SRC挖掘思路

admin 2022年4月6日10:45:45安全文章评论77 views856字阅读2分51秒阅读模式

来自真实的挖掘过程,所以内容是尽可能厚码再厚码!


前言

故事线:未授权访问 => 在尖括号被转义的情况下成功插入xss  => 审核定性为self-xss => 提升危害至存储型xss => 收米下机


⦁   未授权访问与XSS的梦幻联动

首先用一个app敏感信息提取工具(关注公众号,回复app提取工具),app里有一个公开访问的展示页,后台url在这个展示页的注释里头,然后没鉴权


后台长这样,未授权进去的,第一反应sql注入和xss,本文着重讲解后者

SRC挖掘思路


新建测点找输出位

SRC挖掘思路

SRC挖掘思路


对于这俩输出点,要么闭合标签,要么闭合引号。但该站点已对尖括号进行转义

SRC挖掘思路


所以尝试利用事件执行xss,这里我主要采用与用户接口(鼠标、键盘)相关的事件,如click、mouseover等。看看效果

SRC挖掘思路

SRC挖掘思路


同样的操作可对该站点上千位客户进行攻击,在xss平台坐等鱼儿上线。似乎可以打完收工了,但有人要我加班,是谁我不说

SRC挖掘思路


加班

懒得当老师,所以我决定再找一处可以前台访问的功能点,并在那里插入xss。回到后台,注意这里

SRC挖掘思路


找到一处可以导入svg的地方

SRC挖掘思路


先写一个纯洁的svg,看看输出点

SRC挖掘思路

SRC挖掘思路


该站点将svg标签替换为symbol标签,并只输出xmlns属性值(这里写一些奇怪的语句会直接报错,不予考虑),那只能在rect标签上做改动或新建其它标签了。

看我planA

SRC挖掘思路


本地测试ok

SRC挖掘思路


可导入svg后发现,onmouseover事件扑街(可以fuzz,但效率较低,想想还是算了)

SRC挖掘思路


再来planB

SRC挖掘思路


本地测试ok

SRC挖掘思路


但script标签扑街,只有孤独的alert(/xss/)。我的想法和planA一样,先放着找找其它功能点吧

SRC挖掘思路


比如创建超链接

SRC挖掘思路


老样子,瞅瞅输出点

SRC挖掘思路

SRC挖掘思路


看样子重定向是拿捏了,试试伪协议能不能成功

SRC挖掘思路

SRC挖掘思路


没过滤哈,保存配置去前台访问一下

SRC挖掘思路


拿下

SRC挖掘思路


收米下机

SRC挖掘思路


总结

1、巧用事件打开局面;

2、佛系挖洞;

3、深究功能点,提升危害。

SRC挖掘思路


SRC挖掘思路


SRC挖掘思路


推荐阅读



干货 | 渗透知识库(鹏组安全)


实战 | 记一次渗透测试(绕过某塔)


免杀 | mimikatz.exe bypass360全家桶




好文分享收藏赞一下最美点在看哦

原文始发于微信公众号(鹏组安全):SRC挖掘思路

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月6日10:45:45
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  SRC挖掘思路 http://cn-sec.com/archives/867653.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: