漏洞发生在插附件的地方。说到插附件各位看官也应该都想到了肯定是文件名。因为文件名是按照本地上传的文件名来显示的。6 `/ |: Q! Q9 ?2 s9 P( L
如果你的操作系统是linux你可以直接修改一个图片文件的文件名,像这样:. d% |* \ ]% w5 {& v
3 f: x2 |+ c8 o+ D1 Z) k
1
) z3 _2 j) }% s' _<img src=javascript/alert(1);>.png$ ^6 O$ w4 w k/ J/ P9 ]
(这里的/在linux下会被转换成: 这个payload只有在IE6下才能弹起来,我知道你们都是高手 可以根据需要 插点高级的payload)
3 U8 Q3 | z& k/ r如果你的操作系统是windows,你可以上你喜欢的抓包工具(我个人喜欢用Tamper data)。第一次上传应该是抓不到文件名的,至少我没有抓到。
1 d1 z7 k1 O' \5 A* z( f1 O) I所以你需要在上传,插入,发帖完成之后重新编辑你的帖子来更新你的图片,这个时候抓包是可以抓到这个可爱的filename的。
8 Y8 U2 _$ B4 B; g0 j( C. z A% _修改xxx.png为! s* s% T! f4 q5 Y3 r9 U& y
4 o1 X; P9 Z. i4 X0 ]: e+ K1
+ X8 o0 ^( G2 }5 r! r7 ^<img src=javascript:alert(1);>.png
3 v/ O9 k5 j7 b+ F0 i提交。
9 [; M n1 Y8 B1 g% s9 r% e5 Dxss会被触发在第二个页面,也就是点击图片放大之后触发。
7 I5 w! n" g6 {# t5 }/ epwned!) M8 S! N0 o, l+ ?/ N# r
; Q) {7 t9 j* |. l字符长度限制在80左右,过滤了” ’ / etc..(斜杠的问题我会在后面继续叙述)
/ g( i0 \- E4 c1 p/ v( c因为不懂XSS,就拿给自己玩的好的几位基友去构造payload都说斜杠过滤了,字符限制云云 基本上都失败了。4 o+ `6 x# e. o/ K
虽然现在XSS很火,但我个人真的不是很喜欢这个东西。. H& S9 K4 n, v2 \7 Q- r
但基友居然都说不行就只好自己硬着头皮再试试了。
" E2 {3 @4 A/ Q在尝试中发现反斜杠也被过滤时,我才发现这不是一个xss filter的问题。
( i: f" U9 }4 s& \# @而是上传过程中,我们可爱的/和反斜杠在这里应该起到分割filename和filepath的作用 所以被杀也是应该的。 Orz... d0 ~2 D6 R5 R" M2 E$ Z
这貌似就是传说中的mission impossible了。
1 z+ o% [2 H7 C: G8 }. U$ w我们需要解决这个斜杠的问题。经过各种尝试最后迂回到了附件描述的地方。很没有把握地插了一个XSS payload.像这样:! Y, w2 k+ T' z" K
1
/ G4 U# o. N' `8 s0 q( B0 e) H<img src=x onerror=alert(document.cookie)>.png
' i8 s/ d& u, y原来的文件名被这个描述给覆盖掉了。3 Y( p% V; X" V
pwned!
8 {2 C) x+ A) e! e" I' u / D3 y% N8 Y$ K: T/ G
而且已经可以带上我们的斜杠了(因为它已经不再是前面的那种情况了)
; v! X( ~! C# h到这儿,我觉得应该已经没有任何的阻碍了。
$ n q* h; H4 @! t可能经过测试,会有人说payload会在主页面测漏,有HTTPonly cookie,属于被动触发云云。, o" X1 U% H- X4 z
whatever!; H* l5 @" u' t* y
我觉得这些已经不应该是该去研究的问题了。/ r- z: X8 H" P5 G* n
因为没有哪个网站和你有这么大的恨。5 t2 h/ n' U9 w; U
解决方案:5 R' E! C8 F8 C- k5 V
全局-上传设置-论坛附件-帖子中显示图片附件-否
5 R, ?6 l: \9 t# b$ ]) z2 ?* s这样,就搞定了。
! g0 \8 h1 j7 O, q |
发表于 2013-2-16 21:37:48
收藏
支持
反对
发表于 2013-2-17 19:17:13