挖掘存儲Xss時發現的小Tips

 前 言  

一直以來在挖掘xss時總是被各種過濾，各種實體化轉義。是真滴很難受，想連著幾天興沖沖奔著表單去，看著被過濾，轉義的payload，用盡辦法都過不去的心情。最后似乎有個聲音在跟我說，能不能找到一處大家都會不太注意的點，把payload帶進去，順便執行了。

作為菜雞，只能挖挖xss這種漏洞，感覺別的洞都需要相當的經驗和技術和繞過技術。但xss，需要做的僅是==>見框就插!

在探測xss時，我常用的語句就是

a

a ，這個payload插入表單提交后，看看輸出的兩個a是不是會不一樣，如果其中一個a粗了大了，說明

標簽被執行了，也就是說插入的東西，被執行了。

此時就可以嘗試插入一些可以彈窗的payload，一般來說這個時候都是可以正常彈窗的。但是也有例外，比方說后端會有一些過濾函數或者替換函數對一些敏感的字符進行處理。

比方說：script、alert、onerror、ononclick、on.....javascript等等。我最常用的方法就是，F12 鼠標指向輸出的payload，檢查一下是為什么沒有執行。檢查一下到底是過濾了什么東東，猜測是哪種方式過濾的，能不能繞過。

 正 文  

這篇文章要分享Tips的跟上述內容關系不大，上述僅僅是順著寫下來了的。接下來的要分享的是：在可以展示圖片的地方執行javascript腳本。

先看一張圖

好了，通過這張圖可以看到，前端輸出自己存儲在服務器上的圖時，是使用src標簽的。

再看我們常用的payload：

1 onerror=alert(1);>

是不是一下子就反應過來了。

案例一

這里是個發帖的地方

在帖子的編輯器里面可以有加載網絡圖片的地方，看我的payload語句，就知道我做了什么

這個帖子發帖成功后，點擊這個帖子中這個36d,成功彈出cookie信息。

案例二

某些站點的功能是可以自己創建一些東西，比方說創建自己的分組，加載自己的圖片，然后方便自己調用。

上圖的路飛圖片是自己上傳到服務器的，這個時候調用的時候，F12可以看到是通過我最先的思維導圖中的方法來的。

POST /api HTTP/2Host: huoxian.cnContent-Length: 612Sec-Ch-Ua: " Not A;Brand";v="99", "Chromium";v="96", "Google Chrome";v="96"Accept: application/json, text/plain, */*Content-Type: application/x-www-form-urlencoded;charset=UTF-8Sec-Ch-Ua-Mobile: ?0User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.110 Safari/537.36Token: xx.xxx.xxSec-Ch-Ua-Platform: "Windows"Origin: https://huoxian.cnSec-Fetch-Site: same-siteSec-Fetch-Mode: corsSec-Fetch-Dest: emptyReferer: https://xx.huoxian.com/Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7

functionId=addShortcutPhase&pin=xxx&appid=xxx&content=%E6%88%91%E7%88%B1%E7%81%AB%E7%BA%BF%E3%80%90%E5%9B%BE%E7%89%87%E3%80%91&groupid=8&remark=%22%2F%22%20i%20love%20HX&imagesURL=https%3A%2F%2Fhuoxian.com%2Fddfilesass%2Fjfs%2Ft1%2F216587%2F11%2F7942%2F8282%2F61baf927E5802b6f3%2Fab716d69f73dbed3.jpg&aid=xx.xxx.xx&clientType=comet

這個是在保存表單時候使用BURP抓的請求數據包，可以看到，其中的

imagesURL=https%3A%2F%2Fhuoxian.com%2Fddfilesass%2Fjfs%2Ft1%2F216587%2F11%2F7942%2F8282%2F61baf927E5802b6f3%2Fab716d69f73dbed3.jpg

是不是就是保存時，直接調用我上傳給服務器的地址？我將這個imagesURL的值修改為xsspayload。

imagesURL=1%22%20onerror%3Dalert(document.cookie)

然后放包。當我在前端調用時成功觸發。

第一次寫東西，沒什么經驗。有勞前輩們和大師傅們多提些意見，還有想法，菜弟弟真滴也很想很想變強。

實不相瞞，我是從10點半開始寫的，現在0點27分。原來寫文章這么不容易。真滴不容易。

菜雞弟弟剛入坑，還請各位大師傅多關照。

最后祝各位大師傅，身體健康，日進斗金！