社区存储型XSS小记——Xiaoyi

xiao_yi   ·   发表于 2021-10-14 20:28:49   ·   实战纪实

社区存储xss

前言

之前看到很多大佬纷纷在社区里打出了很多xss以及sql注入,十分羡慕,本着跟着大佬吃肉的心态,我也决定尝试一下,随有了此文。

PS:

我的思路是寻找一些大佬们可能忽略的点进行测试,柿子找软的捏

过程

> 第一个xss

首先找到作业板块的引用链接

思考功能,点击这个引用链接会造成一个跳转的效果,那可不可以配合上javascript:alert`1`加上跳转弹框呢?

首先我先利用了百度图片的url,发现点击之后可以跳转到百度图片

Payload如下

可以看到href属性是https的链接,尝试改成javascript伪协议

这里可以发现链接消失了,但是如果是javascriptalert(1)是可以出现链接的,猜测是过滤了javascript:

所以这里使用ascii编码绕过过滤成功弹窗

Payload:javascript:alert(1)

喜获第一枚存储型xss

> 第二枚存储型xss

本着寻找有跳转功能进行测试的原则,很快我在发表帖子这个功能里又get到一枚存储xss

首先这里可以发现没有上面那个链接功能了,但是另外这个?是不是也存在类似的漏洞呢,于是尝试先加载百度图片,然后和上面的xss思路一样构造payload,同样也弹框了

但是测试完才发现这里地方已经被大佬挖过了
大佬文章链接在这里:https://bbs.zkaq.cn/t/5875.html

> 第三个存储型xss

虽然第二个存储型xss被大佬挖过了,但是丝毫不影响我们找有链接跳转的思路,很快我盯上了图片上传的功能。

我的分析是:如果这里可以上传图片,那么前端渲染应该是通过img标签去加载的,那么src的地方我们是不是可控的呢,这就需要自己上传一个图片进行测试了

分别将图片地址和图片链接填入我们刚刚使用过的百度的图片,右键检查元素

可以惊喜的看到这里也有一个a标签,并且里面的内容可控,直接使用上面的payload验证我们的想法!

点击图片即刻弹窗!

但是img标签所以src里的内容可以修改成javascipt伪协议,但是没有弹框,单双引号因为存在html实体编码无法闭合,没有办法利用事件触发。但是虽然img标签利用不了,但是这里却给了我们一个小惊喜!

后续

可能是因为之前的存储xss挖掘成功,所以现在对于发表文章的帖子取出内容的时候会将javascript过滤,导致无法弹框,但是我在作业专版尝试成功了,内容如下:
测试的链接在这里:https://bbs.zkaq.cn/homework/43593.html
点击引用链接:

点击图片:

危害

相比于之前发送帖子的危害,这里的危害范围似乎没有那么大,因为作业发表之后需要辅导员审核后小伙伴才能看
但是这里却可以打辅导员账号的Cookie,提升权限!~

总结

根据功能点去尝试、构造测试语句,会让测试事半功倍!
同时挖SRC也要注意找开发容易忽略的点进行测试~

用户名金币积分时间理由
奖励系统 50.00 0 2021-11-10 09:09:21 投稿满 5 赞奖励
Track-劲夫 80.00 0 2021-11-09 14:02:47 一个受益终生的帖子~~
Track-劲夫 1500.00 0 2021-11-09 14:02:37 挖到漏洞奖励

打赏我,让我更有动力~

1 Reply   |  Until 20天前 | 395 View

范小东
发表于 20天前

厉害

评论列表

  • 加载数据中...

编写评论内容
LoginCan Publish Content
返回顶部 投诉反馈

© 2016 - 2021 掌控者 All Rights Reserved.