本公众号发布的文章均转载自互联网或经作者投稿授权的原创,文末已注明出处,其内容和图片版权归原网站或作者本人所有,并不代表安世加的观点,若有无意侵权或转载不当之处请联系我们处理,谢谢合作!
欢迎各位添加微信号:asj-jacky
加入安世加 交流群 和大佬们一起交流安全技术
文章来自" bgbing安全",未经授权,禁止转载(如发现抄袭本文,欢迎举报,联系黑子黑,将获取奖励!)
本文来自真实的挖掘过程,所以内容是尽可能厚码再厚码!
⦁前言
故事线:未授权访问 => 在尖括号被转义的情况下成功插入xss => 审核定性为self-xss => 提升危害至存储型xss => 收米下机
⦁ 未授权访问与XSS的梦幻联动
首先用一个app敏感信息提取工具(关注公众号,回复app提取工具),app里有一个公开访问的展示页,后台url在这个展示页的注释里头,然后没鉴权
后台长这样,未授权进去的,第一反应sql注入和xss,本文着重讲解后者
新建测点找输出位
对于这俩输出点,要么闭合标签,要么闭合引号。但该站点已对尖括号进行转义
所以尝试利用事件执行xss,这里我主要采用与用户接口(鼠标、键盘)相关的事件,如click、mouseover等。看看效果
同样的操作可对该站点上千位客户进行攻击,在xss平台坐等鱼儿上线。似乎可以打完收工了,但有人要我加班,是谁我不说
⦁加班
懒得当老师,所以我决定再找一处可以前台访问的功能点,并在那里插入xss。回到后台,注意这里
找到一处可以导入svg的地方
先写一个纯洁的svg,看看输出点
该站点将svg标签替换为symbol标签,并只输出xmlns属性值(这里写一些奇怪的语句会直接报错,不予考虑),那只能在rect标签上做改动或新建其它标签了。
看我planA
本地测试ok
可导入svg后发现,onmouseover事件扑街(可以fuzz,但效率较低,想想还是算了)
再来planB
本地测试ok
但script标签扑街,只有孤独的alert(/xss/)。我的想法和planA一样,先放着找找其它功能点吧
比如创建超链接
老样子,瞅瞅输出点
看样子重定向是拿捏了,试试伪协议能不能成功
没过滤哈,保存配置去前台访问一下
拿下
收米下机
⦁总结
1、巧用事件打开局面;
2、佛系挖洞;
3、深究功能点,提升危害。
本文是bgbing安全内部bro师傅的投稿,bgbing安全拥有对此文章的修改、删除和解释权限,如转载或传播此文章,需保证文章的完整性,未经允许,禁止转载!利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。
原文始发于微信公众号(安世加):技术干货 | SRC挖掘思路(三)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论