RCE姿势学习:从存储型XSS漏洞到RCE利用

已于 2023-08-31 14:01:48 修改
阅读量496 收藏 1
点赞数
分类专栏: web 文章标签: 学习 xss 前端
于 2023-08-31 14:01:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79205724/article/details/132601760
版权
本文探讨了如何从一个存储型XSS漏洞逐步升级到实现远程命令执行(RCE)。通过在Moodle平台进行测试,利用Mathjax插件存在的安全风险,成功创建了存储型XSS。虽然由于HTTPOnly限制无法直接获取管理cookie,但通过发现的Moodle插件上传漏洞,可以构建CSRF来执行PHP命令,上传shell。文章详细介绍了整个利用过程和步骤。
摘要由CSDN通过智能技术生成

很多同学在挖掘漏洞的中期都会有一个疑问:为什么别人挖到的都是高危或者严重漏洞,而我总是只能挖到一些信息泄露或者常规的XSS呢?来询问这个问题的人其实非常非常多,但其实归根结底都是一个原因,漏洞没有深入利用。所以今天咱们就来学习一下大佬们是怎么利用一个XSS来RCE的思路吧。后续利用RCE的内容比较难,需要有一定编程能力才能比较好理解,所以前面说到漏洞没有深入利用的问题,其原因百分之八十是源于你基础不够扎实,你的“地基”决定了你的高度,所以呀学习千万不能图快学成个脚本小子哦。话不多说,进入正题:

本文所要介绍的测试网站是moodle。什么是moodle?Moodle是一个学习平台或课程管理系统(CMS)-一种免费的开源软件包,旨在帮助教育工作者根据合理的教学原则创建有效的在线课程。您可以在任何方便使用的计算机(包括网络主机)上下载和使用它,但它可以从单个教师站点扩展到200,000名学生的大学。Moodle拥有一个庞大而多样化的用户社区,在全球注册的100,000多个网站中,每个国家/地区使用的语言超过140种。 http://-Moodle.org

开始测试

看一下平台统计信息。

众所周知,Moodle是一款流行的开源软件,吸引了不少网络犯罪分子和脚本小子的目光。相应地,许多开源贡献者也在为他做出更多的安全贡献。

在测试过程中,我们使用Moodle沙盒演示来了解平台的工作原理,并在浏览演示时进行了一些fuzz测试。现在,我们需要做的第一件事是检查平台的角色模型,去更好地了解每个角色的权限。然后,我们进一步下载了该项目的最新版本文件。最终我们决定研究具有最小特权角色的安全性问题(学生)。“学生”的角色已经被设定的权限很小,未被过滤的情况下能做的也只有小部分行为。

一开始,我们通过源代码审计扫描,已经发现了一些问题。但没法很好的利用,可以说这个项目非常成熟且安全设置做的也非常好了。

然后,我们又关注到了权限提升这个问题。从上一个漏洞之后,我们一直处于一个中间的位置,不能再进一步利用,直到我们再一次发现了一个有趣的输入点——资料编辑。

为防止垃圾邮件发送者滥用,平台将隐藏尚未注册任何课程的用户的个人资料描述。所以新用户必须添加至少一门课程才能添加资料信息描述。

所以,我们先创建了一个课程,并让测试“学生”账户加入该课程。并转到以下URL:

http://127.0.0.1/moodle/user/edit.php?id=3&returnto=profile

我们尝试了我们所知道的所有技巧来构造存储型XSS,但是在我更详细地阅读有关Moodle插件系统之后发现,它使用了Mathjax插件过滤器,所以我们的尝试都没有起作用。如果你使用以下格式来创建数学方程式:$$ x=1 $$,那么他呈现出来的就是:

根据SecurityMB的研究,任何小于2.7.4版本的Mathjax都有受到XSS攻击的风险。所以,我们查看了Moodle所使用的Mathjax插件信息,发现Mathjax默认情况下处于打开状态,而且使用的版本是2.7.2!

所以&#

最低0.47元/天 解锁文章
chosennnny
关注
专栏目录
PbootCMS后台存储XSS漏*洞复现 CVE-2020-20363
afei001
10-05 1302
PbootCMS是PbootCMS个人开发者的一款使用PHP语言开发的开源企业建站内容管理系统(CMS)。PbootCMS 存在跨站脚本漏洞,该漏洞源于产品的admin.php页面未对客户端数据的正确验证。攻击者可利用漏洞执行客户端代码。
Java必知必会系列:安全编码与漏洞防护
程序员光剑
09-24 1715
作为一名具有十多年经验的软件工程师、安全专家、项目经理等职务的资深码农,我十分热心参加本次系列的举办。本文为《Java必知必会系列:安全编码与漏洞防护》第1篇。由于人工智能和机器学习正在改变软件开发的世界,越来越多的人开始关注这个新兴的领域。而AI在软件编程领域发挥着巨大的作用,从而促进了软件产业的发展。当人们开始将自己的工作从单纯的编码,升级到把AI技术应用于软件开发中时,安全问题也逐渐成为一个重点关注的问题。通过编写安全的代码,可以最大限度地降低系统中的隐患。
XSS(存储)利用和实战
qidiandexiaowu
09-09 2030
接着上篇的继续更!!!、 等级为:low 正常填写,emmmmm !!! 构造payload:<script>alert(/XSS/)</script> 查看源码: <?php if( isset( $_POST[ 'btnSign' ] ) ) { // Get input $message = trim( $_POST[ 'mtxMessage' ] ); $name = trim( $_POST[ 'txtName' ] );
XSS漏洞利用多次提交技巧实现存储XSS攻击
qq_68163788的博客
01-21 2370
存储XSS(Cross-Site Scripting)是一种Web应用程序安全漏洞,攻击者通过在受害者的浏览器上执行恶意脚本,从而获取用户的敏感信息。存储XSS攻击的主要原理是将恶意脚本存储在服务器端,然后当用户访问包含该恶意脚本的页面时,恶意脚本会被执行。 攻击者通常会在受害者能够输入内容的地方(例如论坛、博客评论、搜索框等)注入恶意脚本。当其他用户访问包含恶意脚本的页面时,他们的浏览器会执行这些脚本,从而导致攻击者能够窃取用户的会话令牌、cookie或其他敏感信息。
XSS攻击全面解析:三种常见类与防范策略
最新发布
hljdengbaoceping的博客
07-24 311
跨站脚本攻击(Cross Site Scripting,简称XSS)是一种安全漏洞,攻击者利用网站对用户输入内容的过滤不足,注入恶意脚本到网页中,当其他用户浏览这些页面时,嵌入的脚本会在他们的浏览器上执行,从而盗取cookie、会话令牌或进行其他恶意操作。二、反射XSS(Non-Persistent XSS)定义:反射XSS不像存储那样持久存储恶意脚本,而是通过URL参数传递,用户点击含有恶意脚本的链接后,脚本随页面内容一起返回并在用户的浏览器上执行。对所有不可信的输入数据进行适当的输出编码。
听老外讲解如何将XSS转化为RCE
weixin_33912445的博客
09-12 622
本文讲的是听老外讲解如何将XSS转化为RCE, 前言 Black Hat 2017可谓成果丰硕,除了各种安全工具和理论出现之外,也出现了许多新的安全研究方向,比如Doyensec的联合创始人Luca Carettoni就介绍了关于Electron安全方面的新思路https://twitter.com/lucacarettoni。为了对他的这个思路有...
WordPress social-warfare插件XSSRCE漏洞
lonmar的博客
07-19 1055
WordPress social-warfare插件XSSRCE漏洞 漏洞编号 : CVE-2019-9978 影响版本 : WordPress social-warfare < 3.5.3 漏洞描述 : WordPress是一套使用PHP语言开发的博客平台,该平台支持在PHP和MySQL的服务器上架设个人博客网站。social-warfare plugin是使用在其中的一个社交平台分享插件,其3.5.3之前版本存在跨站脚本攻击(XSS)和远程代码执行(RCE漏洞。远程攻击者可借助这些漏洞
文件上传漏洞XSS漏洞RCE漏洞
Fly_Mojito的博客
05-27 1146
文件上传漏洞、XXS漏洞RCE漏洞
php-exploit:一些有趣PHP漏洞
05-28
- 存储XSS:恶意脚本被存储在服务器上,然后传递给其他用户。 - 反射XSS:恶意脚本通过URL参数传递,仅在用户点击链接时执行。 - DOMXSS:攻击者利用JavaScript动态生成页面时的漏洞。 3. **文件包含漏洞*...
