当前位置：首页 > news >正文

【BugBounty】记一次XSS绕过

news 2026/4/2 12:40:52

前言

最近一直在看国外的赏金平台，绕waf是真的难受, 记录一下绕过的场景。

初步测试

一开始尝试XSS，发现用户的输入在title中展示，那么一般来说就是看能否闭合，我们从下面图中可以看到，输入尖括号后被转成了实体。

Untitled

绕过html实体编码

解释一下什么是html实体编码

HTML实体编码，也即HTML中的转义字符。

在 HTML 中，某些字符是预留的，例如在 HTML 中不能使用小于号<和大于号>，这是因为浏览器会误认为它们是标签。如果希望正确地显示预留字符，我们必须在HTML源代码中使用字符实体（character entities）。 HTML 中的常用字符实体是不间断空格。（注意：实体名称对大小写敏感！）字符实体类似这样：&entity_name; 或者 &#entity_number;如需显示小于号，我们必须这样写：< 或 < 常见的实体编码：

在这里插入图片描述

关于更多的实体可在下面网站查看寻找：

基本拉丁字母, 128 符号 (◕‿◕) SYMBL

继续尝试是发现我们讲html10进制实体编号输入转义会闭合title标签

Untitled

原本以为事情逐渐简单了起来，结果更大的一个坑在等着我。

帮助网安学习，全套资料S信免费领取：
① 网安学习成长路径思维导图
② 60+网安经典常用工具包
③ 100+SRC分析报告
④ 150+网安攻防实战技术电子书
⑤ 最权威CISSP 认证考试指南+题库
⑥ 超1800页CTF实战技巧手册
⑦ 最新网安大厂面试题合集（含答案）
⑧ APP客户端安全检测指南（安卓+IOS）

WAF层面

原本想着<img/src=1 οnerrοr=alert(1) />直接秒杀结果来了个waf 贼鸡儿叼。

Untitled

下一步按照往常一样 fuzz事件，结果全是403，这时候那没办法了那就不能用img标签了

Untitled

改换其他标签，fuzz以下发现可用的还不少。

Untitled

然后使用a标签进行绕过

常用的payload，基于下面payload改就行了

<a href="javascript:alert(1)"/>

原本是一番风顺的到后面发先还有过滤，真吐了,看图就好

Untitled

绕过javascript,到这里了可能一部分人觉得已经结束了，但实际上没那么简单

Untitled

前面其实花的时间并不多主要绕alert的时候。此处我尝试的多种方式包括html实体绕过，基本都不行，

Untitled

然后就在此处卡了很久，我也想过不使用alert使用prompt这些函数但就是不行，后面发现后面就是不能跟括号和反引号

Untitled

这时候就在想，还有不能用括号进行弹窗的函数？给我整懵逼了，找了一大圈一个都没找到都需要用括号,alert后不需要括号和反引号的也过不了。

Untitled

最后在推特上看到了这个最终完成绕过

aurebesh.js

Untitled

本地测试payload

<a/href="javascript;{var{3:s,2:h,5:a,0:v,4:n,1:e}='earltv'}[self][0][v+a+e+s](e+s+v+h+n)(/infected/.source)" />click

<a href=ja&NewLine;vascript:k='',a=!k+k,f=!a+k,g=k+{},kk=a[k++],ka=a[kf=k],kg=++kf+k,ak=g[kf+kg],a[ak+=g[k]+(a.f+g)[k]+f[kg]+kk+ka+a[kf]+ak+kk+g[k]+ka][ak](f[k]+f[kf]+a[kg]+ka+kk+"(k)")()> 1111";//</title>

最终效果

Untitled

【BugBounty】记一次XSS绕过

前言

初步测试

绕过html实体编码

WAF层面

相关文章：

【BugBounty】记一次XSS绕过

Linux文件目录结构详解：根目录和常见子目录介绍

知识付费小程序的推广与用户增长策略

微信小程序获取当前屏幕的可见高宽度

使用 Splashtop 驾驭未来媒体和娱乐

Tomcat项目启动报错

offer

漏洞复现--鸿运主动安全监控云平台任意文件下载

第二章物理层 | 计算机网络（谢希仁第八版）

路由高级特性

【MySQL】数据库排查慢查询、死锁进程排查、预防以及解决方法

WSL2下的Docker配置和使用

污水管网水位监测，管网水位监测仪守护城市污水管网运行

IDEA插件版本升级和兼容新版本idea

Docker 容器应急

webservice接口自动化测试

精益生产与MES生产管理系统相互融合

（c语言进阶）指针的进阶

用路由器远程维护三菱PLC操作指南

FPGA面试题（7）

CMB2前端集成教程：将元框和表单带到网站前台

免费开源的质谱分析革新工具：从数据到发现的完整路径

AI编程助手Cursor Pro功能扩展指南：开源解决方案实现开发效率提升

哔哩下载姬：三步搞定B站视频永久收藏的智能工具

手机号查QQ号终极指南：3分钟快速找回遗忘的QQ号码

OpenClaw本地模型对比：千问3.5-35B-A3B-FP8与开源替代方案

像素剧本圣殿详细步骤：Qwen2.5-14B-Instruct模型服务健康检查与自动扩缩容配置

CPython AOT编译器模块全图谱，从_pycompile.c到aot_codegen.cc的17个关键函数逐行注释与性能拐点分析

QQ音乐加密文件完整解码指南：qmcdump终极教程

永磁同步电机矢量控制仿真避坑指南：从PI参数整定到SVPWM模块优化