利用索引机制进行绕过

一、过滤机制分析

HTML源码：

DOCTYPE html>
<html lang="en">

<head>
    <meta charset="UTF-8">
    <meta http-equiv="X-UA-Compatible" content="IE=edge">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Documenttitle>
head>
<body>
body>
<script>
    const data = decodeURIComponent(location.hash.substr(1));	
    const root = document.createElement('div');
    root.innerHTML = data;

    // 这里模拟了XSS过滤的过程，方法是移除所有属性
    for (let el of root.querySelectorAll('*')) {
        console.log(el);	//输出此时遍历的标签
        for (let attr of el.attributes) {
            console.log(attr,el.attributes,attr.name);  //这句代码是用来在控制台上输出数据的
            el.removeAttribute(attr.name);	//这句代码用来移除属性。
        }
    }
    document.body.appendChild(root); 
    console.log(root)
script>
html>
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28

源码分析:

• 这段代码通过javascript对输入的内容进行过滤，从
  标签中抓取标签，进行循环遍历，第一层遍历的是标签，第二层遍历的是标签的属性，目的是将标签中所有的属性都移除出去，但是因遍历索引的原因导致并没有达到预期的效果。

测试payload:

<img aaa='111' src='222' bbb='333' onerror='444'><img ccc='555' src='666' ddd='777' onerror='888'>
1

• 可以看到当输入测试playload时，控制台输出了几串数据。
• 我们来对输出是数据进行分析，首先遍历第一个标签，是一个标签，然后便是对img标签中属性进行遍历并删除，遍历完属性之后又开启新一轮的标签遍历，然后对标签中的属性进行遍历并删除。理想很美好，现实很骨感，你看
  标签中的数据，这是过滤以后插入

  中的数据，但是很显然过滤失败了，四个属性只过滤掉了两个，src属性和’onerror’属性依然存在，理想状态应该是一个属性都不剩的。这是为什么呢？这个问题的原因和索引有关，我们以python代码为例子进行讲解。

二、相似案例分析1

python源码：

a = [6, 5, 4, 3, 2, 1, 0]
index = 0

for i in a:
    print('a['+str(index)+'] = '+str(a[index])+':', a, end='')
    print(max(a), end=' = ')
    a.remove(max(a))
    print(a, end=' --> ')
    index = index + 1
    print('a[0]='+str(a[0]))
1
2
3
4
5
6
7
8
9
10

运行结果：

a[0] = 6: [6, 5, 4, 3, 2, 1, 0]-6 = [5, 4, 3, 2, 1, 0] --> a[0]=5
a[1] = 4: [5, 4, 3, 2, 1, 0]-5 = [4, 3, 2, 1, 0] --> a[0]=4
a[2] = 2: [4, 3, 2, 1, 0]-4 = [3, 2, 1, 0] --> a[0]=3
a[3] = 0: [3, 2, 1, 0]-3 = [2, 1, 0] --> a[0]=2
1
2
3
4

通过观察运行结果，我们发现实际的运行结果与理想的结果出现了差别，理想中的结果应该是将a列表中的所有数据都删除，但是实际的运行结果是并没有都删除，还剩下一部分列表[2, 1, 0]

原因分析：

1. 当第一次循环时，参数i从列表a中获取索引为0的数据，即i = a[0] = 6 ，i获取到了6这个参数，然后发现列表中最大的值就是 6,下一步便是将6这个参数从a列表中移除，此时a[0]对应的数据变成了5，完成了第一次循环
2. 进行第二次循环，此时的索引在0的基础上加1变成了索引1，对应的数据为a[1] = 4，此时再次从a列表中查找最大值，发现最大值为5，然后便是将5移除a列表，此时a列表中a[0]对应的数据变成了4，即a[0] = 4，完成了第二次循环
3. 进行第三次循环，索引在原有的基础上再次加1，此时的索引变成了2，此时a[2] = 2，再次从a列表中查找最大值，发现最大值为4，然后便是将4移除a列表，a[0]再次发生变化，a[0] = 3,完成第三次循环
4. 进行第四次循环，索引再次加1变成了3，此时a[3] = 0，已经到了a列表的最后一位，这是最后一次循环了，再次从a列表中查找最大值，发现最大值为3，然后便是将3移除a列表，a[0]再次发生变化，a[0] = 2,完成第四次循环

通过上面的步骤分析不难发现，因为索引每次循环都会在原有的基础上加1，并且因为删除了最大值的原因，索引中会自动填补删除掉的那个最大值所在索引的空缺，由最大值后面的那个值依次进行填补，造成索引一直在增加，但是索引的总数确实一直在减少。

三、相似案例分析2

python源码

a = [6, 5, 4, 3, 2, 1]

for i in list1:
    if i == 5:
        list1.remove(i)
    print(i)
1
2
3
4
5
6

输出结果：

6
5
3
2
1
1
2
3
4
5

通过上面的结果我们可以发现在打印出的数据中，缺少了一个值，这个值不是5，而是4。为什么呢？理论而言应该是5消失不见才对，但是这次消失的却是4，我们继续看下面的代码进行分析。

python源码

a = [6, 5, 4, 3, 2, 1]

for i in list1:
    if i == 5:
        list1.remove(i)
        print(list1)
    print(i)
print(list1)
1
2
3
4
5
6
7
8

输出结果：

6
[6, 4, 3, 2, 1]
5
3
2
1
[6, 4, 3, 2, 1]
1
2
3
4
5
6
7

我们将删除数据后的列表进行打印，打印出的列表中的数据和我们想象中的数据是完全一样的，那为什么非列表的那部分数据打印出来却是如此诡异呢？

我们来分析代码：

• 第一次循环，i = a[0] = 6，i不等于5，第一次循环结束；
• 第二次循环，i = a[1] = 5,i == 5，将5从列表中移除，此时i参数中存放的数据依旧是5，并没有因为a列表中数据的改变而发生的变化，因为i中存储的仅仅是5这个数值而已，i与a列表并没有什么联系，因此此时a列表中数据的改变对此时的i没有影响。此时a列表中索引对应的值发生了变化，下一次索引a[2]的值由原本的4，变成了3。
• 第三次循环，i = a[2] = 3，此时数值4所对应的位置为a[1]，因为索引每次循环完都会自增，所以很遗憾的将4给忽略了。

四、分析漏洞

我们再次查看控制台打印的信息，发现过滤函数删除了第一个属性，然后因为索引的改变导致原本的第二个属性被过滤函数给忽略了，然后再次删除第三个属性，但是又将第四个属性忽略了，原因和上面的两个例子一样，因为索引的改变导致有一部分的属性被忽略。

五、绕过

分析完原理以后就可以进行绕过了，

方法一：

绕过成功！！

playload:

<img aaa='111' src='222' bbb='333' onerror='alert(1)'>
1

方法二：

除次之外，还可以使用svg标签进行绕过,原理也是一样的，第一个属性a被删除，第二个属性onload被忽略。通过这个过滤函数删除一下不需要的属性，留下有用的属性，绕过成功。

绕过成功！！

payload:

1