某不知名博客
carsaid
2023-10-11
目录

专家-DOM覆盖-覆盖attributes属性以绕过HTML过滤器

# 实验室:覆盖DOM属性以绕过HTML过滤器

# 题目

此是呀是呀使用了 HTMLJanitor 库,该库容易受到 DOM 覆盖的攻击。

若要解决实验室问题,请构造一个可以绕过过滤器的向量,然后通过 DOM 覆盖调用print()函数。

你可能需要使用漏洞利用服务器,才能在受害者的浏览器中自动执行向量。

笔记

本实验的预期解决方案在 Firefox 中不起作用。我们建议你使用 Chrome 完成本实验。

实验室-专家

覆盖DOM属性以绕过HTML过滤器 >>

- name: 实验室-专家
  desc: 覆盖DOM属性以绕过HTML过滤器 >>
  avatar: https://fastly.statically.io/gh/clincat/blog-imgs@main/vuepress/static/imgs/docs/burpsuite-learn/public/lab-logo.png
  link: https://portswigger.net/web-security/dom-based/dom-clobbering/lab-dom-clobbering-attributes-to-bypass-html-filters
  bgColor: '#001350'
  textColor: '#d112fe'
1
2
3
4
5
6

# 实操

点击 “ACCESS THE LAB” 进入实验室。

Not Found Image

一个博客站点。

Not Found Image

和上一个实验室类似,加载了两个 js 文件。

  • htmlJanitor 库,可用于过滤 XSS 载荷。但代码编写不太规范,存在历史漏洞(也就是 DOM clobbering)
  • 另一个 js 文件和上一个实验室类似,是评论功能的主要代码

我们不需要分析另一个 js 文件,因为其并不是本次实验的目标,我们不需要覆盖其中的变量。

我们需要覆盖某个全局属性,从而 “欺骗” 过滤器。

Not Found Image

先注入几个载荷。

Not Found Image

查看......我载荷呢?整个标签都被删掉了,真好。

Not Found Image

如果是form标签构造的载荷呢?

<form id=x tabindex=1 onfocus=alert(1) autofocus>
1
Not Found Image

这一次,没有删除整个标签,只是简单地去除了其中的危险属性。

哦?不删我标签?这不就有了吗。

Not Found Image

在原有的form载荷之后,添加一个input标签,它的id属性被设置为了attributes,这将会 “欺骗” 过滤器。

<form id=x tabindex=1 onfocus=print() autofocus><input id=attributes>aaa
1

将载荷注入评论区。

Not Found Image

然后,访问博客文章的一瞬间,执行了print()函数。

Not Found Image

查看标签情况,这一次,form中的危险属性没有被删除。

为什么?

  • 因为 htmlJanitor 在过滤危险属性的时候,会通过全局变量attributes一次性获取所有属性值;
  • 但是我们通过input标签的id=attributes属性将这个全局变量覆盖掉了;
  • 最终 htmlJanitor 获取到的只是一个普普通通的input罢了。
Not Found Image

将载荷注入评论区后,访问漏洞利用服务器,通过window.location将用户重定向到指定的博客 URL:

<script>
  window.location = '';
</script>
1
2
3

保存载荷。

Not Found Image

以下动图演示了攻击效果:

Not Found Image

将载荷发送给受害用户,实验完成。

Not Found Image
编辑 (opens new window)
专家-DOM覆盖-造成XSS
学徒-操纵WebSocket消息以利用漏洞

学徒-操纵WebSocket消息以利用漏洞

最近更新
01
API测试笔记
04-30
02
msfvenom
03-29
03
Metasploit
03-29
更多文章>
Theme by Vdoing | Copyright © 2023-2024 Carsaid | MIT License