除掉这个元素的该属性</p> <p>最后将div添加到body里面去</p> <pre data-index="1" class="set-code-hide" name="code"><code class="hljs language-typescript"><ol class="hljs-ln" style="width:100%"><li><div class="hljs-ln-numbers"><div class="hljs-ln-line hljs-ln-n" data-line-number="1"></div></div><div class="hljs-ln-code"><div class="hljs-ln-line"><span class="hljs-keyword">const</span> data = <span class="hljs-built_in">decodeURIComponent</span>(location.<span class="hljs-property">hash</span>.<span class="hljs-title function_">substr</span>(<span class="hljs-number">1</span>));</div></div></li><li><div class="hljs-ln-numbers"><div class="hljs-ln-line hljs-ln-n" data-line-number="2"></div></div><div class="hljs-ln-code"><div class="hljs-ln-line"><span class="hljs-keyword">const</span> root = <span class="hljs-variable language_">document</span>.<span class="hljs-title function_">createElement</span>(<span class="hljs-string">'div'</span>);</div></div></li><li><div class="hljs-ln-numbers"><div class="hljs-ln-line hljs-ln-n" data-line-number="3"></div></div><div class="hljs-ln-code"><div class="hljs-ln-line">root.<span class="hljs-property">innerHTML</span> = data;</div></div></li><li><div class="hljs-ln-numbers"><div class="hljs-ln-line hljs-ln-n" data-line-number="4"></div></div><div class="hljs-ln-code"><div class="hljs-ln-line"> </div></div></li><li><div class="hljs-ln-numbers"><div class="hljs-ln-line hljs-ln-n" data-line-number="5"></div></div><div class="hljs-ln-code"><div class="hljs-ln-line"><span class="hljs-comment">// 这里模拟了XSS过滤的过程，方法是移除所有属性</span></div></div></li><li><div class="hljs-ln-numbers"><div class="hljs-ln-line hljs-ln-n" data-line-number="6"></div></div><div class="hljs-ln-code"><div class="hljs-ln-line"><span class="hljs-keyword">for</span> (<span class="hljs-keyword">let</span> el <span class="hljs-keyword">of</span> root.<span class="hljs-title function_">querySelectorAll</span>(<span class="hljs-string">'*'</span>)) {</div></div></li><li><div class="hljs-ln-numbers"><div class="hljs-ln-line hljs-ln-n" data-line-number="7"></div></div><div class="hljs-ln-code"><div class="hljs-ln-line"> <span class="hljs-keyword">let</span> attrs = [];</div></div></li><li><div class="hljs-ln-numbers"><div class="hljs-ln-line hljs-ln-n" data-line-number="8"></div></div><div class="hljs-ln-code"><div class="hljs-ln-line"> <span class="hljs-keyword">for</span> (<span class="hljs-keyword">let</span> attr <span class="hljs-keyword">of</span> el.<span class="hljs-property">attributes</span>) {</div></div></li><li><div class="hljs-ln-numbers"><div class="hljs-ln-line hljs-ln-n" data-line-number="9"></div></div><div class="hljs-ln-code"><div class="hljs-ln-line"> attrs.<span class="hljs-title function_">push</span>(attr.<span class="hljs-property">name</span>);</div></div></li><li><div class="hljs-ln-numbers"><div class="hljs-ln-line hljs-ln-n" data-line-number="10"></div></div><div class="hljs-ln-code"><div class="hljs-ln-line"> }</div></div></li><li><div class="hljs-ln-numbers"><div class="hljs-ln-line hljs-ln-n" data-line-number="11"></div></div><div class="hljs-ln-code"><div class="hljs-ln-line"> <span class="hljs-keyword">for</span> (<span class="hljs-keyword">let</span> name <span class="hljs-keyword">of</span> attrs) {</div></div></li><li><div class="hljs-ln-numbers"><div class="hljs-ln-line hljs-ln-n" data-line-number="12"></div></div><div class="hljs-ln-code"><div class="hljs-ln-line"> el.