短域名進化史

wyzsk發表於2020-08-19
作者: mramydnei · 2014/08/20 10:52

一個短的域名一直都是很多人所推崇的。因為對於大部分人來說,域名越短就會越好記憶。但是,還存在一部分人,他們不在乎域名是否好記,但是他們巴不得自己的域名只有三位,兩位甚至是沒有長度。他們,就是XSSer。

0x00 男人為什麼要比短


正常的男人都喜歡比誰長,而狂熱的XSSer都喜歡比誰短。因為在真實的世界裡,我們往往都會遇見字元長度限制。其中的部分問題,是可以透過Short Talk Of XSS中提到的方法進行解決的。但還有一部分極端的場景,是沒有辦法靠那些硬技術去解決的。比如,我的好友@/fd最近出的prompt.ml這個XSS系列挑戰當中就有這樣的一道題:

function escape(input) {
    // make sure the script belongs to own site
    // sample script: http://prompt.ml/js/test.js
    if (/^(?:https?:)?\/\/prompt\.ml\//i.test(decodeURIComponent(input))) {
        var script = document.createElement('script');
        script.src = input;
        return script.outerHTML;
    } else {
        return 'Invalid resource.';
    }
}

由於挑戰還沒有結束,所以在這篇文章中我們會避免一些可能會透露答案的資訊。但是,可以確定的是我們是沒有辦法從src跳出來的。也就是說,故事會圍繞怎麼在這個場景下呼叫遠端JS檔案這個話題進行下去。所以,那些Short Talk Of XSS當中給出的解決方案,對於這種場景來說是無能為力的。我們需要關注的是如何讓自己的域名變短。

0×01 短域名之初體驗


一個即簡單又直接的方法就是買。通常三位的域名,基本上都是XSSer人手一個。比如,我在不久前就買了x55.me.看上去很醜,但是起碼算總長度的話,它還是6位的。有了一個短的域名不但能幫助你繞過一些長度限制,還可以讓你在與大牛同臺競技時,不會輸在非技術性的細節上。

既然靠錢可以解決,那我們為什麼不買兩位的呢?問題是兩位域名價格相對較高而且很難能找到沒有被註冊。

enter image description here

而且作為有Hack精神的群體,我們更希望用技術來解決問題。所以讓我們先回到購買3位域名的問題。有沒有辦法不花錢就弄到和三位域名一樣效果的URL呢?答案是,有的。這裡和大家分享一個生成短網址的網站:

http://xn--hqd.ws/

enter image description here

藉助這個網站,就可以讓我們擁有一個和xxx.xx一樣長度的域名來呼叫遠端JS了。^_^

得到生成的連結:

enter image description here

but,wait!那個看上去不怎麼可愛的韓文字元長度真的是1麼?

讓我們開啟瀏覽器驗證一下:

enter image description here

看上去Javascript確實認為”ᄒ”的長度為1.但,如果驗證長度的是Javascript還需要整這麼麻煩?直接抓包改包,不就過去了麼?是的,所以讓我們在PHP裡再做一下驗證。php當中判斷字串長度的函式有兩個,分別是strlen和mb_strlen。後者,與前者最大的不同就是就是可以在引數中定義字符集。我們來寫一個簡單的指令碼:

<?php
echo 'strlen is:'.strlen($_GET["str"]).'<br>';
echo ' mb_strlen is:'.mb_strlen($_GET["str"]).'<br>';
echo 'utf-8 mb_strlen is:'.mb_strlen($_GET["str"], 'utf-8').'<br>';
echo 'gbk mb_strlen is:'.mb_strlen($_GET["str"], 'gbk').'<br>';
echo 'gb2312 mb_strlen is:'.mb_strlen($_GET["str"], 'gb2312').'<br>';
echo 'gb18030 mb_strlen is:'.mb_strlen($_GET["str"], 'gb18030').'<br>';
echo 'big5 mb_strlen is:'.mb_strlen($_GET["str"], 'big5').'<br>';
?>

