漏洞发生在插附件的地方。说到插附件各位看官也应该都想到了肯定是文件名。因为文件名是按照本地上传的文件名来显示的。
4 v3 x; B! L- [# g0 Z$ x+ }如果你的操作系统是linux你可以直接修改一个图片文件的文件名,像这样:
( \, w6 D, p0 C' s8 Q: E 0 q2 F5 t; u. q9 Y
1, O9 N6 r! q$ M! R! ?9 m
<img src=javascript/alert(1);>.png
/ k) d T# h: r) M(这里的/在linux下会被转换成: 这个payload只有在IE6下才能弹起来,我知道你们都是高手 可以根据需要 插点高级的payload)1 a i9 U9 I" g8 Z5 Q
如果你的操作系统是windows,你可以上你喜欢的抓包工具(我个人喜欢用Tamper data)。第一次上传应该是抓不到文件名的,至少我没有抓到。
0 |8 Y* j1 r1 c4 L8 c z, r3 Y) Q所以你需要在上传,插入,发帖完成之后重新编辑你的帖子来更新你的图片,这个时候抓包是可以抓到这个可爱的filename的。) W' R( v4 Q0 b7 X( N* k2 J
修改xxx.png为
+ k: o7 U7 N3 S* j' T: h3 P
* p5 k3 z% X" N# L# \1
( e8 Y0 C: F) J0 @+ |<img src=javascript:alert(1);>.png
" I$ h( c* y) x& P提交。, e7 y0 n# h. \; J
xss会被触发在第二个页面,也就是点击图片放大之后触发。
0 ^4 T4 T4 V/ @pwned!
- P4 u# e# } T8 Y5 i
5 F. ` M% e3 u& a5 X1 V% j字符长度限制在80左右,过滤了” ’ / etc..(斜杠的问题我会在后面继续叙述). C9 G. D( I5 m, p9 }. N" J; Y
因为不懂XSS,就拿给自己玩的好的几位基友去构造payload都说斜杠过滤了,字符限制云云 基本上都失败了。
0 q+ i% t6 y4 C* e虽然现在XSS很火,但我个人真的不是很喜欢这个东西。
/ n3 Z, n! ]' o1 d& {, g9 Q4 d但基友居然都说不行就只好自己硬着头皮再试试了。/ z/ T8 b$ x: Y% T( s
在尝试中发现反斜杠也被过滤时,我才发现这不是一个xss filter的问题。" m# t' I# P8 f1 G6 X6 j2 _
而是上传过程中,我们可爱的/和反斜杠在这里应该起到分割filename和filepath的作用 所以被杀也是应该的。 Orz..: D5 V& u e1 _
这貌似就是传说中的mission impossible了。
* T+ [/ i2 f r8 y3 E& r+ i我们需要解决这个斜杠的问题。经过各种尝试最后迂回到了附件描述的地方。很没有把握地插了一个XSS payload.像这样:7 e) K# T1 J5 X8 y: N) G
1; z5 h& A' w# M- q+ B$ ^( `* U
<img src=x onerror=alert(document.cookie)>.png
/ X2 x6 K6 p. J原来的文件名被这个描述给覆盖掉了。; q/ C+ v, L/ T( p. t1 B: v
pwned!$ s6 M( o2 y! F" L
7 n- P# w/ N6 S# W2 W+ c3 J
而且已经可以带上我们的斜杠了(因为它已经不再是前面的那种情况了)$ @; H2 c0 d+ g1 Y4 O
到这儿,我觉得应该已经没有任何的阻碍了。; V' M3 R" f2 ]% {! B2 {
可能经过测试,会有人说payload会在主页面测漏,有HTTPonly cookie,属于被动触发云云。
$ Q( L5 T" }# @( ]' v& Bwhatever!
5 K' @6 ?5 G2 [, z6 Y我觉得这些已经不应该是该去研究的问题了。
/ K+ w0 u2 Z" i( `* T因为没有哪个网站和你有这么大的恨。
+ w, W% U, I% N# W: l C6 u( O# b% @解决方案:5 |+ [1 {# u. e, D7 k+ X. T
全局-上传设置-论坛附件-帖子中显示图片附件-否
, {! J3 _1 z9 f这样,就搞定了。
6 i4 X6 }: _4 s, N |
发表于 2013-2-16 21:37:48
收藏
支持
反对
发表于 2013-2-17 19:17:13