js修改背景图片路径_[XSSI]动态JS劫持用户信息

最新推荐文章于 2023-08-02 17:29:06 发布
最新推荐文章于 2023-08-02 17:29:06 发布
阅读量164 收藏
点赞数
文章标签: js修改背景图片路径 js已知文件路径得到file对象 js粘贴板为什么获取不到图片信息 js获取cookie js获取cookie的值 js获取img的src值

79c99a3d6b0e82f8104503aac57e21b0.png

动态JS劫持用户信息-Webpack+JSONP劫持

作者:key

注:本文已对敏感信息脱敏化,如有雷同纯属巧合。

前言

在做测试的时候发现一个请求:

POST /user/getUserInfo HTTP/1.1
Host: xxxxx
Cookie: xxxx

ticket=xxxxx

其对应返回的信息包含了我本身用户的敏感信息:手机号、姓名、邮箱...

通过BurpSuite的插件Logger++搜索发现该ticket值居然出现在了JS文件中:

d3c8ad6df65b0867630092b2b9612eb1.png

确定漏洞

通过测试我发现以上所述请求中的Cookie为无效请求头,后端不对齐校验,但对ticket校验,也就说明此处的ticket代表了获取用户信息的关键参数,换种说法:当你知道用户的ticket参数即可获取该用户信息

判断JS动静态

当我在Logger++插件搜索到ticket值存在JS文件内容时,我的第一想法就是这个JS文件为动态类型,其文件内容跟随用户凭证字段的变化而变化。

测试:删除Cookie字段,结果:ticket参数值消失,由此可以判断该JS内容为动态类型。

再尝试将测试账户A的Cookie字段内容替换为测试账户B的Cookie字段内容,结果:ticket参数值变为测试账户B用户的对应值,由此可以判断该JS文件路径是固定的,并不是动态路径。

Webpack+JSONP劫持

已知JS文件路径为:https://website/app.xxxxx.js

查看其文件内容发现其被Webpack打包过:

2f03f0a63e1e5bf820512f3371ae8517.png

那么我们想要劫持这个JS文件内容其实就可以使用JSONP的PoC代码(因为这段JS文件内容就是自定义函数+传入参数):

<script>
function webpackJsonp(data) {
    alert(data)
}
</script>
<script src="https://website/app.xxxxx.js"></script>

但这样得不到我们想要的ticket值,简单的看了下JS代码,这段JS代码内容的格式是这样的:

webpackJsonp 函数传入两个参数:第一个参数毫无用处,第二个参数传入的值包含了我们想要的ticket值。

那以上代码就可以这样修改:

<script>
function webpackJsonp(data, data1) {
    alert(data1)
}
</script>
<script src="https://website/app.xxxxx.js"></script>

但我们还是没得到我们想要的信息:

e07d71c2ffc732d557b07161f8f1507d.png

因为第二段参数传入的值还需要进行解析,我发现这段值内容就是一段JSON对象,而对象的每个属性都在定义一个函数:

02060e196d4b6d1a336c497ab7baab72.png

寻找ticket所在函数位置,发现其在jbTV: function...内,知道了所在函数位置,PoC代码只需要这样进行构建:

<script>
function webpackJsonp(data, data1) {
    alert(data1['jbTV'])
}
</script>
<script src="https://website/app.xxxxx.js"></script>

访问,成功获取:

2485d3d580aecf92304f7608c7b6cf60.png

后面只需要稍微的加个正则就可以了~

攻击方式

用户登录状态,访问该漏洞页面,触发即可获取到ticket值,将该值带入以上所列请求中即可越权获取用户信息

结尾

心细一点,漏洞就在眼前。

weixin_39559369
关注
JavaScript 动态网页实例 —— 背景效果
cccloveforever的博客
06-29 1289
页面背景是网页设计中必不可少的重要内容之一,其背景的好坏直接影响网页浏览者的浏览兴趣。网页背景分为背景图和背景色两种,对于普通的背景图和背景色,完全可以通过HTML实现,而要实现复杂的背景效果,则需要借助于JavaScript。本章介绍页面背景的一些实现效果。首先是一个页面背景随机切换的实例:然后,通过3种不同的方法,分别实现用户对页面背景的自动选择:最后,介绍一个闪电的页面背景效果。
渗透测试-XSSI漏洞小结
cdyunaq的博客
04-07 789
简介 XSSI(Cross Site Script Inclusion)跨站脚本包含是一种允许攻击者通过嵌入script标签的src属性来加载敏感js绕过边界窃取信息的漏洞。 简单来讲,就是攻击者通过使用 标签跨域包含特定文件/页面,就可以窃取符合JavaScript格式的文件中的敏感信息。 举例如下: #!javascript <script< span=""></script<>src="http://target.wooyun.org/secret"&gt
vue在scss中引入js变量动态改变背景图片
weixin_42247414的博客
06-28 2694
vue在scss中引入js变量动态改变背景图片
如何动态改变background-image
最新发布
fighting ~的博客
08-02 2075
最近在开发uni-app小程序时尝试使用栅格布局利用循环遍历元素节点,其中每个元素节点对应的背景图片都不相同,于是就遇到了需要动态改变元素background-image的操作。
XSS简介
xiaoWhite_meng的博客
04-29 1066
XSS跨站脚本攻击Cross Site Script(ing)    CSS (层叠样式表)      XSS 所使用的攻击代码主要JavaScript    JS能够做到的事情,就是可能受到的攻击。    XSS攻击的是用户、浏览器、客户端    一、XSS   简介       只要没有对用户的输入进行严格过滤,就会被XSS   (如:留言板..聊天室)二、XSS漏洞危害        盗取各...
XSS (2)
qq_41007744的博客
05-15 574
XSS利用方式Cookie窃取攻击XSS攻击中最常见的应用方式之一cookie的操作通过Document对象访问Cookie。若要创建一个Cookie,只要将特定格式的字符串赋给document.cookie常见cookie属性:Domain——设置关联cookie的域名 Expires——通过给定一个过期时间来创建一个持久化Cookie HttpOnly——用于避免cookie被JavaScri...
动态JavaScript所造成一些你不知道的危害
10-21
由于JavaScript代码在客户端执行,攻击者可以编写恶意网页,利用跨站脚本包含(XSSI)的方式引入这些包含用户信息的脚本。一旦脚本被引入,攻击者就可能通过全局变量访问这些敏感信息。比如,如果攻击者知道某个脚本...
PHP_MySQL教程-第三天 基本函数第1/2页
10-30
require() 函数工作方式与 XSSI 相似;不管在程序的哪个部分使用了这个函数,只要程序一开始运行,头文件的内容就被作为程序本身的一部分来处理。因此,如果您在一个条件判定语句中使用了 require() 函数,那么即使...
上传绕过php文件改为图片,文件上传漏洞另类绕过技巧及挖掘案例全汇总
weixin_28744601的博客
03-12 1331
文件上传漏洞作为获取服务器权限最快的方式,虽然相关资料很多,但很多人对上传校验方式、如何针对性绕过检测、哪种上传和解析的场景会产生危害等还是比较模糊。本文作一些阐述,然后补充一些除了上传webshell的其他非常规挖掘姿势,包括XSS、重定向、Dos、CSRF等等。1、基础知识:要深入了解文件上传,必须了解上传属性、常见文件的结构、图形处理函数等内容。1)报文特点:观察文件上传报文的特点:Hea...
浅谈XSS攻击
pengqi699的博客
06-27 521
XSS名称为跨站脚本(cross site script),为了不和CSS弄混所有叫XSS。 一.XSS攻击有三种类型,分别的储存型,反射型和文档型。 1.存储型 存储型,就是将恶意脚本存储到服务端是数据库中,然后通过在客户端执行这些脚本,从而 达到攻击的效果。 2.反射型 反射型就是将恶意脚本作为网络请求的一部分,就是将恶意脚本作为网络请求地址中的参数,这样服务器就可以接收到恶意脚本参数,然后返回给浏览器端,浏览器将这些内容作为HTML的一部分解析,发现该参数是一个脚本,就会立即执行,然后..
XSSFWorkbook设置行背景色、自定义背景色、单元格合并后加边框
FinelyYang的专栏
09-04 3万+
创建工作表: Workbook workbook = new XSSFWorkbook(); 1.行背景色 CellStyle cellStyle = workbook.createCellStyle(); cellStyle.setFillForegroundColor(cellStyle.setFillForegroundColor(IndexedColors.RED.index);...
XXXX
SWY's Workshop
04-24 72万+
C:\Users\swy>python Python 3.6.2 (v3.6.2:5fd33b5, Jul 8 2017, 04:14:34) [MSC v.1900 32 bit (Intel)] on win32 Type "help", "copyright", "credits" or "license" for more information. >&g...
xxxxxxxxxxxxxxxxxxxxxxxxxxxx
weixin_34273481的博客
04-05 70万+
Get Authorization code:Request: https://accounts.google.com/o/oauth2/v2/auth?redirect_uri=https%3A%2F%2Fdevelopers.google.com%2Foauthplayground&prompt=consent&response_type=code&client_id=...
HEAP: Free Heap block XXXX modified at XXXX after it was freed
热门推荐
ylj135cool的博客
08-19 158万+
*本文旨在解决在调试过程中遇到如下问题时的解决办法: HEAP: Free Heap block XXXXA modified at XXXXB after it was freed 意思是:已经释放的内存地址A,在B地址处的被改变(A和B都处于被释放的内存段内),即很可能出现了野指针,而很多情况下你会说,我的每个new和delete都是成对的,在delete后将指针赋为NULL。但是
20年后的iphoneXXXX手机长这样
机械鸡
09-30 2560
史蒂夫·乔布斯2007年1月9日在Macworld Expo上向世界展示了iPhone。第一版iPhone手机有3.5寸显示屏和一个200万像素的摄像头。从此,苹果成为世界上最有价的公司,iPhone开启了智能手机革命,改变了数十亿人的生活。“每隔一段时间,一个革命性的产品就会改变一切”—Steve Jobs本月早些时候,蒂姆·库克站在新的史蒂夫·乔布斯剧院,推出了全新的iPhone X,这是i
js 改变div 背景图片
huangwei999111的专栏
11-13 7555
aa.style.backgroundImage = "url(aa.jpg)";
SHTML与SSI:动态网页制作指南
- `<#echo>`:用于显示服务器端的环境变量,例如显示服务器的名称或操作系统信息。 - `<#include>`:这是最常见的指令,用于将其他HTML文件的内容插入到当前文件中,实现内容的动态组合。 - `<#flastmod>`和`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值