<span class="hljs-title function_">removeAttribute</span>(name);</div></div></li><li><div class="hljs-ln-numbers"><div class="hljs-ln-line hljs-ln-n" data-line-number="13"></div></div><div class="hljs-ln-code"><div class="hljs-ln-line"> }</div></div></li><li><div class="hljs-ln-numbers"><div class="hljs-ln-line hljs-ln-n" data-line-number="14"></div></div><div class="hljs-ln-code"><div class="hljs-ln-line">}</div></div></li><li><div class="hljs-ln-numbers"><div class="hljs-ln-line hljs-ln-n" data-line-number="15"></div></div><div class="hljs-ln-code"><div class="hljs-ln-line"> </div></div></li><li><div class="hljs-ln-numbers"><div class="hljs-ln-line hljs-ln-n" data-line-number="16"></div></div><div class="hljs-ln-code"><div class="hljs-ln-line"><span class="hljs-variable language_">document</span>.<span class="hljs-property">body</span>.<span class="hljs-title function_">appendChild</span>(root); </div></div></li></ol></code><div class="hide-preCode-box"><span class="hide-preCode-bt" data-report-view="{"spm":"1001.2101.3001.7365"}"><img class="look-more-preCode contentImg-no-view" src="https://1000bd.com/contentImg/2022/06/27/191644837.png" alt="" title=""></span></div><div class="hljs-button signin active" data-title="登录复制" data-report-click="{"spm":"1001.2101.3001.4334"}" onclick="hljs.signin(event)"></div></pre> <p>可见这道例题是移除掉我们输入标签的所有属性</p> <p>既然不能有属性，那直接输入<script>alert(1)</script>不就行了吗</p> <p>答案是不可以的，因为innerHTML考虑到安全问题将script过滤掉了</p> <p>这道题可以使用DOM破坏和CSS来触发XSS</p> <p>直接来看payload</p> <pre data-index="2" class="set-code-show" name="code"><code class="hljs language-cobol"> <span class="hljs-operator"><</span>style<span class="hljs-operator">></span>@keyframes x{}<span class="hljs-operator"><</span><span class="hljs-operator">/</span>style<span class="hljs-operator">></span><span class="hljs-operator"><</span>form style<span class="hljs-operator">=</span><span class="hljs-string">"animation-name:x"</span> onanimationstart<span class="hljs-operator">=</span><span class="hljs-string">"alert(1)"</span><span class="hljs-operator">></span><span class="hljs-operator"><</span><span class="hljs-keyword">input</span> id<span class="hljs-operator">=</span>attributes<span class="hljs-operator">></span><span class="hljs-operator"><</span><span class="hljs-keyword">input</span> id<span class="hljs-operator">=</span>attributes<span class="hljs-operator">></span><span class="hljs-operator"><</span><span class="hljs-operator">/</span>form<span class="hljs-operator">></span></code><div class="hljs-button signin active" data-title="登录复制" data-report-click="{"spm":"1001.2101.3001.4334"}" onclick="hljs.signin(event)"></div></pre> <p> </p> <p>首先定义了一个CSS动画@keyframes x{}，然后form表单里面调用这个样式</p> <p>然后属性onanimationstart执行alert，意思是当animation动画开始时执行alert</p> <p>CSS样式我已经忘得差不多了，但是大概是这样一个意思</p> <p>我们再看后面的内容，一个form表单内包含两个id属性为attributes的input标签</p> <p>看到这个id属性值应该能猜到这是什么作用了，没错，它就是用来破坏el.attributes属性的</p> <p>上面我们说了，form和input标签是由关系的，可以直接调用x.y</p> <p>所以代码中的el.attributes正好是我们的input标签，那为什么不用一个input标签，而是两个呢？</p> <p>因为在for循环中el.attributes需要是可迭代的，而一个input标签只是一个对象，所以是不可迭代的</p> <p>报错如下：<br><img alt="" height="136" src="https://1000bd.com/contentImg/2024/04/09/40df0ff8cda64261.png" ></p> <p>所以我们需要两个input标签来组成一个集合，这时，集合就是可迭代的了</p> <p>根据代码，首先到style标签，没有属性可删，然后到form标签</p> <p>因为迭代对象变成了input标签集合，此时attr就变成了undefined，所以attr.name也就不存在</p> <p>此时attrs数组获取不到form标签里的任何属性，自然下面的for循环也不会删除form表单的任何属性<br><img alt="" height="443" src="https://1000bd.com/contentImg/2024/04/09/74d13adab7d42f1a.png" ></p> <p> </p> <p>最后到我们的两个input标签，因为此时目的已经达到，删除了属性也无妨</p> <p>最后成功绕过</p> <p><img alt="" height="268" src="https://1000bd.com/contentImg/2024/04/09/5cd48a3b30b8559a.png" ></p> </div> </div> </li> <li class="list-group-item ul-li"> <b>相关阅读:</b><br> <nobr> <a href="/Article/Index/1203424">成功实施企业内容管理（ECM）的 5 个技巧</a> <br /> <a href="/Article/Index/1137644">Spring错误排查-No ServletContext set</a> <br /> <a href="/Article/Index/655468">P6773 [NOI2020] 