TPCTF2025 Web题目解析与XSS绕过技术详解<\/h1>

1. Baby Layout题目分析<\/h2>

1.1 漏洞原理<\/h3>

该题目利用了DOMPurify库对<textarea><\/code>标签内容检测的缺陷：<\/p>


DOMPurify对<textarea><\/code>中的内容检测存在漏洞<\/li>
浏览器在遇到<textarea><\/code>标签时，会将所有后续内容视为纯文本，直到遇到<\/textarea><\/code><\/li>
这使得可以在<textarea><\/code>中插入恶意内容，绕过DOMPurify的过滤<\/li>
<\/ul>
1.2 利用步骤<\/h3>

审计发现发帖子和创建layout的API都使用了DOMPurify过滤输入<\/li>
确认该版本DOMPurify存在已知漏洞（相关CVE）<\/li>
测试发现常规XSS payload被完全过滤<\/li>
构造利用<textarea><\/code>缺陷的payload：
<textarea<\/span>><\/textarea<\/span>>
<\/span><\/span><\/code><\/pre><\/li>
通过onerror<\/code>事件触发XSS<\/li>
<\/ol>
1.3 关键点<\/h3>

利用浏览器与DOMPurify对<textarea><\/code>处理的不一致性<\/li>
通过图片加载失败触发onerror<\/code>事件<\/li>
最终payload提交到\/api\/layout<\/code>或\/api\/post<\/code>接口<\/li>
<\/ul>
2. Safe Layout题目分析<\/h2>
2.1 漏洞升级<\/h3>
这是Baby Layout的升级版，主要区别在于：<\/p>

设置了ALLOWED_ATTR<\/code>白名单为空<\/li>
但保留了ALLOW_DATA_ATTR<\/code>和ALLOW_ARIA_ATTR<\/code>的默认值(true)<\/li>
<\/ul>
2.2 利用原理<\/h3>
DOMPurify的默认配置：<\/p>

ALLOW_DATA_ATTR<\/code>默认为true：允许使用data-*<\/code>属性<\/li>
ALLOW_ARIA_ATTR<\/code>默认为true：允许使用aria-*<\/code>属性<\/li>
即使ALLOWED_ATTR<\/code>为空，仍可使用这些属性<\/li>
<\/ul>
2.3 利用步骤<\/h3>

构造使用data-*<\/code>或aria-*<\/code>属性的payload：

<\/span><\/span><\/code><\/pre><\/li>
由于\/api\/layout<\/code>接口没有替换操作，payload得以保留<\/li>
通过保留的HTML标签构造XSS<\/li>
<\/ol>
2.4 关键点<\/h3>

利用DOMPurify默认配置的宽松性<\/li>
data-*<\/code>和aria-*<\/code>属性的特殊处理<\/li>
接口未对内容进行二次处理<\/li>
<\/ul>
3. Safe Layout Revenge题目分析<\/h2>
3.1 进一步限制<\/h3>
在前一题基础上增加了限制：<\/p>

将ALLOW_DATA_ATTR<\/code>和ALLOW_ARIA_ATTR<\/code>都设置为false<\/li>
需要寻找新的绕过方式<\/li>
<\/ul>
3.2 新绕过技术<\/h3>
利用DOMPurify检测规则的缺陷：<\/p>

DOMPurify依赖正则表达式\/<[\/\w]\/<\/code>进行检测<\/li>
使用{{content}}<\/code>导致出现<{<\/code>这种模式<\/li>
这种模式无法被DOMPurify正确检测<\/li>
<\/ul>
3.3 利用步骤<\/h3>

构造包含{{content}}<\/code>的payload<\/li>
利用动态内容替换构造XSS<\/li>
示例payload：
<<\/span>{{content}}script>alert(1)<\/script<\/span>>
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
3.4 关键点<\/h3>

利用DOMPurify正则检测的盲区<\/li>
动态内容替换的技巧<\/li>
特殊字符组合绕过过滤<\/li>
<\/ul>
4. Supersqli题目分析<\/h2>
4.1 注入技术<\/h3>


初始尝试<\/strong>：<\/p>

时间盲注：发现远程数据库和附件数据库的目标表是空的<\/li>
堆叠注入：注入点的raw()<\/code>只支持单个语句执行，不可行<\/li>
<\/ul>
<\/li>

Quine注入<\/strong>：<\/p>

通过自引用查询绕过空表限制<\/li>
示例payload：
SELECT<\/span> REPLACE<\/span>(REPLACE<\/span>('SELECT REPLACE(REPLACE("$",CHAR(34),CHAR(39)),CHAR(36),"$") AS Quine'<\/span>,CHAR(34<\/span>),CHAR(39<\/span>)),CHAR(36<\/span>),'SELECT REPLACE(REPLACE("$",CHAR(34),CHAR(39)),CHAR(36),"$") AS Quine'<\/span>) AS<\/span> Quine
<\/span><\/span><\/code><\/pre><\/li>
<\/ul>
<\/li>

uwsgi中间件编码绕过<\/strong>：<\/p>

利用uwsgi支持的编码方式绕过WAF<\/li>
另一种方法：利用Go不解析filename参数的特性，绕过代理服务器对password参数的检测<\/li>
<\/ul>
<\/li>
<\/ol>
4.2 关键点<\/h3>

Quine注入的自引用技术<\/li>
中间件特性导致的WAF绕过<\/li>
不同语言处理参数的差异性<\/li>
<\/ul>
5. 防御建议<\/h2>

更新DOMPurify到最新版本<\/li>
明确设置所有安全相关的配置选项，不要依赖默认值<\/li>
对ALLOW_DATA_ATTR<\/code>和ALLOW_ARIA_ATTR<\/code>根据实际需求进行配置<\/li>
对<textarea><\/code>等特殊标签进行额外检查<\/li>
实施多层防御策略，不依赖单一过滤机制<\/li>
<\/ol>
6. 参考资源<\/h2>

Exploring the DOMPurify Library: Hunting for Misconfigurations<\/a><\/li>
CTF-Writeups by Sudistark<\/a><\/li>
<\/ol>

TPCTF2025 Web题目解析与XSS绕过技术详解<\/h1>

1. Baby Layout题目分析<\/h2>

2. Safe Layout题目分析<\/h2>

3. Safe Layout Revenge题目分析<\/h2>

4. Supersqli题目分析<\/h2>

6. 参考资源<\/h2> Exploring the DOMPurify Library: Hunting for Misconfigurations<\/a><\/li> CTF-Writeups by Sudistark<\/a><\/li> <\/ol>

6. 参考资源<\/h2>

Exploring the DOMPurify Library: Hunting for Misconfigurations<\/a><\/li>
CTF-Writeups by Sudistark<\/a><\/li> <\/ol>