【网络安全】XSS盲打实战案例:某网页漫画
什么是XSS盲打
簡(jiǎn)單來(lái)說(shuō),盲打就是在一切可能的地方盡可能多的提交XSS語(yǔ)句,然后看哪一條會(huì)被執(zhí)行,就能獲取管理員的Cooike。趁著沒(méi)過(guò)期趕緊用了,這樣就能直接管理員進(jìn)后臺(tái)。然后再上傳一句話,Getshell。
盲打只是一種慣稱的說(shuō)法,就是不知道后臺(tái)不知道有沒(méi)有xss存在的情況下,不顧一切的輸入XSS代碼在留言啊,feedback啊之類的地方,盡可能多的嘗試XSS的語(yǔ)句與語(yǔ)句的存在方式,就叫盲打。
"XSS盲打"是指在攻擊者對(duì)數(shù)據(jù)提交后展現(xiàn)的后臺(tái)未知的情況下,網(wǎng)站采用了攻擊者插入了帶真實(shí)攻擊功能的XSS攻擊代碼(通常是使用script標(biāo)簽引入遠(yuǎn)程的js)的數(shù)據(jù)。當(dāng)未知后臺(tái)在展現(xiàn)時(shí)沒(méi)有對(duì)這些提交的數(shù)據(jù)進(jìn)行過(guò)濾,那么后臺(tái)管理人員在操作時(shí)就會(huì)觸發(fā)XSS來(lái)實(shí)現(xiàn)攻擊者預(yù)定好的“真實(shí)攻擊功能”。
通俗講就是見(jiàn)到輸入框就輸入提前準(zhǔn)備的XSS代碼, 通常是使用script標(biāo)簽引入遠(yuǎn)程的js代碼,當(dāng)有后臺(tái)人員審核提交數(shù)據(jù)時(shí)候,點(diǎn)擊了提交的數(shù)據(jù),觸發(fā)獲取到有價(jià)值信息 。
實(shí)戰(zhàn)案例,一次XSS盲打
一次晚上,懶得開(kāi)電腦就拿手機(jī)搜一個(gè)問(wèn)題,于是就彈出了以下頁(yè)面:
我試著看了會(huì)兒——正當(dāng)看的我血脈噴張,想了解下面的劇情,點(diǎn)進(jìn)去一看,居然要充值。不行,作為一名技術(shù)人員,對(duì)付這種網(wǎng)頁(yè)白嫖才是王道
然后我便點(diǎn)開(kāi)我的,然后點(diǎn)擊投訴,進(jìn)行XSS盲打操作
XSS Payload:
然后提交等待管理員或者運(yùn)營(yíng)人員看見(jiàn),可能就會(huì)觸發(fā)
中了,馬飛
XSS后臺(tái)成功看到了打中的消息,訪問(wèn)后臺(tái),替換Cookie進(jìn)入后臺(tái)
測(cè)試發(fā)現(xiàn)只需要PHPSESSID的值即可進(jìn)入后臺(tái)
Chrome如何不使用插件就替換Cookie值
F12,打開(kāi)
然后看左邊,選擇Cookies,點(diǎn)擊當(dāng)前網(wǎng)址
然后右邊就有字段和值
雙擊該字段或者值即可修改
沒(méi)有的值,雙擊下面空白處即可新建
進(jìn)入后臺(tái)
白嫖看漫畫(huà),舒服了
后臺(tái)嘗試了文件上傳,均被傳到CDN和圖片服務(wù)器,Flash釣魚(yú)下次再干他
常見(jiàn)XSS盲打點(diǎn):
1.各類APP的投訴以及建議的地方
2.留言評(píng)論處,反饋處等
3.充值需要提交給后臺(tái)審核處
4.名字,真實(shí)姓名,銀行信息,個(gè)人簽名以及頭像處等等
5.更多的大家留言補(bǔ)充吧
最后
此次經(jīng)歷只是想去搜個(gè)問(wèn)題,無(wú)意看到的頁(yè)面,請(qǐng)各位相信我,我不是那種人,我只是一名網(wǎng)絡(luò)安全研究者。【安全學(xué)習(xí)】
總結(jié)
以上是生活随笔為你收集整理的【网络安全】XSS盲打实战案例:某网页漫画的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: 【网络安全】2022年第一次靶场渗透实战
- 下一篇: 【渗透技术】一个渗透测试工具人是怎样操作