0


实战SRC|北京、上海等27省某x电力xx中心存在存储XSS漏洞

实战SRC-存储XSS漏洞

不秃头的安全

在这里插入图片描述

我们在日常挖洞过程中,会遇到需要填写一堆个人或企业信息的页面,大多数情况下我们都会嫌麻烦,怕填写了半天最后也没挖到洞,从而忽略这种网站。其实这种网站恰恰更有可能存在漏洞,因为大多数渗透人员都嫌麻烦继而放弃,导致这种看似很安全的网站,更有可能存在漏洞。

那么接下来就带大家看一下,某网27省电力交易中心通杀的一个文件上传存储XSS漏洞是怎样挖掘到的。

一 漏洞记录

1、打开某省电力交易中心首页,点击注册功能。
在这里插入图片描述

2、填写账号密码信息。
在这里插入图片描述

3、返回登录处登录刚才注册的账号。

4、登录后就发现进入到市场成员注册页面,此时有小伙伴会问,这么多企业信息,自己又没公司,这该怎么填写?

首先我们可以使用企查查和百度搜集一些营业执照等信息,其次我们填写的信息也不一定就要通过审核才能触发漏洞,只要填写的信息看上去大致合理即可。
在这里插入图片描述

所以此处我们随意填写一个企业信息,并上传此次用到的漏洞利用文件即可。

​5、在工商营业执照上传处上传带有XSS代码的PDF文件。
在这里插入图片描述

6、上传成功后,点击预览此文件,会在服务器下载已上传的文件,并成功弹窗。
在这里插入图片描述在这里插入图片描述

7、填写完信息后提交注册,等待审核人员中招。三小时后,Dnslog提示审核人员已触发此漏洞。

二 防御方法

前后端均检测PDF文件中是否存在恶意代码。

在这里插入图片描述

三 思路总结

其实小编每次挖某网的时候都会见到这个网站,但每次都放弃了,总感觉他特别安全,毕竟是全国通用的站点,怎么会有漏洞,而且之前也比较懒,看到这么多信息需要填写,直接关机睡觉了。这也导致很多漏洞都被错过,不是因为技术不到位,而是比较懒,对挖洞的认知也有所欠缺。

有的小伙伴可能还不太了解PDF XSS的制作方法,其实百度上有很多这种文件的制作教程。另外也可以使用小编已制作好的文件,其中还附赠大家一个.SVG图片的XSS文件,在图片或头像上传处提交此文件,当别人的浏览器加载你的头像或图片时就能触发此漏洞,目前各大SRC均能挖掘到此漏洞,成功几率炒鸡高。在公众号回复神秘代码——“XSS利用文件”,即可下载。

在这里插入图片描述

四 文末闲聊

感谢各位大佬们关注-不秃头的安全,本账号为新起公众号,后续会坚持更新渗透漏洞思路分享、安全测试、好用工具分享以及挖掘SRC思路等文章,同时会组织不定期抽奖,希望能得到各位的关注与支持。

在这里插入图片描述

编辑:Rarry

审核:黑道饺子

标签: xss 安全 web安全

本文转载自: https://blog.csdn.net/qq_52612931/article/details/130016386
版权归原作者 不秃头的安全 所有, 如有侵权,请联系我们删除。

“实战SRC|北京、上海等27省某x电力xx中心存在存储XSS漏洞”的评论:

还没有评论