SRC漏洞挖掘之存储型XSS

admin 2024年10月20日00:53:59评论17 views字数 895阅读2分59秒阅读模式

SRC漏洞挖掘之存储型XSS

CVES实验室

      “CVES实验室”(www.cves.io)由团队旗下SRC组与渗透组合并而成,专注于漏洞挖掘、渗透测试与情报分析等方向。近年来我们报送漏洞总数已达八万余个,其中包含多个部级单位、多个通信运营商、Apache、Nginx、Thinkphp等,获得CNVD证书、CVE编号数百个,在不同规模的攻防演练活动中获奖无数,协助有关部门破获多起省督级别的案件。

存储型XSS

入手点为某资产首页客服处:

SRC漏洞挖掘之存储型XSS

点击客服图标跳转至客服聊天窗口:

SRC漏洞挖掘之存储型XSS

聊天这个基本功能,通过websocket发送内容,看到这个数据包第一眼直接看到了type为text。

SRC漏洞挖掘之存储型XSS

将type修改为html,内容修改为xss的payload。

SRC漏洞挖掘之存储型XSS

得到了一个self-xss漏洞,危害太小了,继续想办法扩大危害。

分析了一下:上传文件的url可控,也就是说当点击下载文件时,会跳转到可控url中,通过让客服人员点击txt,跳转到我们的xss页面即可完成存储xss的利用,然后这里测试如果直接替换为self-xss的url会变成附件下载,不会进行跳转,所以选择在vps上搭建进行302跳转。

SRC漏洞挖掘之存储型XSS

vps上的poc:

<?phpheader("Location: https://www.xxx.com/chat/index-web.html?mallId=xxxx&userApp=xxxx&token=eyJhbGciOiJIUzI1NiIsInR5.....");?>

将url替换为vps的302跳转文件后,首先在我们的页面中先插入img的xss,然后发送附件。

SRC漏洞挖掘之存储型XSS

诱导客服点击:

SRC漏洞挖掘之存储型XSS

贴一张厚马cookie图:

SRC漏洞挖掘之存储型XSS

招新事宜

基本要求:

1. 年满18周岁。

2. 踏实肯学,执行力强。

3. 熟悉漏洞复现(1day)思路、熟悉红队作战流程、具备单兵作战能力。

加分项:(满足任意1条即可)

1. 挖过补天专属项目高危漏洞。

2. 知名企业SRC月榜top5。

3. 有高质量CVE编号。

4. Java,Go,Rust,Node.js,PHP等熟悉任意两种及以上代码审计。

联系方式:[email protected]

原文始发于微信公众号(Arr3stY0u):SRC漏洞挖掘之存储型XSS

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月20日00:53:59
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   SRC漏洞挖掘之存储型XSShttp://cn-sec.com/archives/1867272.html

发表评论

匿名网友 填写信息