博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
一次有趣的XSS漏洞挖掘分析(1)
阅读量:6991 次
发布时间:2019-06-27

本文共 2318 字,大约阅读时间需要 7 分钟。

最近认识了个新朋友,天天找我搞XSS。搞了三天,感觉这一套程序还是很有意思的。因为是过去式的文章,所以没有图。但是希望把经验分享出来,可以帮到和我一样爱好XSS的朋友。我个人偏爱富文本XSS,因为很有趣。有趣的地方是你需要一点一点的测试都过滤了些什么,怎么过滤的。我想,这也是黑盒测试最让人着迷的地方吧

  
  首先,锁定了提交问题的模块,因为这块有编辑器。然后开始fuzz filter规则。一共有两个输入点:标题,内容
  我一般喜欢从内容入手,因为这块没有长度限制。一开始先一个一个测试一些可以用来XSS攻击的标签。

 01:

经过一系列测试之后,发现存活的只有<img>和<a>标签。这就比较尴尬了。这种情况下一般能用起来的,属性也就几个了onload,onerror,onmouseover,onclick和href

  理清思路之后开始第二轮的测试,就是属性测试:

01;

01:

测试后发现,这几个好用的on事件都被过滤了。然而程序员为了防止插入<script>把scr给过滤了,所以href里面也不可能再写伪协议来执行XSS了。

  搞到这的时候,心想搞个data URI(<a href=data:text/html;base64,PHNjcmlwdD5hbGVydCg0MSk8L3NjcmlwdD4=>求助</a>)就算了。起码FF下还会继承当前域。不过基友不愿意啊。想了想也是这是打后台,只能搞一些通杀的XSS,不然不白扯么。然后回过头来看了下标题。还是上面的测试流程。意外的发现标题出居然没有对img标签进行过滤,属性种只有onload没有被过滤。接着先试了下

01:

被拦截了。又蛋疼的测试了一会儿后发现document被过滤了。好吧……转成unicode,继续绕:

这下过了,不过把页面给毁了。呵呵,人嘛 总有那么几天会犯傻逼。重新注册个帐号。心想这次要一次搞定,所以还是避免单引号吧,就写了个:

很好,又被拦截了。测试了很长时间终于没有耐心了(这个标题有字数限制,如果不找到过滤的字符,而是整篇都转了,长度会不够)。发现Char被过滤了(一看就是把防注入和防XSS写一块儿了。屌丝何必难为屌丝……),不像再走这条路了。换个姿势:

终于写好了一个没有document,没有char,没有scr的payload,再多两个字就插不进去了。写好了通用的payload后,发给了基友,过一天。他又M我说,有一个一样的站,不过搞不定。

不知道为什么一套程序会有这么多变异版本。这次的情况更有趣了。内容插入的标签都被HTMLEncode了。标题处已经不能再插img标签了。心想估计是升级版吧。结果他说没事儿,我知道这个不能搞,搞不定就算了。换谁谁都怒了。继续用前面的方式,fuzz标题处允许的标签,fuzz出来4个:

  <img> <div> <style> <a>
   开始做属性测试,还是上面那一套方法,发现<p onmouseover>没有问题,那上面的payload改了一改。

发给他就睡觉了。结果第三天,他又搞了一个站说前面两个方法都不行。真是奇怪了。这奇葩程序到底是谁在维护,f4ck it.这次更有趣了。标题和内容都被HTMLencode了,而且编辑器直接被去掉了。不过这次多了个功能。叫上传图片。其实搞到这儿的时候,已经很累了。不过放弃不是我性格,只能接着搞了。这是我最喜欢linux的一点,因为文件名的命名规则没有win那么矫情。搞了个图片,名称改成:

.png

由于是新功能。程序员没有对文件名进行htmlencode直接输出在了页面,小框框再一次弹起。舒服多了…… 不过又有新的问题了。由于是文件上传,所以我们的payload中不能出现,"/" 我觉得应该是会被认成filepath然后就被截断了。再换个姿势:

 
   
 
   
没有scr,没有Char,没有document,没有“/”的姿势就算写好了。
  到这儿还没完。还有1个呢。后面他又给我发了个变异版本。说能插进去却执行不了。拿过来网站后看了下。好家伙,这次更好玩了。之前的三个站,标题的长度限制都是100(不是客户端验证,是在定义数据库字段的时候,做了限制)。这次的长度只有35,payload后面的部分都被吃掉了。目测数据库那块儿没变,但是在PHP端,做了限制。还多了个安全宝(要不要这样?)别的还好拆。这onmouseover拆成10个20个的,让人一个一个划过去,这心里边没底啊。只能找别的payload了。这次也累了,就随便试了一下:
 
   
 
    
 
   
 
   
发完贴之后变成了:
 
   
 
    
 
   
 
   
一时没搞明白是什么情况,随后试了一下:
 
   
 
    
 
   
 
   
变成了:
 
   
 
    
01.
 
