SRC挖掘思路(三)

2022-04-14 7,790

文章来自" bgbing安全",未经授权,禁止转载(如发现抄袭本文,欢迎举报,联系黑子黑,将获取奖励!)

本文来自真实的挖掘过程,所以内容是尽可能厚码再厚码!


前言

故事线:未授权访问 => 在尖括号被转义的情况下成功插入xss  => 审核定性为self-xss => 提升危害至存储型xss => 收米下机


⦁   未授权访问与XSS的梦幻联动

首先用一个app敏感信息提取工具(关注公众号,回复app提取工具),app里有一个公开访问的展示页,后台url在这个展示页的注释里头,然后没鉴权


后台长这样,未授权进去的,第一反应sql注入和xss,本文着重讲解后者


新建测点找输出位


对于这俩输出点,要么闭合标签,要么闭合引号。但该站点已对尖括号进行转义


所以尝试利用事件执行xss,这里我主要采用与用户接口(鼠标、键盘)相关的事件,如click、mouseover等。看看效果


同样的操作可对该站点上千位客户进行攻击,在xss平台坐等鱼儿上线。似乎可以打完收工了,但有人要我加班,是谁我不说


加班

懒得当老师,所以我决定再找一处可以前台访问的功能点,并在那里插入xss。回到后台,注意这里


找到一处可以导入svg的地方


先写一个纯洁的svg,看看输出点


该站点将svg标签替换为symbol标签,并只输出xmlns属性值(这里写一些奇怪的语句会直接报错,不予考虑),那只能在rect标签上做改动或新建其它标签了。

看我planA


本地测试ok


可导入svg后发现,onmouseover事件扑街(可以fuzz,但效率较低,想想还是算了)


再来planB


本地测试ok


但script标签扑街,只有孤独的alert(/xss/)。我的想法和planA一样,先放着找找其它功能点吧


比如创建超链接


老样子,瞅瞅输出点


看样子重定向是拿捏了,试试伪协议能不能成功


没过滤哈,保存配置去前台访问一下


拿下


收米下机


总结

1、巧用事件打开局面;

2、佛系挖洞;

3、深究功能点,提升危害。

本文是bgbing安全内部bro师傅的投稿,bgbing安全拥有对此文章的修改、删除和解释权限,如转载或传播此文章,需保证文章的完整性,未经允许,禁止转载!利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。

本文作者:辞令_WhITECat

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/176999.html

Tags:
评论  (0)
快来写下你的想法吧!

辞令_WhITECat

文章数:16 积分: 50

WhITECat安全团队是起源实验室合作安全团队,欢迎各位大佬关注“WhITECat安全小组”公众号了解更多!

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号