知识产权教育平台网站开发总结,点了网站域名会跳转,工厂网站建设公司,赣州若斯网络科技有限公司0x01#xff1a;利用编辑器的超链接组件导致存储XSS
鄙人太菜了#xff0c;没啥高质量的洞呀#xff0c;随便水一篇文章吧。
在月黑风高的夜晚#xff0c;某骇客喊我起床挖洞#xff0c;偷瞄了一下发现平台正好出活动了#xff0c;想着小牛试刀吧 首先信息收集了一下利用编辑器的超链接组件导致存储XSS
鄙人太菜了没啥高质量的洞呀随便水一篇文章吧。
在月黑风高的夜晚某骇客喊我起床挖洞偷瞄了一下发现平台正好出活动了想着小牛试刀吧 首先信息收集了一下发现一个奇怪了域名引起了我的注意访问后发现是一个投稿平台可以发布文章到后台进行审核。
使用账户登录进系统就能发现一处文章管理 第一时间就想到发布文章再观察系统中发现一个不知名的编辑器知道的大牛可以说一下存在 超链接 功能那么就尝试利用一下吧 在超链接中注入伪协议来构造xss 这里有个小细节就是下方的小按钮
当处于开启状态时触发超链接按钮后页面会在新窗口中执行跳转操作当处于关闭状态时触发超链接按钮后页面会在当前网站中执行javascript操作
所以这里就需要关闭掉
发布文章后可以看到在正文中成功触发javascript 因为这里我是直接插入的超链接 所以页面中是处于纯白色状态。
0x02文章正文处的存储XSS绕过
来到新建文章中就是上payload鄙人很菜挖XSS都是见框就X 在标题处和正文中输入payload点击提交开启burpsuite抓包 可以看到运作过程是先进行前端HTML实体编码处理 这边只要重新替换掉payload就可以达到绕过的效果了 访问发布的文章页面后成功触发XSS 至此两个存储XSS提交上去收工睡觉。 0x03编辑器中的媒体组件导致存储XSS
经过上回的两个存储XSS我觉得还没完第二天继续看果然功夫不负有心人
在测试编辑器的其他功能后发现媒体功能插入的资源地址可以回显在页面 添加网络资源 其过滤了很多了标签事件但并不妨碍我们通过burp进行FUZZ 选择嵌入式媒体经过反复测试构造如下payload
xmarquee loop1 width0 onfinishalert(document.cookie)提交文章后访问url 成功触发 0x04编辑器中的媒体组件导致存储XSSBypass
前面的漏洞均已提交过了几天就修复了本来以为这样就结束了。然而事情并不如此 既然修复了那么真男人就该尝试绕过根据0x03的操作步骤重新打了一遍发现其中的种种过滤问题。 过滤了alert脚本函数过滤了不少js事件但Onfinish事件没有过滤 标签也没有进行过滤
这个开发估计也是偷懒了过滤做的拉胯的一批那我们就对症下药更换prompt的脚本函数进行绕过。
xmarquee loop1 width0 onfinishprompt(document.cookie)ffj/marquee最后也是如愿以偿的执行了 因为业务线那边的修复状态原因目前还不方便更新该站的绕过只能止步于此了
欲知后事如何,请听下回分解
0x05 分享一些xss小tips
1.当某参数输出的值在JS中被反引号包囊通过${ }可以执行javascript
scriptvar aHello${alert(1)}/script2.SVG中的测试XSS
?xml version1.0 encodingUTF-8 standaloneno?svgonloadwindow.locationhttps://www.baidu.comxmlnshttp://www.w3.org/2000/svg/svg3.不允许使用函数执行的WAF可尝试如下payload绕过
svg/onload[][\146\151\154\164\145\162][\143\157\156\163\164\162\165\143\164\157\162](\141\154\145\162\164\50\61\51)()4.在测试中也可以尝试使用编码绕过多重url编码、HTML实体编码、json中使用Unicode、html编码或者一些字符拼接。
或者使用回车;换行 绕过 某些WAF \r\n可以实现绕过
payload:
svg onload\r\n$.globalEval(alert());svg onload\r\n$.globalEval(alert());
