不需要字母构建的XSS向量

 之前我在玩一个XSS游戏的时候突然有了些想法，于是便有了这篇文章。在此，我将分享一个以前没有接触过的一个XSS攻击向量。
相同水平的前提下，在攻击向量中不使用任何字母，且必须调用alert(1)。
闲话少说，看这里：

""[(!1+"")[3]+(!0+"")[2]+(''+{})[2]][(''+{})[5]+(''+{})[1]+((""[(!1+"")[3]+(!0+"")[2]+(''+{})[2]])+"")[2]+(!1+'')[3]+(!0+'')[0]+(!0+'')[1]+(!0+'')[2]+(''+{})[5]+(!0+'')[0]+(''+{})[1]+(!0+'')[1]](((!1+"")[1]+(!1+"")[2]+(!0+"")[3]+(!0+"")[1]+(!0+"")[0])+"(1)")()

 

真是一团糟，我们到底做了些什么呢?接下来容我慢慢给大家道来。

分析

首先从空字符串开始，接下来我们访问括号而不是我们熟悉的点符号的属性。

请注意，在接下来的一分钟我们将构建字符串，不会用到点符号构造字符串名的对象属性，现在切换到括号。

现在我们访问的是什么属性?下面这个就是“字符串”

         (!1+"")[3]+(!0+"")[2]+(''+{})[2]

 

接下来从!1(false)开始，将“”添加到一个non-String值中是一个快速且直接的方法，所以(!1+””)我们得到false

将字符带入索引3中的“false”(结果切好是s)，在(!0+””)[2]或者“true”[2]再次尝试，你会得到字母u。最后将字符带入索引2的字符串“[object Object]”中，你会得到字母b。

不使用任何字母，构造一个字符串来访问空字符串对象的“sub”属性，然而sub不仅仅是一个属性，它还是一个函数!

此时此刻，你可能会认为我接下来会通过调用String.sub函数破坏过滤。或许这么做也行，但是我选择更加有深度的做法，函数有什么内置属性?如何构造函数?

如果你打开一个JavaScript控制台，键入“”[“sub”][“constructor”]，你看到了什么?为什么得到了Function()函数!似乎我们有事情干了…

给你点提示：这其中有n

 

((""[(!1+"")[3]+(!0+"")[2]+(''+{})[2]])+"")[2]

 

我们有熟悉的“”[“sub”]:

((""["sub"])+"")[2]

 

向其中增加“”，得到function sub() { [native code] }。将字符带入索引2得到字母n

总结

我们现在得到了相当于Function()的“”[“sub”][“constructor”]，调用它我们就可以定义一个函数了。当我们尝试调用alert(1)时，就需要连接更多的“true”和“false”来构建alert字符串，其后在加上+”(1)”。

现在我们调用Function(“alert(1)”)，大功告成，现在只需一个调用，返回一个匿名函数就可以实现弹出。

 

// empty string""// ["sub"][(!1+"")[3]+(!0+"")[2]+(''+{})[2]]// ["constructor"][(''+{})[5]+(''+{})[1]+((""[(!1+"")[3]+(!0+"")[2]+(''+{})[2]])+"")[2]+(!1+'')[3]+(!0+'')[0]+(!0+'')[1]+(!0+'')[2]+(''+{})[5]+(!0+'')[0]+(''+{})[1]+(!0+'')[1]]// ("alert(1)")(((!1+"")[1]+(!1+"")[2]+(!0+"")[3]+(!0+"")[1]+(!0+"")[0])+"(1)")// call anonymous function returned by Function()()

 

本文最开始的Function(“alert(1)”)()确实十分混乱，不使用任何可识别的字符串确实很难辨识。你可以在地址栏键入“javascript:”复制粘贴上面的代码点击回车键进行测试。