SRC漏洞挖掘之存储型XSS

最新推荐文章于 2024-05-15 09:39:03 发布
最新推荐文章于 2024-05-15 09:39:03 发布
阅读量868 收藏 10
点赞数 2
分类专栏: 漏洞挖掘 文章标签: xss 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_49443776/article/details/128134312
版权

SRC漏洞挖掘之存储型XSS

0x01 漏洞简介

某天闲来无聊,打开我的burp、火狐、chrome浏览器,随便找了一个目标,便开始了漏洞挖掘之旅。

故事要从一个评论开始说起,打开网站的论坛,一个显眼的标题映入眼帘,“真人MM主播全天在线直播表演”,咳咳。。。,开玩笑的啦,哦也是个正经银啦。就是常规的帖子,也是一时兴起,随手留个个言,抓了个包,然后便有了这篇文章。本篇有意思的点在于网站本身是有过滤的,下面我会讲解我当时的绕过思路,大佬勿喷。

0x02 漏洞分析

01 敏锐的嗅觉很重要

刚刚说到留言抓包,数据包截图如下
在这里插入图片描述

码打的有点多,见谅哈。一般我们挖洞,第一个就是观察力,看到以下数据包大家发现了什么呢。是不是看到了很显眼的%3Cp%3E,一般看到这种数据包的时候,我们就要留意了,这里是很可能存在xss漏洞的,因为如果标签过滤不严格,是会导致直接写入恶意xss标签的。但是这种低级错误,在这里是不会有的,毕竟也是被搞得多了,多少也有点安全经验,不过也只是有点而已。

02 漫长的绕过过程

既然数据包中存在html标签,那我们就从标签测起。首先,肯定是第一个尝试老大哥

果不其然,被过滤了,从过滤规则来看,应该是使用的黑名单+正则的过滤方式,当匹配到script标签的时候,自动在左右两边添加xss字符串,这样xss语句就无法执行了。

过滤了script,没事,我们还有很多标签没有尝试呢。这里推荐一个大佬写的XSS过滤绕过速查表,附在参考链接了。后面尝试了<img/src=1>,服务器提示src只能为站内链接(没有截图),然后我又把src属性去掉,尝试写入,提交后发现直接被删掉了。好吧,看来img标签暂时是用不了了。

后面又陆陆续续尝试了以下标签,object、div、iframe、a、meta、style、svg等等一些列标签,基本都阵亡了,直接被删除了,唯一存活下来的标签input、select,如图
在这里插入图片描述

好吧,既然还有存活的标签,那么我们就不能放弃,继续盘起!尝试完html标签,我们现在就要尝试html事件处理程序,先是最常用的onmouseover,提交后如图
在这里插入图片描述

可以看到,onmouseover中的on直接被替换了为了xss_,说明我们之前的猜测是正确的,后端就是使用的正则+黑名单的方式进行过滤的,javascript、eval、alert也是一样被过滤的。后面也经过一系列的尝试,发现都会被替换掉,这个时候也是有点陷入僵局了。要说不是xss注入点,它又能写入少数html标签,但你说是xss注入点嘛,能用的标签和事件都给你堵死了,有点食之无味,弃之可惜的感觉。但是本着白帽子的勇往直前,义无反顾,大义灭亲,所向无敌,,,扯远了,反正就是那种精神吧,咱们也不能放弃这个漏洞,是不。

03 偶然发现,挖洞也需要一点运气

就在丢弃,又有点可惜的心理下,我又进行了一些尝试,主要是标签上的尝试,因为是采用的黑名单过滤,如果有能逃过去的标签,并且能够写入可执行脚本,那么还是有希望的。

也是运气吧,不能说是全靠实力,在不断的尝试中,无意间有了意外发现。当我们写入标签的时候,我发现返回内容为< a>,这个时候敏锐的嗅觉告诉我,有戏了!

可以从返回中发现,details被剔除了,但是后面的空格和a都被完整保留下来了,学过sql注入绕过的童鞋应该都能想到,在黑名单过滤中,如果能找到一个会被替换为空的字符,那么就可以利用该字符来构造sql语句,从而绕过黑名单校验。

这里也是同样的原理,既然直接提交会被检测到,那么我们就来变下形 ,提交后服务端返回如图
在这里插入图片描述

可以看到成功写入数据库了,再来刷新看一下前端页面,如图
在这里插入图片描述

查看后发现,script多了一个点,果然没那么简单啊,呵呵。后面尝试通过事件来触发,如图
在这里插入图片描述

其实服务端是成功写入了,但是考虑是输出时也做了过滤或者前端脚本做了过滤,总之payload随你写入,就是不让你成功执行,哎,就是玩!

