之前我在玩一个XSS游戏的时候突然有了些想法,本着分享的原则,于是便有了这篇文章。在此,我将分享一个此前没有接触过的一个XSS攻击向量。
相同水平的前提下,在攻击向量中不使用任何字母,且必须调用alert(1)。
闲话少说,看这里:
""[(!1+"")[3]+(!0+"")[2]+(''+{})[2]][(''+{})[5]+(''+{})[1]+((""[(!1+"")[3]+(!0+"")[2]+(''+{})[2]])+"")[2]+(!1+'')[3]+(!0+'')[0]+(!0+'')[1]+(!0+'')[2]+(''+{})[5]+(!0+'')[0]+(''+{})[1]+(!0+'')[1]](((!1+"")[1]+(!1+"")[2]+(!0+"")[3]+(!0+"")[1]+(!0+"")[0])+"(1)")()
真是一团糟,我们到底做了些什么呢?接下来容我慢慢给大家道来。
分析
首先从空字符串开始,接下来我们访问括号而不是我们熟悉的点符号的属性。
请注意,在接下来的一分钟我们将构建字符串,不会用到点符号构造字符串名的对象属性,现在切换到括号。
现在我们访问的是什么属性?下面这个就是“字符串”
(!1+"")[3]+(!0+"")[2]+(''+{})[2]
接下来从!1(false)开始,将“”添加到一个non-String值中是一个快速且直接的方法,所以(!1+””)我们得到false
将字符带入索引3中的“false”(结果切好是s),在(!0+””)[2]或者“true”[2]再次尝试,你会得到字母u。最后将字符带入索引2的字符串“[object Object]”中,你会得到字母b。
不使用任何字母,构造一个字符串来访问空字符串对象的“sub”属性,然而sub不仅仅是一个属性,它还是一个函数!
此时此刻,你可能会认为我接下来会通过调用String.sub函数破坏过滤。或许这么做也行,但是我选择更加有深度的做法,函数有什么内置属性?如何构造函数?
如果你打开一个JavaScript控制台,键入“”[“sub”][“constructor”],你看到了什么?为什么得到了Function()函数!似乎我们有事情干了…
给你点提示:这其中有n
((""[(!1+"")[3]+(!0+"")[2]+(''+{})[2]])+"")[2]
我们有熟悉的“”[“sub”]:
((""["sub"])+"")[2]
向其中增加“”,得到function sub() { [native code] }。将字符带入索引2得到字母n
总结
我们现在得到了相当于Function()的“”[“sub”][“constructor”],调用它我们就可以定义一个函数了。当我们尝试调用alert(1)时,就需要连接更多的“true”和“false”来构建alert字符串,其后在加上+”(1)”。
现在我们调用Function(“alert(1)”),大功告成,现在只需一个调用,返回一个匿名函数就可以实现弹出。
// empty string""// ["sub"][(!1+"")[3]+(!0+"")[2]+(''+{})[2]]// ["constructor"][(''+{})[5]+(''+{})[1]+((""[(!1+"")[3]+(!0+"")[2]+(''+{})[2]])+"")[2]+(!1+'')[3]+(!0+'')[0]+(!0+'')[1]+(!0+'')[2]+(''+{})[5]+(!0+'')[0]+(''+{})[1]+(!0+'')[1]]// ("alert(1)")(((!1+"")[1]+(!1+"")[2]+(!0+"")[3]+(!0+"")[1]+(!0+"")[0])+"(1)")// call anonymous function returned by Function()()
本文最开始的Function(“alert(1)”)()确实十分混乱,不使用任何可识别的字符串确实很难辨识。你可以在地址栏键入“javascript:”复制粘贴上面的代码点击回车键进行测试。
我喜欢你能够喜欢JavaScript语言中这种十分隐晦的表达方式,Happy hacking!