之前我在玩一個(gè)XSS游戲的時(shí)候突然有了些想法，本著分享的原則，于是便有了這篇文章。在此，我將分享一個(gè)此前沒(méi)有接觸過(guò)的一個(gè)XSS攻擊向量。

[[152113]]

相同水平的前提下，在攻擊向量中不使用任何字母，且必須調(diào)用alert(1)。

閑話少說(shuō)，看這里：

""[(!1+"")[3]+(!0+"")[2]+(''+{})[2]][(''+{})[5]+(''+{})[1]+((""[(!1+"")[3]+(!0+"")[2]+(''+{})[2]])+"")[2]+(!1+'')[3]+(!0+'')[0]+(!0+'')[1]+(!0+'')[2]+(''+{})[5]+(!0+'')[0]+(''+{})[1]+(!0+'')[1]](((!1+"")[1]+(!1+"")[2]+(!0+"")[3]+(!0+"")[1]+(!0+"")[0])+"(1)")()

真是一團(tuán)糟，我們到底做了些什么呢?接下來(lái)容我慢慢給大家道來(lái)。

分析

首先從空字符串開(kāi)始，接下來(lái)我們?cè)L問(wèn)括號(hào)而不是我們熟悉的點(diǎn)符號(hào)的屬性。

請(qǐng)注意，在接下來(lái)的一分鐘我們將構(gòu)建字符串，不會(huì)用到點(diǎn)符號(hào)構(gòu)造字符串名的對(duì)象屬性，現(xiàn)在切換到括號(hào)。

現(xiàn)在我們?cè)L問(wèn)的是什么屬性?下面這個(gè)就是“字符串”

(!1+"")[3]+(!0+"")[2]+(''+{})[2]

接下來(lái)從!1(false)開(kāi)始，將“”添加到一個(gè)non-String值中是一個(gè)快速且直接的方法，所以(!1+””)我們得到false

將字符帶入索引3中的“false”(結(jié)果切好是s)，在(!0+””)[2]或者“true”[2]再次嘗試，你會(huì)得到字母u。最后將字符帶入索引2的字符串“[object Object]”中，你會(huì)得到字母b。

不使用任何字母，構(gòu)造一個(gè)字符串來(lái)訪問(wèn)空字符串對(duì)象的“sub”屬性，然而sub不僅僅是一個(gè)屬性，它還是一個(gè)函數(shù)!

此時(shí)此刻，你可能會(huì)認(rèn)為我接下來(lái)會(huì)通過(guò)調(diào)用String.sub函數(shù)破壞過(guò)濾?；蛟S這么做也行，但是我選擇更加有深度的做法，函數(shù)有什么內(nèi)置屬性?如何構(gòu)造函數(shù)?

如果你打開(kāi)一個(gè)JavaScript控制臺(tái)，鍵入“”[“sub”][“constructor”]，你看到了什么?為什么得到了Function()函數(shù)!似乎我們有事情干了…

給你點(diǎn)提示：這其中有n

((""[(!1+"")[3]+(!0+"")[2]+(''+{})[2]])+"")[2]

我們有熟悉的“”[“sub”]:

((""["sub"])+"")[2]

向其中增加“”，得到function sub() { [native code] }。將字符帶入索引2得到字母n

總結(jié)

我們現(xiàn)在得到了相當(dāng)于Function()的“”[“sub”][“constructor”]，調(diào)用它我們就可以定義一個(gè)函數(shù)了。當(dāng)我們嘗試調(diào)用alert(1)時(shí)，就需要連接更多的“true”和“false”來(lái)構(gòu)建alert字符串，其后在加上+”(1)”。

現(xiàn)在我們調(diào)用Function(“alert(1)”)，大功告成，現(xiàn)在只需一個(gè)調(diào)用，返回一個(gè)匿名函數(shù)就可以實(shí)現(xiàn)彈出。

// empty string""// ["sub"][(!1+"")[3]+(!0+"")[2]+(''+{})[2]]// ["constructor"][(''+{})[5]+(''+{})[1]+((""[(!1+"")[3]+(!0+"")[2]+(''+{})[2]])+"")[2]+(!1+'')[3]+(!0+'')[0]+(!0+'')[1]+(!0+'')[2]+(''+{})[5]+(!0+'')[0]+(''+{})[1]+(!0+'')[1]]// ("alert(1)")(((!1+"")[1]+(!1+"")[2]+(!0+"")[3]+(!0+"")[1]+(!0+"")[0])+"(1)")// call anonymous function returned by Function()()

本文最開(kāi)始的Function(“alert(1)”)()確實(shí)十分混亂，不使用任何可識(shí)別的字符串確實(shí)很難辨識(shí)。你可以在地址欄鍵入“javascript:”復(fù)制粘貼上面的代碼點(diǎn)擊回車鍵進(jìn)行測(cè)試。

我喜歡你能夠喜歡JavaScript語(yǔ)言中這種十分隱晦的表達(dá)方式，Happy hacking!