本文来自真实的挖掘过程,所以内容是尽可能厚码再厚码!
⦁ 前言
故事线:未授权访问 => 在尖括号被转义的情况下成功插入xss => 审核定性为self-xss => 提升危害至存储型xss => 收米下机
⦁ 未授权访问与XSS的梦幻联动
首先用一个app敏感信息提取工具(关注公众号,回复app提取工具),app里有一个公开访问的展示页,后台url在这个展示页的注释里头,然后没鉴权
后台长这样,未授权进去的,第一反应sql注入和xss,本文着重讲解后者
新建测点找输出位
对于这俩输出点,要么闭合标签,要么闭合引号。但该站点已对尖括号进行转义
所以尝试利用事件执行xss,这里我主要采用与用户接口(鼠标、键盘)相关的事件,如click、mouseover等。看看效果
同样的操作可对该站点上千位客户进行攻击,在xss平台坐等鱼儿上线。似乎可以打完收工了,但有人要我加班,是谁我不说
⦁ 加班
懒得当老师,所以我决定再找一处可以前台访问的功能点,并在那里插入xss。回到后台,注意这里
找到一处可以导入svg的地方
先写一个纯洁的svg,看看输出点
该站点将svg标签替换为symbol标签,并只输出xmlns属性值(这里写一些奇怪的语句会直接报错,不予考虑),那只能在rect标签上做改动或新建其它标签了。
看我planA
本地测试ok
可导入svg后发现,onmouseover事件扑街(可以fuzz,但效率较低,想想还是算了)
再来planB
本地测试ok
但script标签扑街,只有孤独的alert(/xss/)。我的想法和planA一样,先放着找找其它功能点吧
比如创建超链接
老样子,瞅瞅输出点
看样子重定向是拿捏了,试试伪协议能不能成功
没过滤哈,保存配置去前台访问一下
拿下
收米下机
⦁ 总结
1、巧用事件打开局面;
2、佛系挖洞;
3、深究功能点,提升危害。
推荐阅读
免杀 | mimikatz.exe bypass360全家桶
原文始发于微信公众号(鹏组安全):SRC挖掘思路
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论