强防御下的XSS绕过思路（二） 黑名单篇

前 言

很多白帽子在挖掘XSS漏洞的时候，往往会遇到一个问题，就是明明发现这里的过滤有缺陷，但是就是没法成功的进行构造利用。可能会由于自身对XSS绕过的局限性思维，往往只会反复的去尝试各种不同 payload代码，寄希望于其中某一个可以绕过过滤。但是在遇到强有力的XSS防御措施下，往往只能是竹篮打水一场空。

鉴于这种情况，这里主要分3个章节来简单的分享一些XSS绕过思路。

【第一节】 限制了字符（白名单的方式）

【第二节】 限制了字符（黑名单的方式）  

【第三节】 限制了字符长度  

前面讲过了【第一节】 限制了字符（白名单的方式）

下面聊一聊【第二节】 限制了字符（黑名单的方式） 

所谓的黑名单，就是不允许某些指定的字符输入，其他非限制的内容都可以通过，相对白名单策略，虽然白名单更加安全些，但是往往白名单会误杀正常业务，所以只能针对性的部署，而不能进行多个业务统一的部署。黑名单的策略，显然这一方面更具有优势，缺点就是防御规则常常会被绕过。一般的XSS-WAF规则用的都是黑名单策略。

这里直入正题，说说以下几种情况。

一

富文本环境

所谓的富文本环境，就是指可以直接写入各种标签符号的一个环境。比如邮件、空间、编辑器等，这些位置采用的基本都是黑名单策略。

这里说说常见的几种情况：

1 黑名单过滤危险标签和事件。

比如直接过滤

这种情况我们可以尝试以下几种方法：

1.1 大小写绕过

比如标签写成

1.2 开口标签

写成<script 或者 <script src=xxx? 这样子，由于语义解析问题和浏览器html代码补全机制，这种方法在以前是可以干掉很多富文本的规则的，现在随着安全的发展，相对也不是太好用了。

1.3 其他非黑名单标签和事件

尝试一些不在黑名单中的标签，比如之类，事件一般是先尝试下onxxx这样，如果发现没有被过滤，那么这种情况一般都是过滤了常见的onload、onerror、onclick之类的事件，我们可以找一些不常见的事件去尝试绕过，比如ontouchstart就是触摸触发，这种在手机、平板设备上面的触发率还是比较高的。标签可以尝试xx这样去测试，如果对script关键字有过滤的话，再用大小写混淆或者html编码进行绕过尝试。

1.4 灵活利用过滤规则。

比如发现某处会将

二

输出在js代码中

1 过滤单引号、等号的时候

在js环境中，方法相对灵活很多，比如单引号过滤，很多时候可以用反单引号。

括号很多时候也可以用反单引号去替换。

如上，自己在控制台试试就知道了。

其实单引号，等号这些有一个比较常用的处理方法，就是用String.fromCharCode

需要写入一个外部js文件，也可以用这种方法。

但是要注意，这里String.fromCharCode输出的结果是字符串，需要执行的话，还需要给最外层加一个eval

这样就会直接将字符串作为js代码去执行了。

或者不用String.fromCharCode用atob函数也可以，或者用其他的这种可逆的编码、加密函数都是可以的。

2 不仅过滤了单引号、等号，还过滤了圆括号、eval的情况

上面的方法在进行js环境中，的黑名单过滤绕过特别实用，但是有人就会问了，你这方法需要用eval和括号，如果把这些也都过滤掉了呢。其实括号的问题，前面已经提到过了，是可以用反单引号去替换的，eval的话，这种可以尝试其他的函数去绕过，比如用Function或者constructor配合js模板字符串的写法。

或者用constructor都是可以的

具体这个是什么原理，这里大概给解释下。

具体细节这是js的模板字符串的特性，以前发过的XSS相关文章中也提到过很多次了，这里就不再具体展开细讲了，有兴趣的可以自行百度去了解下。

可能看到上面的演示会有人说你这里的payload里面还是有等号啊，其实这种base64加密后面的等号是可以控制的，比如用alert(1)加密发现有等号，就写成或者alert(1);var aaa=1;之类的改变字符其长度，直到没有了等号就行了，这里主要是提供一个思路和方法。

 

三

漏洞案例

某网站储存型XSS（过滤了尖括号/圆括号/单引号）

漏洞详情：

经过测试后发现，该漏洞点过滤了常见的script关键字，还有尖括号 >< ，单引号 ' ，圆括号 ) ( 不过经过一番测试，绕过了这些过滤，成功弹窗。

payload：

代码执行流程如下图箭头所示：

这里做下简单的说明，为什么payload要这么写呢？

1 由于过滤了尖括号><，所以只能在input标签内部构造，input标签最好用的xss事件就是onfocus了；

2 由于过滤了圆括号()，所以用 location=url编码 的这种模式可以将括号写为%28 %29；

3 由于过滤了单引号'，所以location='alert%271%28'这样就不能用了，所以利用this.name进行传值；

4 script关键字有过滤，所以用sCript大小写混淆绕过；

基本就这样了吧，综上就可以得出上面的payload了~

总 结

不管是白名单还是黑名单，还是以后会讲到的长度限制的XSS绕过，其实万变不离其宗，都是利用代码特性和代码逻辑进行的一些构造而已。

文章其实主要是探讨的绕过思路，作者认为对于XSS绕过这个问题上，思路还是比较重要的。相比很多人喜欢收集一堆payload，然后一个个的去反复尝试，其实了解了这些payload的构造思路的话，往往只需要测试一些特殊字符，就大概心里有数了。