但是,都已经到了这一步,哪能轻易放弃,必须一战到底啊。

发现事件还是无法使用之后,我又开始了新的尝试,既然你非要在script后面加个点,那我就把你注释掉,实际测试中是可以注释的,测试代码如下
在这里插入图片描述
在这里插入图片描述

可以看到,这样子是可以执行的,但是!但是!我们能想到的,可爱的开发童鞋也想到了,/直接被前端过滤了,写入数据库是可以的,如图
在这里插入图片描述

看一下前端的效果,如图
在这里插入图片描述

尝试写入两个反斜线,如图(<script/ /></script/ />)
在这里插入图片描述

可以看到中间多了个空格,看下前端的情况,如图
在这里插入图片描述

嗯哼,熟悉的感觉瞬间就出来了,看来开发只考虑了一个斜线的情况,当存在两个斜线时,第二个被隔开,但是第一个没有与script隔开,传送到前端的时候,由于无法识别 script/ 所以只去除了斜线,而没有添加一点,最终导致我们成功绕过。

后面就不用说了,能写入script标签了,啥都有了。

当我们遇到可以写入少数html标签,但是又存在过滤的时候,千万不要放弃,多加fuzz尝试,你终将会找到打开那把锁的钥匙!

0x03 修复建议

  1. 严格过滤用户输入的数据
  2. 使用白名单过滤校验

0x04 参考链接

XSS过滤绕过速查表

伟盾网络安全
关注
专栏目录
YXcms-含有存储XSS漏洞的源码包(1).zip
12-31
YXcms是一个常见的内容管理系统,但在这个特定的版本——"YXcms-含有存储XSS漏洞的源码包(1).zip"中,存在一个严重的安全问题:存储跨站脚本(Stored Cross-Site Scripting,简称存储XSS)漏洞。这种漏洞允许...
第23篇:XSS绕过防护盲打某SRC官网后台
ABC_123的博客
09-19 1768
Part1 前言已经N年没挖SRC了,前几年曾有一段时间对XSS漏洞挖掘特别热衷,像反射XSS存储XSS、DOMXSS等挖得很上瘾,记下了很多笔记。遗憾的是多数平台都不愿意接收XSS漏洞,哪怕是存储XSS漏洞给的评分都很低,因为XSS不能造成直接危害,利用起来有困难。所以当时花费了2天的时间,绕过各种防护及过滤,盲打到了一个SRC电商官网的后台。正好公众号文章写到现在,也缺少一篇讲解...
SRC漏洞挖掘 存储的self-xss变有效xss(两个iframe实现)
beishanxueyuan的博客
06-28 742
src漏洞挖掘思路教学 存储的self-xss变有效xss(两个iframe实现)
记一次挖edusrc漏洞挖掘(sql注入)
Lulzcart的博客
01-22 2039
记一次挖edusrc漏洞挖掘(sql注入)
SRC实战】文件名回显导致反射XSS,URL重定向
最新发布
qq_45196785的博客
05-15 369
2、修改文件名为meta标签,延迟1秒,自动重定向到第三方网站。1、反射XSS获取用户cookie或者执行恶意JS操作。1、灯塔扫到敏感文件,发现1.txt会在页面回显文件名。“ 以下漏洞均为实验靶场,如有雷同,纯属巧合 ”3、修改文件名为script标签,触发XSS漏洞。2、URL重定向到仿冒网站导致用户账户被盗。“ 文件名回显,能否触发URL重定向?“ 文件名回显,能否触发XSS?2、修改文件名为del标签。3、重定向到第三方网站。
2023最新SRC漏洞挖掘快速上手攻略!
Dasdwer的博客
05-24 1140
1、BugcrowdBugcrowd是一个专门为企业提供漏洞检测、漏洞挖掘、漏洞修复、防御安全相关服务的平台,为各大知名企业提供安全检测服务。其平台上拥有众多的专业安全研究人员,能够提供高水平的检测漏洞以及挖掘各种安全漏洞、备受业内人士的好评。HackerOne是一家提供漏洞悬赏计划(Vulnerability Reward Programs,简称VRP)的互联网公司,为全球知名企业提供漏洞检测服务。
SRC漏洞挖掘实战经验总结
10-28
漏洞挖掘则是SRC的核心任务之一,通过使用各种方法和技术,寻找并识别代码中的安全缺陷,这些缺陷可能被恶意攻击者利用,导致数据泄露、系统瘫痪等严重后果。 二、渗透测试的重要性 渗透测试是SRC漏洞挖掘的重要...
YXcms-含有存储XSS漏洞的源码包
03-17
"YXcms-含有存储XSS漏洞的源码包" 这个标题揭示了我们要讨论的核心内容。YXcms是一个内容管理系统(CMS),它不幸地包含了存储跨站脚本(Stored XSS)的安全漏洞。存储XSSXSS攻击的一种类,这种漏洞通常...
