0x00 项目背景

该系列旨在分享自己和团队在SRC、项目实战漏洞测试过程中的有趣案例,如果读者能从本项目习得一些有用的知识,那么笔者将非常荣幸。

该系列首发github:https://github.com/J0o1ey/BountyHunterInChina
本项目由M78sec维护,未经授权,文章严禁私自修改版权转载。

0x01 前奏

前不久在挖掘某SRC时提交漏洞时,偶然在该SRC官网的编辑器发现了一个接口。
起初以为是任意文件包含能RCE了,后来测试发现只是拼接读取了远程资源站的图片,原本都想着放弃了,但是当我在后缀添加了个+号后图片被意外的解析成了HTML⻚面,这不就意味着get到一个存储型XSS?

https://xxx.cn/xxxx/ueditor?image_name=/xxx.png+


接着测试发现拼接图⽚在⼀个⼆级⽬录下,尝试穿越发现存在⾃研WAF,于是Fuzz了下Payload成功Bypass。
#####WAF:

#####Bypass:

/..%252F/

0x02 漏洞利用

  1. 利⽤010Editor或copy命令,制作含有恶意代码的图⽚。
    copy tiny.png /b + code.txt /a tiny_code.png
  2. 通过本站的⽂件上传恶意图⽚,取得⽂件名(之所以⽤png格式是因为jpg会校验是否为正常图⽚)。
  3. 由于该SRC官⽹财务打款需要⼿机个⼈信息(姓名,⼿机号,sfz等),⽽这些信息⽤户⾃⼰是可⻅的。
    我们直接编写了⼀个demo.js⽤于读取受害者个⼈信息,将其部署在XSS平台。
    脚本会通过Ajax请求URL,使⽤DOMParser转换并解析DOM对象,提取⽤户身份证、银⾏卡、⼿机号、地址等信息后合并base64发送到XSS平台,找了团队的⼏个朋友测试OK。
  4. 构造跳转⽹站,诱导受害者访问:

这时只要受害者访问该服务,跳转⾄恶意⻚⾯就能获取信息。

0x03 技术点总结

  1. Fuzz出接⼝及参数,拼接+号解析成HTML⻚⾯。
  2. URL拼接时BypassWAF进⾏⽬录穿越。
  3. 使⽤DOMParser转换为DOM对象并提取表单input值,后通过window.btoa函数base64编码字符串。

本文作者: RG

重生之我是赏金猎人(七)-看我如何从FUZZ到XSS在SRC官网偷走你的个人信息相关推荐

  1. 重生之我是赏金猎人(二)-逆向app破解数据包sign值实现任意数据重放添加

    0x00 项目背景 该系列旨在分享自己和团队在SRC.项目实战漏洞测试过程中的有趣案例,如果读者能从本项目习得一些有用的知识,那么笔者将非常荣幸. 该系列首发github:https://github ...

  2. 重生之我是赏金猎人-SRC漏洞挖掘(十三)-攻防对抗/梦中绝杀X脖代理商

    0x00 前言 前两天在国企实验室的朋友遇到了一个棘手的目标,听说之前没人能打点进去,只能靠xxxxx取证 我一听来了兴趣,在梦中臆造了一个靶场进行渗透,并且已获得相关授权 还请各位看官请勿对号入座, ...

  3. 重生之我是赏金猎人-漏洞挖掘(十一)-某SRC储存XSS多次BypassWAF挖掘

    0x01:利用编辑器的超链接组件导致存储XSS 作者:画风@m78sec https://github.com/J0o1ey/BountyHunterInChina 欢迎大家点个star 鄙人太菜了, ...

  4. 重生之我是赏金猎人-SRC漏洞挖掘(五)-轻松GET某src soap注入

    0x01 挖掘 在对某SRC测试时,本人根据其证书信息收集到了部分深度子域,并找到了其对应的业务IP段 写了个shell脚本+ffuf批量fuzz某src c段资产目录 发现了xxSRC c段的一个提 ...

