漏洞发生在插附件的地方。说到插附件各位看官也应该都想到了肯定是文件名。因为文件名是按照本地上传的文件名来显示的。
3 B: Y7 j. f. p0 S3 k. Y( f! O9 f如果你的操作系统是linux你可以直接修改一个图片文件的文件名,像这样:$ [; e; n" Q) z+ b7 [* A
* \" p. I1 s) R: [- }1
, U2 h5 z; j9 |) H; r<img src=javascript/alert(1);>.png& q- T; d, Y' O$ z( @# U; _
(这里的/在linux下会被转换成: 这个payload只有在IE6下才能弹起来,我知道你们都是高手 可以根据需要 插点高级的payload)
) s: o* T& N, E. D! N3 p3 o( R如果你的操作系统是windows,你可以上你喜欢的抓包工具(我个人喜欢用Tamper data)。第一次上传应该是抓不到文件名的,至少我没有抓到。
) ^- d& v( M4 _0 H所以你需要在上传,插入,发帖完成之后重新编辑你的帖子来更新你的图片,这个时候抓包是可以抓到这个可爱的filename的。# A" ^9 m5 A# b8 i4 k% U" z
修改xxx.png为, S; L' z. C) x
; p, Z! a8 p' _1 w H( I8 p9 E0 z" ~1
. A+ ]1 f+ D/ J, D: x<img src=javascript:alert(1);>.png \1 F, c0 b& M* X% z! m
提交。' O9 K) s2 J, C
xss会被触发在第二个页面,也就是点击图片放大之后触发。
0 j V3 I* }" T5 {+ w& r. ppwned!
9 Z; A5 R& t! |: H4 l 8 u* j O. v: ?8 d/ S* w/ {3 Y: c/ V
字符长度限制在80左右,过滤了” ’ / etc..(斜杠的问题我会在后面继续叙述)
- c6 l. q) k9 l% ^, Z因为不懂XSS,就拿给自己玩的好的几位基友去构造payload都说斜杠过滤了,字符限制云云 基本上都失败了。( {4 `* e9 E; j( i/ M: I
虽然现在XSS很火,但我个人真的不是很喜欢这个东西。( { n; m, r; F2 l
但基友居然都说不行就只好自己硬着头皮再试试了。
0 t I( F+ Z+ h/ t在尝试中发现反斜杠也被过滤时,我才发现这不是一个xss filter的问题。' @ a$ I/ e' I: m5 u
而是上传过程中,我们可爱的/和反斜杠在这里应该起到分割filename和filepath的作用 所以被杀也是应该的。 Orz..
3 q* b# u! H8 o# k1 `这貌似就是传说中的mission impossible了。
" H. X- [' t: J3 L) |' g我们需要解决这个斜杠的问题。经过各种尝试最后迂回到了附件描述的地方。很没有把握地插了一个XSS payload.像这样:
( t$ V( M' ^9 X/ _: k14 r5 J+ [# p, O3 {
<img src=x onerror=alert(document.cookie)>.png2 z" V0 z e; W
原来的文件名被这个描述给覆盖掉了。
% k' Y8 i C: W; X: dpwned!
) ]' m4 G% X4 u) h4 b2 R! m
+ z9 P7 ~" a6 I5 W8 d而且已经可以带上我们的斜杠了(因为它已经不再是前面的那种情况了)
) h& A. k& Z( ` l1 t9 z7 K" h4 U5 C到这儿,我觉得应该已经没有任何的阻碍了。" m4 j6 e- l* R) v3 I9 T% [) a
可能经过测试,会有人说payload会在主页面测漏,有HTTPonly cookie,属于被动触发云云。
9 Z, {4 x! X. Y. J9 m P; o, Gwhatever!
$ P$ b, H" p3 t+ L我觉得这些已经不应该是该去研究的问题了。
! R6 u9 C- |! B8 _4 I因为没有哪个网站和你有这么大的恨。
2 K& f" }+ V. _1 X. P解决方案:
# d/ ]4 N% k) [% k4 g9 n% Y全局-上传设置-论坛附件-帖子中显示图片附件-否
! f5 a/ j' [5 a$ v6 c. K0 E$ h2 r这样,就搞定了。/ v2 c6 W o# j, ?9 G; ^! T: D4 _
|
发表于 2013-2-16 21:37:48
收藏
分享
支持
反对
发表于 2013-2-17 19:17:13