透過指令碼來觀察一下,不同函式和字符集設定的情況下”ᄒ”長度分別會是多少:

enter image description here

可以看到當我們使用更為規範的mb_strlen並將字符集設定為比較常見的utf-8和gb18030時,該字元長度只有1.也就是說,在面對懂得規範輸寫的碼農時,這種方法是成立的。我們並沒有花一分錢就得到了一個和三位域名在長度上等效的URL。awesome! PS:由於mb_strlen在字符集為utf-8的情況下,長度結果和控制檯是一樣的,所以下面都使用控制檯截圖代替。

enter image description here

但是還不夠短,因為後面還有路徑。既然韓國人的玩意兒字元長度可以是1,那中文可以麼?答案自然是可以的。我們只需要購買一個字尾為兩位的中文域名(如果你看明白了,就該懂其實中文,韓文什麼的一點都不重要)。而且已經有人這麼去做了。比如我們的小夥伴,0x_Jin已經入坑。

http://靖.pw

enter image description here

0×02 Unicode黑魔法


回顧一下,我們從收費的xxx.xx進化到了免費的x.xx/x,再進一步進化到了x.xx。我們已經將域名縮短到了傳說中的4位。還能再短麼?如果不能就真的沒有必要寫這個文章了。在這裡,[email protected]

http://靖.㎺

enter image description here

看上去pw有些奇怪?沒錯,因為這並不是p和w,而是unicode字元㎺(U+33BA)。這個也能訪問?點一下連結不就知道嘍。這是個即神奇但又不陌生的現象。為什麼這麼說呢,因為我們經常會碰到這樣的情況。當我們在忘記切換輸入法,拿著中文輸入法就在URL敲入:

http://www。baidu。com

並按下回車時,會發現還是會正常跳入www.baidu.com,這個問題其實就已經證明了在hostname中,這種事情是有在發生的。但需要尊重的是,我們誰都沒有想過可以藉助這種現象來縮短我們的域名長度。所以技術一直都在於創新度而不在於難[email protected]到這裡,我們的域名已經進化到x.x也就是三位的長度了。但是,我們不可能停留在pw上面,[email protected]/fd寫的一個hostname的fuzzer:

enter image description here

然後我們得到了一些非常有趣的結果。由於內容比較多在這裡只顯示部分結果。首先是一些可以作為域名字尾的unicode字元:

dz : dz     //valid domain ext
₨ : rs     //valid domain ext
№ : no     //valid domain ext
℠ : sm     //valid domain ext
℡ : tel    //valid domain ext
™ : tm     //valid domain ext
㎁ : na    // valid domain ext
U+3377 : dm   //valid domain ext
㎃ : ma  // valid domain ext
㎋ : nf  //valid domain ext
㎖ : ml  //valid domain ext
㎙ : fm  //valid domain ext
㎝ : cm  //valid domain ext
㎰ : ps  //valid domain ext
㎳ : ms  //valid domain ext
㎺ : pw  //valid domain ext
㎽ : mw  //valid domain ext
㏄ : cc  //valid domain ext
㏅ : cd  //valid domain ext
㏉ : gy  //valid domain ext
㏌ : in  //valid domain ext
㏗ : ph //valid domain ext
㏚ : pr  //valid domain ext
㏛ : sr  //valid domain ext
fi : fi  //valid domain ext
ſt : st //valid domain ext
st : st //valid domain ext

這樣一來,我們能夠買的就不單是pw結尾的域名了。不過需要說一下的是,在我們現在的比價結果中,pw是最便宜的。一個漢字.pw的域名在XX互聯只需要18元就能拿下了。讓我們繼續來看其它的一些有趣的結果。這次,讓我們繼續回到免費這個話題上面。

Ⅷ : viii ㎉ : kcal 可以看到在這次的結果中。我們列出來了兩個可以用一個unicode字元代替4個字元的結果。然而.ml結尾的域名,是可以免費註冊到長度大於等於4的域名的。所以,我們的小夥伴就搶佔先機,拿下了:

enter image description here

Ⅷ.㎖ 和 ㎉.㎖ 4 這樣,兩個免費的3位域名(總長度)就到手了。但是三位還是有點長。我們能做到2位麼?讓我們再來看看另一部分的fuzz結果:

