很多白帽子在挖掘XSS漏洞的时候，往往会遇到一个问题，就是明明发现这里的过滤有缺陷，但是就是没法成功的进行构造利用。可能会由于自身对XSS绕过的局限性思维，往往只会反复的去尝试各种不同 payload代码，寄希望于其中某一个可以绕过过滤。但是在遇到强有力的XSS防御措施下，往往只能是竹篮打水一场空。

鉴于这种情况，这里主要分3个章节来简单的分享一些XSS绕过思路。

本次主要说的是【第一节】白名单限制绕过的情况

所谓的白名单，就是指允许某些字符输入，其他一概拒绝，相对黑名单策略，白名单更加安全。

这里直入正题，说说以下几种可能存在XSS的情况。

这种只要以白名单的方式，过滤了>< 直接无解，这里就直接略过了。

这种情况的主要有两种利用方法。

>>>> 2.1 第一种，是利用引号和>闭合前面的标签，或者利用html的解析优先级，来逃出引号的限制，实现XSS的构造。

比如 <img src="xxx"> 这种情况，可以用下面的代码形成xss

<img src=""><img src=x onerror=alert(1)>">

这种方法比较简单，也比较常见，先用引号和>闭合掉标签，然后再构造。如果这时候，引号被白名单过滤掉了，那么在某种情况下，也可以利用html解析的优先级进行绕过，比如：

<title><img src="xxx"></title>可以用下面的代码形成xss

<title><img src="</title><img src=x onerror=alert(1)>"></title>

在浏览器里，会优先解析title标签，这样就成功跳出了引号的限制，形成XSS。

>>>> 2.2第二种，就是利用闭合属性，跳出引号，再构造新的属性，形成xss

比如 <img src="xxx"> 这种情况，src内容可控，可以用下面的代码形成xss

<img src="x" onerror="alert(1)">

如果说这里白名单过滤掉了引号，其实某种情况下，还可以利用html实体编码进行绕过。比如<img src="x" onerror="yyy"> 然后onerror属性可控，但是白名单又将所有字母括号给直接过滤掉，这时候不能直接写alert(1)，但是由于在html标签的属性里，就可以用下面的编码进行绕过。

<img src="x" onerror="&#97;&#108;&#101;&#114;&#116;&#40;&#49;&#41; ">

所以上述的这些情况，大部分时候，防御策略只需要在白名单中避免存在'"><& 这些特殊字符就可以了。

这个是本次重点讲的一个点，由于在js中，代码的变化形式比较多样，这里我大概提2个点。

>>>> 3.1 比如某处白名单策略，只允许使用[]$='\()+这些字符以及数字0-9，连任意字母都不允许使用。那么这种情况下，即使知道这里可能有XSS，要怎么样构造利用呢？

这里给出一个思路。

先说说js中的constructor的用法，constructor 属性返回对创建此对象的数组函数的引用。

语法，Object.constructor

然后这里Object.constructor===Function这是恒等的关系。你可以在控制台试试，会返回true。

所以我们可以使用以下方式创建，并执行一个函数:

new Function("alert(1)")();

也可以不要new关键字，那么就是

Function("alert(1)")()

然后可以将Function转换下，这里"..."是一个任意字符串，也可以为空，然后"...".substr就是一个Object，所以这代码和上面是等效的。

"...".substr.constructor("alert(1)")()

再转换下，对象可以写成中括号的形式，比如a.b可以写成a['b']这样子。

"..."["substr"]["constructor"]("alert(1)")()

然后对字符串进行变形，任意字符串js中都可以写成\+ASCII码的8位形式，也就是查询到字母的ASCII码然后将其转换为8进制时候的结果。

"..."["\163\165\142\163\164\162"]["\143\157\156\163\164\162\165\143\164\157\162"]("\141\154\145\162\164\50\61\51")()

好了，这样就可以不用任何字母执行一段js代码了。

也可以这样。

new Function("alert(1)")();

等价于

[].constructor.constructor('alert(1)')()

等价于

[]['constructor']['constructor']('alert(1)')()

赋值个变量，缩短下代码，等价于

[][$='constructor'][$]('alert(1)')()

然后替换下所有字符串，等价于

[][$='\143\157\156\163\164\162\165\143\164\157\162'][$]('\141\154\145\162\164(1)')()

哈哈，好像比上面的还要短点。

>>>> 3.2 这里可能有人就要说了，你这就是利用了任意字符串js中都可以写成\+ASCII码的8位形式，那我直接在把\和数字也白名单过滤了不就行了么，其实还是可以的，看下面代码 

复制这段代码，放到浏览器控制台执行，可以看到弹1了，是不是很神奇，其实这段代码就是alert(1)在经过了N次变形的结果。

然后由于代码只用到了[]+!()6个字符而已，这个写法有个专业的名称，叫做jsfuck。

只是看这一堆代码，谁也不知道这是啥意思，也不知道是怎么来的，为啥就会执行alert(1)，所以下面来给解释下原理。

[]等于创建了一个array对象，也就是一个数组，然后![]是取反，控制台直接执行这个会看到，返回了false。那么!![]也就是对false取反，会返回true。

下来再说一个知识，在js中等于关系有两种，==叫做等于，===叫做恒等。区别是这样，恒等的一定满足等于，但是反之则不一定成立。

还有个知识，就是字符串和数字相加，数字会自动转换为字符串类型，返回的结果会是字符串。字符串和数字相减，字符串会转换为数字类型，返回的会是数字。

还有一些特殊的，不是字符串也不是数字的时候，像true+true返回2，true+false会返回1。

所以 +true 的结果是1，+false的结果是0。在结合上面说到的，这样+!![]表示的就是1，+![]表示的就是0了。

原理就是这样子，然后因为alert(1)可以写成，[]['constructor']['constructor']('alert(1)')() ，所以只需要将关键字constructor和alert(1)对应的jsfuck对应的表达形式构造出来，在进行连接就可以了。由于不能用引号，所以这里引号也必须重新构造。

这里直接给出构造思路。那就是利用字符串的可以直接用下标进行读取的特性，比如字符串'abcd'，那么'abcd'[2]就会返回'c'。

所以a怎么获取呢，因为![]代表的是fasle，所以![][1]就是'a'，然后再将这里的1替换掉，就是![][+!![]]，这时候你去试试会发现怎么返回的是true不是'a'啊。那是因为这里的![]不是字符串，所以需要将其先转换为字符串，很简单这样就可以了，前面提到过像[]，""，0，false也是==的关系，那么(![]+[])[+!![]] 控制台直接输入代码就可以看到效果。

其他的关键字的字符也都是这么慢慢转换过来的。这里就不在一一列举了，感兴趣的可以看这里有详细的构造思路。https://github.com/aemkei/jsfuck

这里再提供个jsfuck的代码生成工具：

https://www.bugku.com/tools/jsfuck/

文章其实主要是探讨的绕过思路，并不会覆盖所有的XSS漏洞场景去一一列举。作者认为对于XSS绕过这个问题上，思路还是比较重要的。相比很多人喜欢收集一堆payload，然后一个个的去反复尝试，其实了解了这些payload的构造思路的话，往往只需要测试一些特殊字符，就大概心里有数了。

是不是看的意犹未尽？关注公众号，后续会陆续带来

【第二节】 黑名单限制绕过

【第三节】 长度限制绕过

以及更多的精彩内容。

渠道合作咨询   张先生 18201311186

稿件合作   微信:Luo_xiaoran