命运（dp、线段树合并）</a> <br /> <a href="/Article/Index/1146426">第40讲：MySQL索引的语法以及基本使用</a> <br /> <a href="/Article/Index/1104482">Impala查找指定字符位置instr</a> <br /> <a href="/Article/Index/1375015">【java学习—七】对象的实例化过程（33）</a> <br /> <a href="/Article/Index/799827">ARM Cortex-M 系列 MCU 芯片选型</a> <br /> <a href="/Article/Index/1410940">291_C++_发送json数据给对于的URL【JSON数据交互】</a> <br /> <a href="/Article/Index/1121103">【云原生】玩转docker实战（二）：单机环境的容器编排工具docker-compose</a> <br /> <a href="/Article/Index/755977">RPA助你玩转抖音，开启电商运营新引擎</a> <br /> </nobr> </li> <li class="list-group-item from-a mb-2"> 原文地址：https://blog.csdn.net/middlecorn/article/details/132640489 </li> </ul> </div> <div class="col-lg-4 col-sm-12"> <ul class="list-group" style="word-break:break-all;"> <li class="list-group-item ul-li-bg" aria-current="true"> 最新文章 </li> <li class="list-group-item ul-li"> <nobr> <a href="/Article/Index/1484446">攻防演习之三天拿下官网站群</a> <br /> <a href="/Article/Index/1515268">数据安全治理学习——前期安全规划和安全管理体系建设</a> <br /> <a href="/Article/Index/1759065">企业安全 | 企业内一次钓鱼演练准备过程</a> <br /> <a href="/Article/Index/1485036">内网渗透测试 | Kerberos协议及其部分攻击手法</a> <br /> <a href="/Article/Index/1877332">0day的产生 | 不懂代码的"代码审计"</a> <br /> <a href="/Article/Index/1887576">安装scrcpy-client模块av模块异常，环境问题解决方案</a> <br /> <a href="/Article/Index/1887578">leetcode hot100【LeetCode 279. 完全平方数】java实现</a> <br /> <a href="/Article/Index/1887512">OpenWrt下安装Mosquitto</a> <br /> <a href="/Article/Index/1887520">AnatoMask论文汇总</a> <br /> <a href="/Article/Index/1887496">【AI日记】24.11.01 LangChain、openai api和github copilot</a> <br /> </nobr> </li> </ul> <ul class="list-group pt-2" style="word-break:break-all;"> <li class="list-group-item ul-li-bg" aria-current="true"> 热门文章 </li> <li class="list-group-item ul-li"> <nobr> <a href="/Article/Index/888177">十款代码表白小特效 一个比一个浪漫 赶紧收藏起来吧！！！</a> <br /> <a href="/Article/Index/797680">奉劝各位学弟学妹们，该打造你的技术影响力了！</a> <br /> <a href="/Article/Index/888183">五年了，我在 CSDN 的两个一百万。</a> <br /> <a href="/Article/Index/888179">Java俄罗斯方块，老程序员花了一个周末，连接中学年代！</a> <br /> <a href="/Article/Index/797730">面试官都震惊，你这网络基础可以啊！</a> <br /> <a href="/Article/Index/797725">你真的会用百度吗？我不信 — 那些不为人知的搜索引擎语法</a> <br /> <a href="/Article/Index/797702">心情不好的时候，用 Python 画棵樱花树送给自己吧</a> <br /> <a href="/Article/Index/797709">通宵一晚做出来的一款类似CS的第一人称射击游戏Demo！原来做游戏也不是很难，连憨憨学妹都学会了！</a> <br /> <a href="/Article/Index/797716">13 万字 C 语言从入门到精通保姆级教程2021 年版</a> <br /> <a href="/Article/Index/888192">10行代码集2000张美女图，Python爬虫120例，再上征途</a> <br /> </nobr> </li> </ul> </div> </div> </div> <!-- 主体 --> <!--body结束--> <!--这里是footer模板--> <!--footer--> <nav class="navbar navbar-inverse navbar-fixed-bottom"> <div class="container"> <div class="row"> <div class="col-md-12"> <div class="text-muted center foot-height"> Copyright © 2022 侵权请联系<a href="mailto:2656653265@qq.com">2656653265@qq.com</a>    <a href="https://beian.miit.gov.cn/" target="_blank">京ICP备2022015340号-1</a> </div> <div style="width:300px;margin:0 auto; padding:0px 5px;"> <a href="/regex.html">正则表达式工具</a> <a href="/cron.html">cron表达式工具</a> <a href="/pwdcreator.html">密码生成工具</a> </div> <div style="width:300px;margin:0 auto; padding:5px 0;"> <a target="_blank" href="http://www.beian.gov.cn/portal/registerSystemInfo?recordcode=11010502049817" style="display:inline-block;text-decoration:none;height:20px;line-height:20px;"> <img src="" style="float:left;" /><p style="float:left;height:20px;line-height:20px;margin: 0px 0px 0px 5px; color:#939393;">京公网安备 11010502049817号</p></a> </div> </div> </div> </div> </nav> <!--footer--> <!--footer模板结束--> <script src="/js/plugins/jquery/jquery.js"></script> <script src="/js/bootstrap.min.js"></script> <!--这里是scripts模板--> <!--scripts模板结束--> </body> </html>