⒈ : 1.   //use one unicode char instead of 2 chars and include dot
⒉ : 2.   //use one unicode char instead of 2 chars and include dot
⒊ : 3.   //use one unicode char instead of 2 chars and include dot
⒋ : 4.   //use one unicode char instead of 2 chars and include dot
⒌ : 5.   //use one unicode char instead of 2 chars and include dot
⒍ : 6.   //use one unicode char instead of 2 chars and include dot
⒎ : 7.   //use one unicode char instead of 2 chars and include dot
⒏ : 8.   //use one unicode char instead of 2 chars and include dot
⒐ : 9.   //use one unicode char instead of 2 chars and include dot
⒑ : 10.   //use one unicode char instead of 3 chars and include dot
⒒ : 11.   //use one unicode char instead of 3 chars and include dot
⒓ : 12.   //use one unicode char instead of 3 chars and include dot
⒔ : 13.   //use one unicode char instead of 3 chars and include dot
⒕ : 14.   //use one unicode char instead of 3 chars and include dot
⒖ : 15.   //use one unicode char instead of 3 chars and include dot
⒗ : 16.   //use one unicode char instead of 3 chars and include dot
⒘ : 17.   //use one unicode char instead of 3 chars and include dot
⒙ : 18.   //use one unicode char instead of 3 chars and include dot
⒚ : 19.   //use one unicode char instead of 3 chars and include dot
⒛ : 20.   //use one unicode char instead of 3 chars and include dot
㏘ : p.m. //include dot
㏂ : a.m. //include dot
㏇ : co. //valid domain ext and also include dot

這部分結果,非常的有趣。因為這些unicode字元最後會被解釋為帶”.”的字元。也就是說,如果我們購買了20.xx,然而這個xx又正好是可以用一個unicode字元可以代替的字尾的話,我們的長度就會變成?2位!當然,我們已經這麼去做了。這是我們的戰利品:

http://⒛₨

PS:當然這不是免費的。如果你有辦法註冊2位的免費域名也希望你能告訴我

enter image description here

不過機智的你,可能會發現在webkit下面當你點選上面的連結時,會跳轉到about:blank。也就是說這種使用帶dot的unicode字元的方法在webkit下面是不適用的。那這樣一來,如果使用20.₨的話,長度不就又變成3+1了麼?我們還有別的輔助:

⑩ : 10   //use one unicode char instead of 2 chars
⑪ : 11   //use one unicode char instead of 2 chars
⑫ : 12   //use one unicode char instead of 2 chars
⑬ : 13   //use one unicode char instead of 2 chars
⑭ : 14   //use one unicode char instead of 2 chars
⑮ : 15   //use one unicode char instead of 2 chars
⑯ : 16   //use one unicode char instead of 2 chars
⑰ : 17   //use one unicode char instead of 2 chars
⑱ : 18   //use one unicode char instead of 2 chars
⑲ : 19   //use one unicode char instead of 2 chars
⑳ : 20   //use one unicode char instead of 2 chars

原來20也是可以透過單個字元來代替的。這樣一來,我們就可以透過靈活的切換遊走在2位和3位之間了。

http://⑳.₨  //相容所有瀏覽器
http://⒛₨  //相容Firefox和IE

enter image description here

這真是非常激動人心的。在將域名長度縮短到了兩位之後,讓我們再來看看另外一部分的結果:

℀ : a/c    // path
℁ : a/s    // path
℅ : c/o    // path
℆ : c/u    // path

在這部分結果當中,發現有些unicode字元最終會被解釋稱 字元/字元。此外,我們之前提到的會帶”.”的結果作為二級域名提供給使用者,也將會是一個很不錯的選擇。比如:

http://⒛⒛₨  //相容IE和FF

enter image description here

0×03 寫在最後


這就是,我們在這些日子裡不停的fuzzing,思考,調查所得到的結果。

x55.me(6位)->20.rs(5位)->靖.pw(4位)->⑳.₨(3位)->⒛₨(2位)->? 

我們討論了很多。討論瞭如果在這些知識基礎上開放一個XSS平臺會如何,是否會被山寨?我覺得山寨是肯定會有的。因為trick都已經放出來了,所以對於效仿者來說只需要照著用就可以了。但是,好的技術支援和功能模組也許真的不是ctrl+c就能帶走的。所以我相信我們會做出來一個不會被複制的平臺。

最後,讓我們再次以長度的話題結尾。那麼,1位是可能的麼?也許對於土豪來說買個tld就是可能的。

http://ai

你需要做的就是買一個可以用單個unicode字元代替的tld。

Thanks for your time.

本文章來源於烏雲知識庫,此映象為了方便大家學習研究,文章版權歸烏雲知識庫!

相關文章