   
 
   
原来是在发现一个以上的空格时,会从第二个空格开始把后面内容都过虑了。这就好弄了。换空格的法儿就多了,祭出Hexeditor,把第二个空格换成0x0C:
 
   
2013-12-24 22:51:47的屏幕截图.png
 
   
保存后,复制payload:
 
   
 
    
 
   
 
   
我的乖乖终于弹起来了。综合考虑,前面的那些被过滤的字符(document,scr,char,"/"),打算还是转成8进制算了。反正拆完的内容最后还要eval一下。就有了:
 
   
 
    
01.02.03.04.05.06.07.08.09.10.11.12.13.14.15.16.17.18.19.20.21.22.23.24.25.
 
   
 
   
插入的时候,倒序插入(因为帖子会按照时间顺序来呈现)。最后就算搞定了。感觉是次很有趣的经历。虽然有点长但耐心读完应该还是有帮助的。虽然不是什么碉堡的程序,但是国内有很多家***都在用这套。所以不方便透漏是哪一套。如果你知道是哪一套,也希望你不要说出来.
 
   
 
 
   
 
 
   
 
 
   
 
 
   
 
 
   
 
 
   
 
 
   
 
 
   
 
 
   
 
 
   
 
 
   
 
 
   
 
 
   
 
 
  
 
  
转载于:https://www.cnblogs.com/hookjoy/p/3503786.html
 

        

        

            你可能感兴趣的文章
        

        
            

                
TMG2010功能篇

                
查看>>

            

        
            

                
DVWA系列之22 low级别上传漏洞

                
查看>>

            

        
            

                
在Vista中使用兼容模式运行应用程序

                
查看>>

            

        
            

                
AUSU F6A系列笔记本装xp遇到的问题

                
查看>>

            

        
            

                
linux的磁盘配额

                
查看>>

            

        
            

                
Lync 2010与Lync 2013共存及迁移部署参考v1.0

                
查看>>

            

        
            

                
Android应用程序组件Content Provider的共享数据更新通知机制分析(2)

                
查看>>

            

        
            

                
企业服务经验总结--服务器安全细则1

                
查看>>

            

        
            

                
Lync与Exchange 2013 UM集成:Exchange 配置

                
查看>>

            

        
            

                
玩转“网上邻居”之WINS解析(一)

                
查看>>

            

        
            

                
Lync 小技巧-20-检查-Active Directory Replication Status

                
查看>>

            

        
            

                
IT168采访记录

                
查看>>

            

        
            

                
微软私有云虚拟化产品

                
查看>>

            

        
            

                
Linux下用crontab定时执行PHP程序

                
查看>>

            

        
            

                
开启mysql审计后引发的问题

                
查看>>

            

        
            

                
终于学会后空翻!历经多次NG,波士顿动力机器人再get新技能

                
查看>>

            

        
            

                
检查Linux系统日志error和mysql错误日志的脚本

                
查看>>

            

        
            

                
Android -- Service的开启关闭与生命周期

                
查看>>

            

        
            

                
结构化项目管理:十步法 [摘自:成功的软件项目管理]

                
查看>>

            

        
            

                
cuda并行编程之求解ConjugateGradient(共轭梯度迭代)丢失dll解决方式

                
查看>>

            

        
    






    

            

                
喝酒易醉,品茶养心,人生如梦,品茶悟道,何以解忧?唯有杜康!-- 愿君每日到此一游!

                

                    当前时间: 2025-02-05 11:49:44  
                    当前IP: 3.21.37.58  
                    联系邮箱:javaeecc@qq.com
                        Copyright © 2020 - 2022 baihongyu.com
                    京ICP备2021015314号-2
                

            


                
                    

                    强烈建议你试试无所不能的CHAT-GPT,快点击我
                    

                
                
                    

                        强烈建议你试试无所不能的CHAT-GPT,快点击我