Javascript 如何处理连字符？

Question

我正在查看XSS Game 和这个名为Jeff 的挑战。

挑战将名为jeff 的查询参数作为输入，并将其存储在名为jeff 的变量中。挑战的目标是在页面上加载一个警告框。该解决方案使用连字符在 eval() 函数中运行 Javascript。

所以，我们有这个评估：

eval(`ma = "Ma name ${jeff}"`)

获得警报框的解决方案输入是（剧透警报！没有双关语。）：

"-alert(1337)-"

现在，我迫切需要了解 Javascript 如何处理这些连字符！救命！？

Answer 1

网站使用的代码是：

let jeff = (new URL(location).searchParams.get('jeff') || "JEFFF")
eval(`ma = "Ma name ${jeff}"`)

注意searchParams给你一个URLSearchParams对象，它的.get方法给你一个对应参数的字符串。所以，目标是想出一些字符，当插入时

ma = "Ma name <CHARACTERS>"

并运行，导致任意代码执行。

第一步是将"s中的字符包围起来，这样name之后的字符串文字结束，CHARACTERS之后的字符串文字恢复：

ma = "Ma name " <SOMETHING ELSE> ""

所以现在你需要弄清楚哪些字符可以进入<SOMETHING ELSE>，这将产生有效的Javascript代码。

如果你只是输入alert()，那将是无效的：

ma = "Ma name " alert() ""

这是一个语法错误。您需要一些东西来表明alert 与它之前的字符串文字标记有什么关系。 - 可以解决问题，但任何其他运算符也可以，例如 +、% 等。您还需要将alert 的末尾与恢复的字符串文字连接起来，因此末尾需要另一个运算符：

ma = "Ma name "-alert('foo')-""
//            ^^^^^^^^^^^^^^^^

ma = "Ma name "-alert('foo')-""

所以，需要插入的字符是：

"-alert('foo')-"

请注意，由于字符串是在搜索参数内部传递的，+ 不会被解释为文字字符 + - 而是interpreted as a space。所以jeff="+alert(1337)+" 不起作用，但jeff="%2balert(1337)%2b" 会。

分号也可以，因为它们会导致：

ma = "Ma name " <SOMETHING ELSE> ""
ma = "Ma name "; alert()        ;""

这是有效的语法。