No.1
绕过阿里云WAF实现评论区存储XSS
事件的起因 某天刷朋友圈时看到 我们隐雾安全发送了⼀条消息
零元购3500 给我羡慕坏了 仔细观察 发现是 xxxx安全事件响应团队
既然零元购都存在 说明这个公司的防护应该不是那么严格
于是直接开测,找到⼀个bbs的论坛⽹站 思路匮乏 只能测⼀测评论区XSS了
直接打⼊payload <img src=1 onerror=(alert)(1)>
返回405 not allowed 发现是个阿⾥云的waf
说实话 我想跑了
于是随意弄了⼏个 常⽤的payload
只有⼀个没被拦截 但是被过滤了
发现 输⼊<img src=f onerror=(window[`al`+`ert`])(1)>
被过滤成了<img src="f" onerror="(window)(1)">
似乎是对关键词alert进⾏过滤了?
试试对alert进⾏html编码
输⼊
<img src=f onerror=(window[`al`+`ert`])(1)>
过滤成了<img src="f" onerror="(window
没有解析这个html编码?是有⻓度限制?
输⼊
<img src="https://img.xunfei.cn/mall/ifly-mall
shop/comment/20240323/2024032312150119227.jpg" onerror=(window[`al`+`ert`])(1)>
过滤
<img src="https://img.xunfei.cn/mall/ifly-mall
shop/comment/20240323/2024032312150119227.jpg" onerror=(window
感觉不像是存在⻓度限制v>
太菜了 不想绕了
这个时候突然想起之前看到过的⼀篇⽂章
https://mp.weixin.qq.com/s/m-1PhGCtbfD8oRXuKjlqRQ
通过将把post请求改变成mutipart格式 进⾏数据包的发送
那么这⾥会不会也可以呢?
直接右键 change body encoding
在comment参数中 插⼊我们的payload
<img src=f onerror=(window[`al`+`ert`])(1)>
刷新评论区 成功弹窗
然⽽让⼈悲伤的是 漏洞重复 过了两个⽉都没有修复也是醉了
No.2
流量包低价购
不⽢⼼,教练我想挖漏洞!发现⼀个随身WIFI 的公众号 可以进⾏流量包的购买,不过要先买⼀个随身
WIFI 然后进⾏绑定 才能购买流量包 。
斥巨资买了⼀个随身WIFI 绑定开测
很快啊 发现了漏洞
packid 代表的具体是哪⼀个流量包
有9元10g 的有30元100g 等等
假设9元10g的流量包是 packid=210
30元100g的流量包是 packid=212
选择9元10g的流量包 进⾏购买然后
将packid=210 改为 packid=212 其它的都不⽤变
就能实现 9元 购买 30元 100g的流量包
很快啊 提交了漏洞
于是乎第⼆天,打算重新复现⼀下,结果修复了。好家伙,这次修复的到挺快。
痛太痛了!
No.3
原文始发于微信公众号(隐雾安全):两次悲伤的漏洞挖掘
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论