  5. 重生之我是赏金猎人-番外篇-记一次层层突破的攻防演练

    0x00 前言 本文简单记述了一下本人在某攻防演练过程中一次层层突破的有趣经历 技术性一般,但是层层突破属实艰难,并用到了比较多的思路,还望各位大佬多多指教 0x01 SSO账号获取 由于目标是某大学 ...

  6. 重生之我是赏金猎人(六)-强行多次FUZZ发现某厂商SSRF到redis密码喷洒批量反弹Shell

    0x00 项目背景 该系列旨在分享自己和团队在SRC.项目实战漏洞测试过程中的有趣案例,如果读者能从本项目习得一些有用的知识,那么笔者将非常荣幸. 该系列首发github:https://github ...

  7. 重生之我是赏金猎人-SRC漏洞挖掘(二)-逆向app破解数据包sign值实现任意数据重放添加

    0x00前言 本期登场的目标虽不是SRC,但是整个漏洞的利用手法很有学习意义.目前在很多大厂的http数据包中都会添加sign值对数据包是否被篡改进行校验,而sign算法的破解往往是我们漏洞测试的关键 ...

  8. 重生之我是赏金猎人-SRC漏洞挖掘(一)-某SRC测试系统无脑Getshell

    0x01 前言 https://github.com/J0o1ey/BountyHunterInChina 欢迎大佬们点个star 0x02 资产收集到脆弱系统 在某src挖掘过程中,本人通过ssl证 ...

  9. 重生之我是赏金猎人(九)-从本无法触发的xss到梦幻联动挖掘多个致命接口下的XSS触发点

    0x00 项目背景 该系列旨在分享自己和团队在SRC.项目实战漏洞测试过程中的有趣案例,如果读者能从本项目习得一些有用的知识,那么笔者将非常荣幸. 该系列首发github:https://github ...

最新文章

  1. GCC中的内嵌汇编语言
  2. 2020年财富金字塔出炉,你距离高净值还有多远?
  3. 【51单片机快速入门指南】4.6:I2C 与 PCF8563实时时钟日历芯片
  4. 《集体智慧编程》笔记(2 / 12):提供推荐
  5. ES6深入浅出_汇总贴
  6. 《JavaScript权威指南》读书笔记一
  7. [PHP] excel 的导入导出
  8. 免匙SSH登录失败问题(非常规)
  9. Elasticsearch 快照到 HDFS 遇到的 PrivateCredentialPermission 问题及解决方法
  10. 六级(2020/12-2) Section B
  11. 根据书单来制作item2vec
  12. 从0到1 激活函数(一)sigmod函数
  13. HEVC-环路滤波 之去块效应滤波
  14. 【安全狗漏洞通告】Gitlab 硬编码漏洞解决方案
  15. Linux管理员易犯的错误
  16. 请尊重我们移动10086每一位前台客服人员(ZZ)
  17. 团队编程项目作业2-象棋游戏设计文档
  18. 最新UI设计师教程(学习路线+课程大纲+视频教程+面试题+学习工具)
  19. Unity3d C#实现显示计时器(游戏运行时间、录制时长等)功能(含项目源码)
  20. Harry Potter and the Prisoner of Azkaban

热门文章

  1. heic图片转换器—批量转换jpg、png、bmp
  2. tensorflow模型持久化方法
  3. oracle sqladvisor,Oracle 11 sql tuning advisor sql access advisor关闭以及job查看与停止
  4. 微信小程序预览常见问题 未找到app.json这个怎么解决
  5. 使用迅雷下载FSNS数据集
  6. 泰科 | 千呼万唤始出来的DDR5 DIMM插槽连接器
  7. Linux中用户账号和组账号的介绍
  8. Q10 Regular Expression Matching
  9. java免费发送邮件实现
  10. 数据通信的基本原理与概念