SQL注入、XSS、XXE、CSRF、SSRF、越权漏洞、文件上传、文件包含总结篇
m0_57379855的博客
03-23 5710
漏洞总结篇SQL注入修复过滤特殊字符修改php.in使用mysqli_real_escape_string()函数加固数据库方面加固管理方面 SQL注入 是指web应用程序对用户输入的数据的合法性没有判断或者没有严格的过滤,攻击者可以在web程序中把定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息 就是使用某种手段,在原来的SQL语句基础上,添加一段恶意的SQL语句并执行,从而达到不被管理员允许的目
无参数 rce.md
04-01
记录一下,关于这次比赛的 wp >.< 并向大佬们积极学习 >.< 顺便混点分
浅谈xss
blackguest07的博客
02-02 243
xss,从 0 到 小皮面板linux,rce的执行。
XSSRCE 的几个开源案例
qq_18209847的博客
12-13 455
演示了如何通过 xss 漏洞升级为命令执行漏洞,核心还是要依赖系统本身的功能或者所依赖的系统存在文件上传、命令执行等问题,否则无法直接通过 xss 漏洞实现命令执行。通常应用系统的管理后台功能丰富,权限很高,包括了任意文件上传、修改,以及数据库操作、命令执行等能力,然后通过 xss 漏洞,让管理员访问后执行后台的功能,获得更高的权限,实战中,如果是开源系统,能够很好的分析并实现利用,如果是未知系统,那么很难了解后台的功能,也不是很好利用转载自: Aleksey Solovev 信安之路。
Web安全基础学习XSS跨站脚本漏洞存储XSS
qq_51862722的博客
06-19 1135
存储XSS漏洞:指像留言板、用户名称、日志信息等一些会存储在服务器端的信息,当攻击者在存在存储XSS漏洞的功能点进行注入之后,任何浏览器端加载该信息的时候都会将其中的恶意代码解析,进而触发XSS攻击。该方法甚至可以在管理员审核留言或查看系统信息时触发,进而造成管理员敏感信息的泄露。因为其存储在服务器端,因此造成的危险程度、攻击范围比反射更大更广。留言板、评论区、用户头像、个性签名、登录日志、博客等。
跨站脚本攻击(XSS)详解
Karka_的博客
01-02 1266
XSS(Cross Site Script)攻击,通常指黑客通过"HTML注入"篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。一开始,这种攻击的演示案例是跨域的,所以叫做"跨站脚本"。现在是否跨域已经不再重要,但是名字一直沿用下来。XSS长期以来被列为客户端Web安全中的头号大敌。因为XSS破坏力强大,且产生的场景复杂,难以一次性解决。下面举个XSS的例子php?如果用户提交了一段HTML代码alert(/xss/)就会在页面中执行,弹出框显示/xss/。
常见漏洞简介,网络安全(sql注入、xss、xxe、CSRF、文件上传等)
weixin_50651979的博客
03-26 2326
webshell就是以asp、php、jsp或者cgi等网页形式存在的一种命令执行方式,也可以将其称为一种网页后门。攻击者在入侵了一个网站后,通常会将这些asp或者php后门文件与网站服务器web目录下正常的网页文件混在一起,然后使用浏览器来访问这些后门,得到一个命令执行环境,以达到控制网站服务器的目的(可以上传下载或者修改文件,操作数据库,执行任意命令等)webshell后门隐藏性高,可以轻松穿越防火墙,访问webshell时不会留下系统日志,指挥在网站的web日志中留下一些数据提交记录。
XSS跨站脚本安全漏洞防护
Zyw907155124的博客
06-05 1854
存储XSS是指应用程序通过Web请求获取不可信赖的数据,并且在未检验数据是否存在XSS代码的情况下,将其存入数据库。存储XSS可以持续攻击用户,在用户提交了包含XSS代码的数据存储到数据库后,每当用户在浏览网页查询对应数据库中的数据时,那些包含XSS代码的数据就会在服务器解析并加载,当浏览器读到XSS代码后,会当做正常的HTML和JS解析并执行,于是发生存储XSS攻击。如果address的值是由用户提供的,且存入数据库时没有进行合理的校验,那么攻击者就可以利用上面的代码进行存储XSS攻击。
XSS(跨站脚本攻击)
guowu666的博客
06-10 1482
xss基础
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

chosennnny

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值