国内SRC漏洞挖掘技巧与经验分享
01-29
总结来说,国内SRC漏洞挖掘需要结合技术分析与经验积累,通过多方面信息收集、深度漏洞分析、代码审计、Web应用漏洞挖掘安全配置检查、社会工程学以及持续学习,才能在这一领域取得显著成效。希望这份经验分享能对...
DedeCMS 存储xss漏洞1
08-03
【DedeCMS 存储 XSS 漏洞1】详解 DedeCMS 是一款广泛使用的基于PHP的开源网站管理系统,其特色在于提供了一个简洁易用的后台管理界面,帮助企业或个人快速构建网站。然而,如同任何软件一样,DedeCMS 也存在安全...
教育src漏洞挖掘-2023-白帽必挖出教程
热门推荐
qq1140037586的博客
09-12 1万+
作为刚接触渗透的小伙伴儿肯定都想快速挖到漏洞提交平台获取注册码,或者想获取更多积分换取证书,这篇文章就是为了帮助各位师傅们快速上手挖取教育src
XSS之冷门事件
不知名白帽的博客
06-29 711
XSS之冷门事件
XSS漏洞
qq_52725216的博客
02-18 1544
xss攻击
DVWA靶场存储XSS漏洞实验
weixin_44851588的博客
05-26 4847
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 前言 一、pandas是什么? 二、使用步骤 1.引入库 2.读入数据 总结 前言 来自菜鸟的一次简单分享,本次实验主要结合后台源代码讲解,梳理存储XSS实验的思路,如果存在问题,请各位大佬多多指导。 一、XSS基础 1.什么是XSSXSS(Cross-site scripting)被称为跨站脚本攻击,由于与层叠样式表的缩写一样,因此被缩写为XSS。 2.XSS漏洞...
XSS漏洞攻击报告
vsdfbhsdhsdfh的博客
09-13 749
XSS漏洞攻击报告
漏洞报告撰写之道:如何写出专业、高效的漏洞报告
网络安全
02-27 1521
漏洞赏金猎人的工作不仅仅是寻找漏洞;它还向组织的安全团队解释它们。如果您提供一份写得很好的报告,您将帮助与您合作的团队重现漏洞利用,将其分配给适当的内部工程团队,并更快地解决问题。 商业化的报告模板是一个不错的形式,但比它更出色的是,观察与思考。 从工作流程的角度来说,漏洞管理与账面核对也非常重要。一个组织如果长时间接收到报告,那么面临到的问题一定是一些个性化的。比如,漏洞管理过程中,命名的规范直接导致这个能否一眼看出是否重复提交,是否易于管理与记账,是否存在数据之间的关联与匹配性。
SRC存储XSS发现经历和一点绕过思路
r0cky的博客
08-21 1526
SRC提现额度竟然最低是两千,而已经有750的我不甘心呐,这不得把这2000拿出来嘛。 之后我就疯狂的挖这个站,偶然发现了一个之前没挖出来的点,还有个存储XSS! 刚开始来到这个之前挖过但没挖出来的站,看了一下感觉这站没啥东西了啊,然后来到评论区又一次测试了一下 先简单测试一下 心态:随意吧 <img src=0> 结果是一空的,啥也没有 普通的没用肯定是过滤了,想着直接抓包...
干货|SRC漏洞挖掘经验
zhangge3663的博客
05-18 1万+
先谈个人经历,我虽然很早前就像挖掘SRC来锻炼自己,但真正实现起来大概也是2月初的时候。一开始在几大SRC平台,如顺丰SRC,小米SRC等装了两下,真的不知道从何入手。而且,SRC提交这事从来都是前人吃肉后人喝汤的局面,对于这样的平台,综合考虑自身的实力因素,打算先放弃挖掘这样的SRC。然后我在补天SRC开始挖掘,专属SRC的性质与前者一样,所以我先从公益SRC入手。 我是觉得公益SRC对于大佬的吸引力没那么大,对于我等菜鸡可能还能捞点菜汁吃。首个漏洞发现大概在挖掘的第二天发现的,但提交时显示名称已存在,
日常SRCxss小tips
渗透测试研究中心
12-05 224
0x00 前言 关于众测、专属中如何去捡漏xss洞,水文,水文,水文!!!0x01 日常测试日常无聊测站点,当你在渗透测试时候,发现有某个html标签调用服务器内图片的,并且是那种加入服务器ip地址的,可以尝试通过修改host头来fuzz一下,探测下是否存在xss。看到这种情况我们可以大概猜想一下,其中的后段代码可能是以下样子:<img src="<?php echo ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值