XSS与字符编码的那些事儿---科普文-0x_Jin.PDFVIP

原原文文地地址址:/tips/689 目目录录 0x00:基本介绍 0x01:html实体编码 0x02:新增的实体编码 实体编码变异以及浏览器的某些工作原理！ 0x03:javascript编码 0x04:base64编码 0x05:闲 0x00基基本本介介绍绍 提起XSS 想到的就是插入字符字符编码与各种解析了！ 这也就是各种xss编码插件跟工具出世的原因！之前不懂浏览器是如何对我们编码过的代码进行解析的时候就是一顿乱插！ 各种编码 各种插 没把编码还原就算了 还原了就算运气好！后来到PKAV经过二哥和短短的调教后才算是弄清楚了一点编码与解析方面的知识！ 现在也算是运用自如了把！ 现在介绍一下在xss中最经常用到的编码 html实实体体编编码码(10进进制制与与16进进制制): 如把尖括号编码[ ] html十进制: #60 html十六进制:#x3c javascript的的八八进进制制跟跟十十六六进进制制: 如把尖括号编码[ ] js八进制:\74 js十六进制:\x3c jsunicode编编码码：： 如把尖括号编码[ ] jsunicode:\u003c url编编码码base64编编码码: 如把尖括号编码[ ] url: %3C base64: PA== 0x01 html实实体体编编码码 html实体编码本身存在的意义是防止与HTML本身语义标记的冲突。 但是在XSS中却成为了我们的一大利器，但是也不能盲目的使用！ html中正常情况只识别:html10进制,html16进制！ 现在介绍一下我们应该如何在xss过程中灵活的使用各种编码呢？ 比如现在你的输出点在这： img src=[代码] 在这里过滤了script / \ http: 以及各种危险字符 比如创建一个html节点什么的！ 有的站只允许你引用一个img文件夹里的图片 但是图片是你可以控的 可以通过抓包来修改的！ 我们如果想加载外部js 或者一个xss平台的钩子我们应该怎么写呢？ 那么我们可以在这里 闭合双引号 写事件: onerror=[html l ngu ge=实体编码][/html][/html] 比如我现在弹个窗: img src=x onerror=#97 #108 #101 #114 #116 #40 #49 #41 原code: img src=x onerror=alert(1) 这里我用的是html十进制编码 也可以使用十六进制的html实体编码！ 但是为什么这里我没有用jsunicode 以及 js八进制跟js十六进制呢！ 浏览器是不会在html标签里解析js中的那些编码的！所以我们在onerror=后面放js中的编码是不会解析 你放进去是什么 解析就是什么! 大多数网站是不会#号的，如果过滤了怎么办呢？ 那么再来讲一下另外一个案例： ​ 源码如下： ​ 页面中的Go按钮中包含一个 标签 输入的值会存在于 标签的href属性中，href中用了j v script伪协议，可以在href跳转时执行js代码！ 所以造成了xss ！ 我们提交的值如下： wooyun%26%23x27,alert(1)%2b%26%23x27 由于页面对单引号 符号 以及 #符号过滤！但是html中可以识别html实体编码！但是实体编码是由#组成！ 这个时候# 已经被过滤 我们只能通过url编码来对 # 两个符号进行编码！再让浏览器解码成 # 然后拼接x27 最后就成为了单引号的html16进制编码！ 解码后：我们的提交值为： ,alert(1) href代码为： a href=javascript:location=./3.3.php?offset=+document.getElementById (pagenum).value+searchtype_yjbg=yjjgsearchvalue_yjbg=GO/a ps:在之前说了html标签中识别html实体编码，并且会在html页面加载时会对编码进行解码！那么#x27 已经是单引号了 但是并不会闭合！ 然后在点击过程中执行j v script代码 这个时候由于html里#x27被解析成单引号但是没闭合 这个时候js被执行 这个我们提交的在html加载时解析成了字符串单引号但是不能闭合之前的引号 因为现在是把我们提交 的编码了的单引号 当成字符串来显示 但是现在他是存在于 标签中的href里的 href链接里的地址是j v script伪协议，我们现在点击的时候 会执行里面的代码 关键来了 这个时候 我们之前被当做字符串的单引