xss过waf的小姿势
今天看大佬的视频学到了几个操作
首先是拆分发可以用self将被过滤的函数进行拆分
如下图我用self将alert拆分成两段依然成功执行
然后学习另一种姿势
<svg id="YWxlcnQoIlhTUyIp"><img src=1 οnerrοr="window['ev'+'al'](atob(document.getElementsByTagName('svg')[0].id))">
这里payload的意思是将eval拆分然后解码执行svg标签里的内容 解读如下
这里img src onerror的意思是加载一个链接加载失败就执行下面的操作
然后这个atob()是解码base64
可以看见解码出来时alert(xss)
然后已经知道eval是用来执行操作的window['ev'+'al']是将eval拆分类似self
self也是同理
现在来分析下面的
(atob(document.getElementsByTagName('svg')[0].id))">
是用什么操作我们用console.log看看他输出的是不是我们理解的意思 这里在payload加上
可以看见是和我们想的一样 获取svg第一行第一个id的值然后base64解码 并输出 用eval就可以执行alert的操作
接下来这个是用iframe加载伪协议 然后在伪协议增加脏字符来绕过
可以看到这里console.log的内容成功打印出来
这里的脏字符是换行的意思
这里是将换行符进行ascii码然后再html实体化编码用此脏字符绕过对javascript检测
可以看见这里直接换行是成功也是成功的同理
也可以将换行符换成tab键 这里tab键加密之后是
	;
然后就是师傅写的一个靶场
从这里可以看到将括号替换成了空让alert无法执行 然后将内容输出在注释符后 让输出无法执行操作被注释掉 看起来十分的无解
但是解开也十分简单这里直接使用换行符并进行url编码
%0a
然后括号用反引号代替就可以执行操作了
换行之后就可以逃逸掉 注释符了也是一样成功执行 经过今天学习我发现xss绕过方法千奇百怪许多冷门标签等等都可以如果有写错的地方往大佬们纠正 qq3661629617