感谢小师傅アヤメ投稿,也欢迎大家前来投稿哦,让大家一起见证你的进步~
起始
今天早上有个表哥在群里发了这样一条消息:
很好,我就去注册了一个
随便水了一篇稿件转正,居然用的markdown,好家伙,想起之前我用typecho建站,后台写了xss的poc上去,保存编辑查看全是弹窗,测试了一下,貌似没有。
点击个人主页,想着修改头像,看到个性签名,我想着,我这么菜,肯定要写上“师傅带带我、师傅带带我我做你的舔狗”等等,但是一看,嚯哟,居然可以添加<a>标签
如图:
wow,o mo shi ro i!那就测试一下呗
这里我没截到图,主要是忘了
我简单说一下叭
测试
首先测试了一下<a href="https://www.google.com"><img src=1 onerror=alert(1)></a>,保存成功?还真保存成功了。回到首页刷新
???
img标签直接无了,那没办法,咱们就只能用a标签测试了
用a标签测试,那就添加事件行为,比如:
<a href="www.google.com" onmousemove=alert(1)>123</a>很遗憾,alert一个406,草,这是有过滤啊,不要方,那就把alert拆开来试试
<a href="www.google.com" onmousemove="top['ale'+'rt'](0)">123</a>
除了这样,还可以用window['al'+'er'+'t(1)'],还能'ale'.concat('rt','(1)'),eval('ale'+'rt(1)')
如图:
PS:document.cookie给过滤了,懒得去绕,绕了截图还要打码
现在点击保存成功,回到首页康康
测试成功
方法
除了添加事件型,还可以这样:
<a href="data:text/html;base64,amF2YXNjcmlwdDphbGVydCgxKQ==">123</a>
也可以
<a href="javascript:alert(1)">123</a>
方法很多,比如实体编码Unicode编码等等这里就不一一列举了
后续
找到了客服说明了缘由,并复现出来了,确实存在存储型漏洞,现在已经修复,不解析a标签了
又水了一篇,顺便找个师傅带带我QAQ我很好带的,我会端茶送水按摩压腿。
网络¥安全联盟站—李白你好
欢迎关注[李白你好]-文章内容涉及网络¥安全,web渗透测试、内网安全、二进制安全、工业控制安全、APP逆向、CTF、SRC等。
微信:libaisec
微信交流群:加我微信拉你进群和工程师们学技术聊人生
原文始发于微信公众号(李白你好):记一次挖洞经历
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论