看我如何绕过像PRO这样的XSS过滤器（XSS高级方法）

JavaScript代码中如果存在代码注入漏洞的话，那确实是一个令人头疼的问题，由于这个项目并不是我们为企业环境做的渗透测试项目，因此我们可以直接将技术细节公布给大家。

简而言之，我们在某网站上发现了一个安全漏洞，经过一段时间的代码分析之后，我们成功发现了一个存在XSS漏洞的节点：

在该节点的JavaScript代码中，有如下代码：

使用Burp Suite扫描之后，我们发现在URL结尾添加“-alert(1)-”（”-alert(1)-”）将能够反射XSS，浏览器会告诉我们“unable to find function ALERT(1)”：

那么接下来，我们需要测试服务器到底过滤掉了什么，比如说是“</script>”、“//”、“”还是“.”。

我们也寻找到了一些解决方案，而且都跟jsfuck.com有关。

当然了，在这个站点我们也可以执行一次“alert(1)”，但这只是低危的XSS，我们想要将该漏洞提升为高危或严重漏洞。为了实现这个目标，我们将需要加载一个外部JS文件，并且能够在不需要任何用户交互的情况下执行任意Web行为。

下图显示的是一个WordPress Payload，我们的目标是在目标网站中加载要一个外部JS文件，并修改账号密码以及邮箱：

制作JsFuck Payload，在JsFuck代码中，简单地“alert(1)”会被转换为：

如果我想要实现“alert(document.cookie)”，那么整个JsFuck代码估计要到13000多个字符了。我发现，只要字符超过2500-2700个之后，目标站点的服务器就会返回“错误400”。

const SIMPLE = {

'false':      '![]',

'true':       '!0',

'undefined':  '0[0]',

'NaN':        '+[!0]',

'Infinity':   '+(+!0+(!0+[])[!0+!0+!0]+[+!0]+[0]+[0]+[0])' // +"1e1000"

};

const CONSTRUCTORS = {

'Array':    '[]',

'Number':   '(+0)',

'String':   '([]+[])',

'Boolean':  '(!0)',

'Function': '[]["fill"]',

'RegExp':   'Function("return/"+0+"/")()'

};

const MAPPING = {

'a':   '(false+"")[1]',

'b':   '([]["entries"]()+"")[2]',

'c':   '([]["fill"]+"")[3]',

'd':   '(undefined+"")[2]',

'e':   '(true+"")[3]',

'f':   '(false+"")[0]',

'g':   '(false+[0]+String)[20]',

'h':   '(+(101))["to"+String["name"]](21)[1]',

'i':   '([false]+undefined)[10]',

'j':   '([]["entries"]()+"")[3]',

'k':   '(+(20))["to"+String["name"]](21)',

'l':   '(false+"")[2]',

'm':   '(Number+"")[11]',

'n':   '(undefined+"")[1]',

'o':   '(true+[]["fill"])[10]',

'p':   '(+(211))["to"+String["name"]](31)[1]',