JavaScript ( (__ = !$ + $)[+$] + ({} + $)[_/_] +({} + $)[_/_] )

來源:互聯網
上載者:User

複製代碼 代碼如下:($=[$=[]][(__=!$+$)[_=-~-~-~$]+({}+$)[_/_]+
($$=($_=!''+$)[_/_]+$_[+$])])()[__[_/_]+__
[_+~$]+$_[_]+$$](_/_)

注意,上面這段看起來很混亂的代碼並不是自動換行,而是三行(當然,你寫在同一行也沒有錯)。編寫一個頁面運行一下(據說 IE 下不行),你就會發現這段代碼的功能等同於
alert(1)
為什麼會這樣呢?我們來把這段代碼拆開來分析。
$=[] // $ 被賦值為一個空數組,所以 !$ 的值為 false.
__ = !$ + $ // 加號會把 !$ 和 $ 都轉換成字串,所以 __ 的值變成了字串 “false”
_ = -~-~-~$ // 這裡有一個 ~ 操作符,它表示 -($+1),所以 -~$ 的值為 1. _ 的值為 3.
由此可以推導: 複製代碼 代碼如下:(__ = !$ + $ )[ _ = -~-~-~$] => (”false”)[_] => (”false”)[3] => “false”[3] = “s”
({} + $)[_/_] => (”[object Object]“)[_/_] => (”[object Object]“)[1] => “[object Object]“[1] = “o”

接下來再拆 $$=($_=!”+$)[_/_]+$_[+$] :
$_=!”+$ // 注意,!” 中是兩個單引號,也就是對一個Null 字元串做非運算。所以變數 $_ 被賦值為字串 “true”。
由此可推:
$$=($_=!”+$)[_/_]+$_[+$] => $$ = ( “true”)[1] + “true”[0] => “r” + “t” = “rt”
所以 (__=!$+$)[_=-~-~-~$]+({}+$)[_/_]+($$=($_=!”+$)[_/_]+$_[+$]) 就是 “s” + “o” + “rt” ,也就是 “sort”.
所以原來的運算式 複製代碼 代碼如下:($=[$=[]][(__=!$+$)[_=-~-~-~$]+({}+$)[_/_]+
($$=($_=!''+$)[_/_]+$_[+$])])()[__[_/_]+__
[_+~$]+$_[_]+$$](_/_)

可以被替換成: 複製代碼 代碼如下:($=[[]]["sort"])()[__[_/_]+__
[_+~$]+$_[_]+$$](_/_)

接下來我們看 [__[_/_]+__[_+~$]+$_[_]+$$](_/_) 是什麼東西。
前面我們已經得知:
__ = “false”
_ = 3
~$ = -1
$_ = “true”
$$ = “rt”
所以 [__[_/_]+__[_+~$]+$_[_]+$$](_/_) => ["false"[1] + “false”[3-1] + “true”[3] + “rt”](3/3) => ["a" + "l" + "e" + "rt"](1) => ["alert"](1)
所以原來的運算式最終可以被替換成:
($=[[]]["sort"])()["alert"](1)
這段代碼是如何執行的呢?我們來逐步分析:
a = [[]] // 建立一個數組
b = a["sort"] // 擷取數組的 sort 方法
c = b() // 調用數組的 sort 方法,這裡 b() 返回的是 window 對象
d = c["alert"] // 擷取 window.alert 方法
d(1) // 調用 window.alert 方法。
所以這堆亂七八遭的運算式最終的執行結果就是 window.alert(1).
更多 請看原文 和 Reddit上的討論。
原文評論裡也有人貼出了一個日本開發人員寫的小工具,可以把一段 JavaScript 代碼編碼成各種Emoji,而且可以執行,enjoy it.
BTW, 上面這段代碼除了做 XSS 攻擊之外作用不大,但是可以從分析這段代碼學習一點兒資料類型轉換相關的東西,也可以領略到 JavaScript 的靈活。
詳細代碼解析: 複製代碼 代碼如下:(
$=[$=[]] // $ = []
[
(__= !$ + $) // __ = "false"
[_=-~-~-~$] // _ = 3
// (__)[3] = "s"
+
({} + $) // ({} + $) = [object Object]
[_/_] // _/_ = 1
+ // ([object Object])[1] = "o"
($$ = //
($_=!'' + $) // !''+ $ = "true" ; $_ = "true"
[_/_] // _/_ = 1;
// $_[1] = "r"
+
$_[+$] // +$ = 0; $_[0] = "t"
) // $$= "rt"
] // ["sort"]
// []["sort"] = [].sort = function sort() { [native code] }
// $ = []["sort"]
)() // ($)() = [object Window]
[
__[_/_] // __ = "false";
// __[1] = "a"
+
__ [_+~$] //_ = 3; ~$ = -1; _ + ~$ = 2
// __[2] = "l"
+
$_[_] // $_ = "true" ; _ = 3;
// $_[3] = "e"
+
$$ // $$ = "rt"
](_/_); // _ / _ = 1
// window["alert"](1)

這裡需要注意的幾點:
1. javascript 裡面 $, _ 均可以作為變數名
2. 函數還可以這樣調用: 比如 [1,2,4,1,9,1].sort() 可以寫成 [1,2,4,1,9,1]["sort"]();
3. ~ 對數字按位取反
4. javascript 中在對不同類型的變數 使用 + 時候的規則
5. 最後一個針對某些native code寫的方法,執行會返回 window對象, 比如
var s = [].sort ; t=s(); 則 t 是 window

相關文章

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。

A Free Trial That Lets You Build Big!

Start building with 50+ products and up to 12 months usage for Elastic Compute Service

  • Sales Support

    1 on 1 presale consultation

  • After-Sales Support

    24/7 Technical Support 6 Free Tickets per Quarter Faster Response

  • Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.