技术干货 | SRC挖掘思路(三)

admin 2022年5月7日09:51:55安全文章评论7 views1110字阅读3分42秒阅读模式

本公众号发布的文章均转载自互联网或经作者投稿授权的原创,文末已注明出处,其内容和图片版权归原网站或作者本人所有,并不代表安世加的观点,若有无意侵权或转载不当之处请联系我们处理,谢谢合作!


欢迎各位添加微信号:asj-jacky

加入安世加 交流群 和大佬们一起交流安全技术


文章来自" bgbing安全",未经授权,禁止转载(如发现抄袭本文,欢迎举报,联系黑子黑,将获取奖励!)


本文来自真实的挖掘过程,所以内容是尽可能厚码再厚码!


⦁前言

故事线:未授权访问 => 在尖括号被转义的情况下成功插入xss  => 审核定性为self-xss => 提升危害至存储型xss => 收米下机


⦁   未授权访问与XSS的梦幻联动

首先用一个app敏感信息提取工具(关注公众号,回复app提取工具),app里有一个公开访问的展示页,后台url在这个展示页的注释里头,然后没鉴权


后台长这样,未授权进去的,第一反应sql注入和xss,本文着重讲解后者

技术干货 | SRC挖掘思路(三)


新建测点找输出位

技术干货 | SRC挖掘思路(三)

技术干货 | SRC挖掘思路(三)


对于这俩输出点,要么闭合标签,要么闭合引号。但该站点已对尖括号进行转义

技术干货 | SRC挖掘思路(三)


所以尝试利用事件执行xss,这里我主要采用与用户接口(鼠标、键盘)相关的事件,如click、mouseover等。看看效果

技术干货 | SRC挖掘思路(三)

技术干货 | SRC挖掘思路(三)


同样的操作可对该站点上千位客户进行攻击,在xss平台坐等鱼儿上线。似乎可以打完收工了,但有人要我加班,是谁我不说

技术干货 | SRC挖掘思路(三)


⦁加班

懒得当老师,所以我决定再找一处可以前台访问的功能点,并在那里插入xss。回到后台,注意这里

技术干货 | SRC挖掘思路(三)


找到一处可以导入svg的地方

技术干货 | SRC挖掘思路(三)


先写一个纯洁的svg,看看输出点

技术干货 | SRC挖掘思路(三)

技术干货 | SRC挖掘思路(三)


该站点将svg标签替换为symbol标签,并只输出xmlns属性值(这里写一些奇怪的语句会直接报错,不予考虑),那只能在rect标签上做改动或新建其它标签了。

看我planA

技术干货 | SRC挖掘思路(三)


本地测试ok

技术干货 | SRC挖掘思路(三)


可导入svg后发现,onmouseover事件扑街(可以fuzz,但效率较低,想想还是算了)

技术干货 | SRC挖掘思路(三)


再来planB

技术干货 | SRC挖掘思路(三)


本地测试ok

技术干货 | SRC挖掘思路(三)


但script标签扑街,只有孤独的alert(/xss/)。我的想法和planA一样,先放着找找其它功能点吧

技术干货 | SRC挖掘思路(三)


比如创建超链接

技术干货 | SRC挖掘思路(三)


老样子,瞅瞅输出点

技术干货 | SRC挖掘思路(三)

技术干货 | SRC挖掘思路(三)


看样子重定向是拿捏了,试试伪协议能不能成功

技术干货 | SRC挖掘思路(三)

技术干货 | SRC挖掘思路(三)


没过滤哈,保存配置去前台访问一下

技术干货 | SRC挖掘思路(三)


拿下

技术干货 | SRC挖掘思路(三)


收米下机

技术干货 | SRC挖掘思路(三)


⦁总结

1、巧用事件打开局面;

2、佛系挖洞;

3、深究功能点,提升危害。

技术干货 | SRC挖掘思路(三)

本文是bgbing安全内部bro师傅的投稿,bgbing安全拥有对此文章的修改、删除和解释权限,如转载或传播此文章,需保证文章的完整性,未经允许,禁止转载!利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。


技术干货 | SRC挖掘思路(二)

技术干货 | SRC挖掘思路(一)

原文始发于微信公众号(安世加):技术干货 | SRC挖掘思路(三)

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月7日09:51:55
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  技术干货 | SRC挖掘思路(三) http://cn-sec.com/archives/981912.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: