上传Word文件形成存储型XSS路径

在渗透测试过程中,每当看到目标测试网站存在上传功能时,总会激起我的好奇心。如果能够走运的话,若目标网站服务器是PHP或ASP架构,而且上传功能没作后缀过滤,这样就能导致可以直接上传反弹脚本形成控制。如果这招行不通,我会尝试上传一个HTML页面去触发我自己设置的客户端javascript脚本形成XSS攻击。本文我就分享一个上传docx文件形成存储型XSS漏洞的实例。

测试上传功能

刚好在某次Web测试工作中,我发现目标网站上传功能中,用一个未授权用户即可上传自己的文件,该上传功能中允许用户上传.docx文件:

当把这种.docx文件上传之后,它还能被下载。通过比较发现,上传成功的文件uploaded.docx和服务器上其对应的可下载文件downloaded.docx之间存在着一些不同,也就是说,文件上传成功之后,在提供下载之前,服务器会对这个上传文件进行一些处理操作,之后,再提供下载。

用来上传的文件必须是一个有效的.docx文件,那基于浏览器的解析显示来说,它可能会把它转换为html格式来显示,那我能不能把它后缀作个更改呢?所以我先来试试在POST请求中把.docx后缀更改为.html看看:

当这个.html文件上传之后,向服务器请求这个文件后,服务器会把其Content-Type头默认为text/html,这样的话,浏览器会把这个文件解析为HTML执行:

插入XSS Payload

这样,我就想到了把XSS Payload捆绑到一个像下图这样的.docx压缩文件中去。由于这是.docx经直接把后缀更改为.zip的压缩格式文件包样例,我需要确定在上传或Web解析过程中某些不会被转储更改的区域,最后,我发现了这种docx变zip压缩格式包中的某些文件路径会保持原样,像下图这样,我把其中的Settings.xml文件名加上了一长串字母好待区分。

之后,再把这个zip格式后缀还原为docx格式,用UItraEdit查看hex代码,再在保持原样的区域中覆盖掉一些字节,插入我自己设置的JavaScript XSS代码:

上传时,服务器能正常接收这个经过构造的.docx文件,在HTTP POST过程中,我把它的后缀更改为.html后缀进行了最终上传:

向服务器请求这个文件时,它能被服务器解析为HTML文件,其中包含了完整的之前插入的XSS Payload代码:

当然浏览器解析之后,也能成功执行其中插入的XSS Payload:

为了对这种XSS攻击进行混淆隐蔽,攻击者可以在其中加入一个包含URI统一资源标识符的隐藏iframe框架,能对受害者产生迷惑效果,像下图这样:

防护措施

这样的效果对于开发者来说应该采取以下手段来进行限制。

文件上传之前,在服务器端验证上传文件格式是否为.doc或.docx有效格式; 严格限制Content-Type头,对Content-Type头或特定后缀格式更改过的上传文件须保持与上传文件相同的Content-Type头信息; 控制文件下载时的其它操作情况,添加响应标头:“Content-Disposition: attachment”,以防止在浏览器中内嵌显示文件; 过滤掉所有包含HTML标签的上传,因为docx可经压缩篡改其中包含的HTML文件。

*参考来源:coalfire,FreeBuf 小编 clouds 编译,转载请注明来自 FreeBuf.COM

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-05-31

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏网络

JavaEE——jsp介绍

jsp介绍: jsp全称Java Server Page,它是Servlet的扩展,其作用就是简化网站创建过程和维护动态网站。 jsp运作原理: 浏览器访问in...

2597
来自专栏玩转JavaEE

Spring Cloud Config服务端配置细节(一)

上篇文章我们看了Spring Cloud中分布式配置中心的一个基本使用,这里边还涉及到许多细节,本文我们就来看看服务端配置中的一些细节。 ---- 我们先通过下...

3605
来自专栏Java帮帮-微信公众号-技术文章全总结

Dubbo入门学习--Dubbo注册及监控中心(3)

Dubbo入门学习--Dubbo注册及监控中心 Dubbo提供广播、Zookeeper、Redis和Simple四种注册中心类型。 Multicast注册中心 ...

3423
来自专栏逸鹏说道

ifconfig: command not found CentOS专版,其他的可以参考

ifconfig: command not found ? 查看path配置(echo相当于c中的printf,C#中的Console.WriteLine) e...

2798
来自专栏数据派THU

收藏 | Linux常用156个命令汇总!

来源:机器学习算法与Python学习 本文为大家带来Linux系统中156个常用的命令。 linux命令是对Linux系统进行管理的命令。对于Linux系统来说...

51212
来自专栏Python

MySQL下载安装、基本配置、问题处理

一 mysql介绍 MySQL是一个关系型数据库管理系统,由瑞典MySQL AB 公司开发,目前属于 Oracle 旗下公司。MySQL 最流行的关系型数据库管...

56810
来自专栏木子昭的博客

将Python程序(.py)转换为Windows可执行文件(.exe)第四步:运行测试

python开发者向普通windows用户分享程序,要给程序加图形化的界面(传送门:这可能是最好玩的python GUI入门实例! http://www.jia...

36210
来自专栏Laoqi's Linux运维专列

Centos 7 Java配置maven+jenkins+git(svn)+tomcat自动编译和部署(持续集成)

6334
来自专栏一“技”之长

Git命令集十二——切换分支与还原文件 原

1121
来自专栏华章科技

收藏 | Linux常用156个命令汇总!

linux命令是对Linux系统进行管理的命令。对于Linux系统来说,无论是中央处理器、内存、磁盘驱动器、键盘、鼠标,还是用户等都是文件,Linux系统管理的...

1832

扫码关注云+社区

领取腾讯云代金券