在一次XSS测试中,往可控的参数中输入XSS Payload,发现目标服务把所有字母都转成了大写,假如我输入alert(1),会被转成ALERT(1),除此之外并没有其他限制,这时我了解到JavaScript中可以执行无字母的语句,从而可以绕过这种限制来执行XSS Payload。
先执行两段JS代码看下
|
1 2 |
([][[]]+[])[+!+[]]+([]+{})[+!+[]+!+[]] ([][[]]+[])[+!!~+!{}]+({}+{})[+!!{}+!!{}] |
两段js代码都输出了字符串”nb”,下面来分析下原因.
下面的表将所有运算符按照优先级的不同从高(20)到低(1)排列。
优先级
运算类型
关[......]
在JDK7u21中反序列化漏洞修补方式是在AnnotationInvocationHandler类对type属性做了校验,原来的payload就会执行失败,在8u20中使用BeanContextSupport类对这个修补方式进行了绕过。
在8u20的POC中需要直接操作序列化文件结构,需要对Java序列化数据写入过程、数据结构和数据格式有所了解。
先看一段代码
|
1 2 3 4 5 6 7 8 9 |
import java.io.Serializable; public class B implements Serializable { public String name = "jack"; public int age = 100; public B() { } } |
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 |
import java.io.*; public class A extends B implements Serializable { private static final long serialVersionUID = 1L; public String name = "tom"; public int age = 50; public A() { } public static void main(String[] args) throws IOException { A a = new A(); serialize(a, "./a.ser"); } public static void serialize(Object object, String file) throws IOException { File f = new File(file); ObjectOutputStream out = new ObjectOutputStream(new FileOutputStream(f)); out.writeObject(object); out.flush(); out.close(); } } |
运行A类main方法会生成a.ser文件,[......]
作者最近研究了safari浏览器JavascriptCore引擎的一个OOB漏洞CVE-2018-4441,虽然这是一个比较老的漏洞,但是研究这个漏洞还是能学到不少东西。这里介绍了jsc环境搭建的方法和jsc一些基本调试技巧,详细分析了CVE-2018-4441的漏洞成因和lokihardt堆喷修改数组长度构成OOB的方法,希望读者读完能有所收获。
下载源码使用
|
1 |
git<code> clone </code>https://git.webkit.org/git/WebKit.git<code> WebKit |
如下载的源码较旧需更新源码到最新日期则使用
|
1 2 3 |
git fetch --all git reset --hard origin/master git pull |
切换[......]