漏洞发生在插附件的地方。说到插附件各位看官也应该都想到了肯定是文件名。因为文件名是按照本地上传的文件名来显示的。
4 g h; v" U0 j: P5 s如果你的操作系统是linux你可以直接修改一个图片文件的文件名,像这样:0 h7 Y- w" ~9 o# M' G
3 a* h$ }( n9 A! ~
14 e' R3 H# h; _/ D5 t8 y! j
<img src=javascript/alert(1);>.png
) @4 _+ E2 ^. M(这里的/在linux下会被转换成: 这个payload只有在IE6下才能弹起来,我知道你们都是高手 可以根据需要 插点高级的payload)9 ~4 b' p! b8 A! p
如果你的操作系统是windows,你可以上你喜欢的抓包工具(我个人喜欢用Tamper data)。第一次上传应该是抓不到文件名的,至少我没有抓到。
. {6 ?2 i5 X4 w% l$ y0 j所以你需要在上传,插入,发帖完成之后重新编辑你的帖子来更新你的图片,这个时候抓包是可以抓到这个可爱的filename的。; @8 P& r# e/ u) ^& r4 G1 Q# K
修改xxx.png为5 p) a8 j( y: j, d9 d% o0 e
* N! }' q& k- m' y
1
1 h: u/ ~* U; j9 _! L<img src=javascript:alert(1);>.png
9 ?. g6 d. }" ?, E7 z+ e提交。7 T) @, q0 M2 g8 w {7 ?5 @8 s
xss会被触发在第二个页面,也就是点击图片放大之后触发。
3 T8 N3 a9 [6 m; V$ c: hpwned!4 N4 C- D! I, a8 O. X
9 }7 E2 {+ c/ i7 _; H' |字符长度限制在80左右,过滤了” ’ / etc..(斜杠的问题我会在后面继续叙述)
8 N; }1 Q& Y4 K: s% E% s) @& k0 u因为不懂XSS,就拿给自己玩的好的几位基友去构造payload都说斜杠过滤了,字符限制云云 基本上都失败了。
9 r# D* W( R5 F0 A' o虽然现在XSS很火,但我个人真的不是很喜欢这个东西。
. S- @; Q$ }& U8 @但基友居然都说不行就只好自己硬着头皮再试试了。9 @9 Y/ |& ^( Q/ a
在尝试中发现反斜杠也被过滤时,我才发现这不是一个xss filter的问题。; ?! {2 b. n0 v. x# Y7 ?
而是上传过程中,我们可爱的/和反斜杠在这里应该起到分割filename和filepath的作用 所以被杀也是应该的。 Orz..* j0 Y4 X- C" U" I
这貌似就是传说中的mission impossible了。' P7 m3 x, c7 l/ v5 I3 l& A8 R; V# t
我们需要解决这个斜杠的问题。经过各种尝试最后迂回到了附件描述的地方。很没有把握地插了一个XSS payload.像这样:
/ h4 B' ~9 ]" \* D5 P1
- `' |4 r9 C) k* Z' T/ A<img src=x onerror=alert(document.cookie)>.png
4 p2 o9 w$ m8 i原来的文件名被这个描述给覆盖掉了。5 ]" Q% U1 m" p$ Q- v4 y- O, b
pwned! P1 ~- \# o$ X
9 N$ C6 J& X' y2 U) ?4 X
而且已经可以带上我们的斜杠了(因为它已经不再是前面的那种情况了)
& d3 D% E8 H* d" ?到这儿,我觉得应该已经没有任何的阻碍了。7 ~0 ?1 K; M2 ?( L
可能经过测试,会有人说payload会在主页面测漏,有HTTPonly cookie,属于被动触发云云。
+ p! L& N, a. ]whatever!
6 a# [8 Q" R; e3 g" O4 z我觉得这些已经不应该是该去研究的问题了。5 R0 g3 ]5 S* L) f9 S' L' N- f1 A( e( l
因为没有哪个网站和你有这么大的恨。! W2 l3 Q+ m2 A5 e: c: [2 _: J
解决方案:
u$ [- p7 @% r, {全局-上传设置-论坛附件-帖子中显示图片附件-否
8 R6 u' S# J; E5 M7 V0 q/ N8 k: X% e1 g# \这样,就搞定了。4 o( P8 \9 e1 P, f# R" H( t, f
|
发表于 2013-2-16 21:37:48
收藏
支持
反对
发表于 2013-2-17 19:17:13