诚殷网络WEB安全技术论坛—WEB安全培训|渗透测试培训|网络安全培训|黑客论坛|白帽子论坛|黑客论坛|

Universal Bypass 5

最新版 Chrome 60

context == null

test:


Bypass 4 (需交互的bypass)

chrome 60

test


Bypass 3 via flash

只要支持flash的chrome版本(到Chrome 56),均可使用。

context == support flash

test


Universal Bypass 2

到Chrome 55/56可用, 无任何条件,只要输出在页面中即可执行代码。

context == null

test


Universal Bypass 1

到Chrome 55/56可用,无任何条件,只要输出在页面中即可执行代码。

context == null

test


Chrome 59 && 输出点后面有空格的情况

context:

test


Chrome 44/45 + 属性中输出的情况

chrome45+ fixed

context:

payload:

test


无charset Bypass

没有输出charset的情况下,可以通过制定字符集来绕过auditor。

老版的这个编码:ISO-2022-KR,可用 onerror%0f=alert(1) bypass,但现在版本已经没用这个编码,所以该payload只适用于老版本chrome。

新版中,有这个编码:ISO-2022-JP,可以在关键处中加入 %1B%28B,会被省略。

context:

payload:

test:


输出在属性中,并且后面还有<script>的情况

context:

payload

test


双输出点的情况

context:

payload:

test


Chrome 43 XSSAuditor bypass

大概2015-06-23以前的版本均可。

context==全部情况

payload:

test


Chrome 36~40 link 导入html导致bypass

Fixed in Oct 10, 2014.(实际上15年初还存在)

由于link导入外部html导致XSSAuditor绕过。

context==全部情况

payload

test


输出在script内字符串位置的情况

如果允许闭合字符串,直接闭合并写入javascript即可,如: http://mhz.pw/game/xss/scriptstr.php?xss=%27|alert(1)|%27

但如果不能闭合单引号呢?如这个context

payload

test


有可控上传点的通用Bypass

context:

网站域名下有可控的上传点,我可以上传一个.txt或.js等文件(只要不是媒体文件,其他文件均可,比如上传是黑名单验证的,可以随便写个后缀)。再引入script标签的src属性即可。

payload

test


JSON Encode

context

payload


存在字符替换的情况

当输出点在输出前存在字符(大部分字符,字符串什么的都可以)的替换,context如下:

既可以在payload里带入该字符进行绕过auditor:

test




上一篇:淫荡思路之【拥有XSS攻击却有HttpOnly】拿下后台
下一篇:惊!来看看最水的开发人员之密码泄露
0 人收藏
诚殷网络专注WEB安全培训!
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|手机版|小黑屋|诚殷网络论坛 ( 琼ICP备15002356号 )

Powered by Dede 123 © 2001-2016 Hacker.

返回顶部