【20171025晚】alert(1) to win 第五题 正则表达式过滤

  吃过晚饭，再练一题

  第五题

  

function escape(s) {
  var text = s.replace(/</g, '&lt;').replace(/"/g, '&quot;');
  // URLs
  text = text.replace(/(http://S+)/g, '<a href="$1">$1</a>');
  // [[img123|Description]]
  text = text.replace(/[[(w+)|(.+?)]]/g, '<img alt="$2" src="$1.gif">');
  return text;
}

分析：

技术点：正则表达式，html链接，img标签使用

正则表达式：

第2行：替换s中所有的<和"，用html编码表示，点击查看 HTML编码表

         正则表达式 g 代表全局模式，javascript replace 用法如下

   str.replace(regexp|substr, newSubstr|function)

第4行：将http://xx形式的内容替换成<a href="http://xx">xx</a>的形式

      () 是为了提取匹配的字符串。表达式中有几个()就有几个相应的匹配字符串。

第6行：输入类似于

[[img123|Description]] 形式。

    正则表达式字符含义大全

TRY：

  1. 构造第三部的满足弹出alert(1)的s

    成功的弹出img语句应该是

    <img alt="b" onerror="alert(1)" src="a.gif"> OK! 加载a.gif失败，启动onerror的alert(1)，成功达到目的。

  2. 因为全局都将 " 替换了，所以不能用 " 闭合，所以要利用第4句构造满足的句子。

   逆推一下，"b" onerror="alert(1)" 应该是一体的，转换一下，"b" onerror='alert(1)' 去掉两个双引号，现在b之后的双引号也不是我们输入的，然后成为 "b onerror='alert(1)'"，但是b之后的 " 还必须有，那么必然是第4行提供的，哪里提供呢？

  <a href="$1">$1</a> 替换 $1，即 $1就是b，所以又变为 http://onerror='alert(1)'。

  3. 两者想合，构造 [[a|http://onerror='alert(1)']]

html渲染：

<!DOCTYPE html>
<html>
<head><meta http-equiv="Content-Type" content="text/html; charset=utf-8" />

</head>
<body>

<script type="text/javascript">
function escape(s) {
    var text = s.replace(/</g, '&lt;').replace(/"/g, '&quot;');
  // URLs
  text = text.replace(/(http://S+)/g, '<a href="$1">$1</a>');
  // [[img123|Description]]
  text = text.replace(/[[(w+)|(.+?)]]/g, '<img alt="$2" src="$1.gif">');
  return text;
}
var inputStr = "[[a|http://onerror='alert(1)']]";
var ok = escape(inputStr);
document.write(ok);
</script>

</body>
</html>

效果：