原题内容:
http://103.238.227.13:10089/
Flag格式:Flag:xxxxxxxxxxxxxxxxxxxxxxxx
题目有点坑啊,注入点都没说明,去群里问的,这题注入点为id(get方式),id的值会进行替换后进入s
补充了这个,好了,继续做题
右键源码
<script> var s=""; document.getElementById('s').innerHTML = s; </script>
结合上述补充,和题目要求
1、请注入一段XSS代码,获取Flag值
2、必须包含alert(_key_),_key_会自动被替换
首先,解释下源码中发现的代码的意思,下面举个例子说明下innerHTML
<a id="baidu"><strong>百度</strong></a> document.getElementById("baidu") 获得 a 这个元素 document.getElementById("baidu") .innerHTML 获得 a 这个元素内的HTML代码(即<strong>百度</strong>) document.getElementById("baidu") .innerHTML = "<em>谷歌</em>" 设置 a 这个元素内的HTML代码, 设置后<strong>百度</strong> 就变为<em>谷歌</em>
搜索document.getElementById('s').innerHTML时发现一个很有趣的问题
如果字符串中拼接的 HTML 标签中有 script 标签,那么该段脚本是无法执行的,这并不是 bug,而是 w3c 的文档规定的
这里推荐一个博客,大家可以前去学习一下
simplify the life by 韩子迟
我们需要的是可以从注入点id进入的方法,所以这里参考其博客的img标签方法,于是构造
http://103.238.227.13:10089/?id=<img src=1 onload=alert(_key_)/>
很遗憾,存在回显
这说明,存在xss filter,我们的传参字符串中存在被屏蔽的词
一般最可能的是alert,但这里题目要求存在alert,顾考虑第二可能点<>
进行了两组尝试,代码和回显如下:
链接
http://103.238.227.13:10089/?id=\
回显
<img src=1 onload=alert(_key_)/>
链接
http://103.238.227.13:10089/?id=\\
回显
\<img src=1 onload=alert(_key_)/\>
很明显了,反义符号对<>不起作用,对本身起作用,这说明阻挡点是<>
注意页面编码utf-8
id传入代码会在s中运行
考虑将<>进行unicode编码,这样当代码被替换进去运行时,utf-8编码又会将其变回来
具体表参考博客
unicode字符集特殊符号对应html/js/css符号
接下来就没问题了
构造链接
http://103.238.227.13:10089/?id=\u003cimg src=1 onload=alert(_key_)/\u003e
查看源代码,可看到_key_已经被替换成答案
var s="\\<img src=1 onload=alert(_key_)/\\>"; document.getElementById('s').innerHTML = s;
