漏洞发生在插附件的地方。说到插附件各位看官也应该都想到了肯定是文件名。因为文件名是按照本地上传的文件名来显示的。2 |- h* Q# ]+ n: J
如果你的操作系统是linux你可以直接修改一个图片文件的文件名,像这样:
( g* q2 z1 z) |- z# F' U( m+ ?* b
$ X. g' w6 i( |: d2 W: m- H! `1
, r3 h! K7 I6 I$ ^<img src=javascript/alert(1);>.png! P3 f: d4 J( z; Z" S
(这里的/在linux下会被转换成: 这个payload只有在IE6下才能弹起来,我知道你们都是高手 可以根据需要 插点高级的payload)
: c- _- d; o2 x/ ^2 A7 H0 l如果你的操作系统是windows,你可以上你喜欢的抓包工具(我个人喜欢用Tamper data)。第一次上传应该是抓不到文件名的,至少我没有抓到。2 A6 \2 o- _ p$ V# ~
所以你需要在上传,插入,发帖完成之后重新编辑你的帖子来更新你的图片,这个时候抓包是可以抓到这个可爱的filename的。; O- T2 H6 ~6 w R' O
修改xxx.png为' Y; Z6 c5 _% H! j8 f' T
$ G2 z4 ? Z) Z
1
. f2 Z& k# E; u# m! S% z- j9 ]<img src=javascript:alert(1);>.png- ` J0 C/ G% p" j/ D# S
提交。
0 n$ L# ^2 P% {& R0 ^5 {& Exss会被触发在第二个页面,也就是点击图片放大之后触发。9 r0 W1 W- G- u5 c+ `
pwned!* o4 y' e+ z, _; d) ]7 `9 t$ i
3 U; y! J! u- {) v5 u- O字符长度限制在80左右,过滤了” ’ / etc..(斜杠的问题我会在后面继续叙述)
4 r0 V/ }& i4 k* m, [* m% b因为不懂XSS,就拿给自己玩的好的几位基友去构造payload都说斜杠过滤了,字符限制云云 基本上都失败了。1 @* P3 Y0 i c5 Z) T9 n! f
虽然现在XSS很火,但我个人真的不是很喜欢这个东西。
" G8 z2 o% |3 m) _% s但基友居然都说不行就只好自己硬着头皮再试试了。
% R: E# ^/ K9 k- O9 S- }- _2 z5 i在尝试中发现反斜杠也被过滤时,我才发现这不是一个xss filter的问题。0 I7 o: }. O0 T4 `4 a2 _
而是上传过程中,我们可爱的/和反斜杠在这里应该起到分割filename和filepath的作用 所以被杀也是应该的。 Orz..
7 i; F* ]* z5 Y$ k O7 A W* ?这貌似就是传说中的mission impossible了。( i+ U1 {' M; t
我们需要解决这个斜杠的问题。经过各种尝试最后迂回到了附件描述的地方。很没有把握地插了一个XSS payload.像这样:( S0 U- E" x" |
1
7 R3 T- }. p# Y: x. t% m<img src=x onerror=alert(document.cookie)>.png
# a: B/ L- j3 ?, B$ C原来的文件名被这个描述给覆盖掉了。
1 E: T6 R7 s6 K$ d" C4 Xpwned!
! s4 i; K7 ?" C# F 2 @6 l) N- o- ~& N* h; r; C. [
而且已经可以带上我们的斜杠了(因为它已经不再是前面的那种情况了)% G1 Q6 H' s' ^" O) f4 v7 f
到这儿,我觉得应该已经没有任何的阻碍了。. E2 ]+ t- E! R9 u
可能经过测试,会有人说payload会在主页面测漏,有HTTPonly cookie,属于被动触发云云。1 U! \7 Z& c( B5 [
whatever!
- s0 v3 b8 A. D我觉得这些已经不应该是该去研究的问题了。
, Y7 X9 d D: ]8 \+ Q0 M, g7 x因为没有哪个网站和你有这么大的恨。
) |& r6 V+ d5 v. R8 v0 ^: Z解决方案:& }) N1 o: C$ j+ x. a1 c: g- k' S6 |4 X
全局-上传设置-论坛附件-帖子中显示图片附件-否5 @( e2 Q; k/ X) G3 _
这样,就搞定了。 O7 O# U# G; ?1 x2 g3 W' a
|
发表于 2013-2-16 21:37:48
收藏
支持
反对
发表于 2013-2-17 19:17:13