实战SRC-存储XSS漏洞
不秃头的安全
我们在日常挖洞过程中,会遇到需要填写一堆个人或企业信息的页面,大多数情况下我们都会嫌麻烦,怕填写了半天最后也没挖到洞,从而忽略这种网站。其实这种网站恰恰更有可能存在漏洞,因为大多数渗透人员都嫌麻烦继而放弃,导致这种看似很安全的网站,更有可能存在漏洞。
那么接下来就带大家看一下,某网27省电力交易中心通杀的一个文件上传存储XSS漏洞是怎样挖掘到的。
一 漏洞记录
1、打开某省电力交易中心首页,点击注册功能。
2、填写账号密码信息。
3、返回登录处登录刚才注册的账号。
4、登录后就发现进入到市场成员注册页面,此时有小伙伴会问,这么多企业信息,自己又没公司,这该怎么填写?
首先我们可以使用企查查和百度搜集一些营业执照等信息,其次我们填写的信息也不一定就要通过审核才能触发漏洞,只要填写的信息看上去大致合理即可。
所以此处我们随意填写一个企业信息,并上传此次用到的漏洞利用文件即可。
5、在工商营业执照上传处上传带有XSS代码的PDF文件。
6、上传成功后,点击预览此文件,会在服务器下载已上传的文件,并成功弹窗。
7、填写完信息后提交注册,等待审核人员中招。三小时后,Dnslog提示审核人员已触发此漏洞。
二 防御方法
前后端均检测PDF文件中是否存在恶意代码。
三 思路总结
其实小编每次挖某网的时候都会见到这个网站,但每次都放弃了,总感觉他特别安全,毕竟是全国通用的站点,怎么会有漏洞,而且之前也比较懒,看到这么多信息需要填写,直接关机睡觉了。这也导致很多漏洞都被错过,不是因为技术不到位,而是比较懒,对挖洞的认知也有所欠缺。
有的小伙伴可能还不太了解PDF XSS的制作方法,其实百度上有很多这种文件的制作教程。另外也可以使用小编已制作好的文件,其中还附赠大家一个.SVG图片的XSS文件,在图片或头像上传处提交此文件,当别人的浏览器加载你的头像或图片时就能触发此漏洞,目前各大SRC均能挖掘到此漏洞,成功几率炒鸡高。在公众号回复神秘代码——“XSS利用文件”,即可下载。
四 文末闲聊
感谢各位大佬们关注-不秃头的安全,本账号为新起公众号,后续会坚持更新渗透漏洞思路分享、安全测试、好用工具分享以及挖掘SRC思路等文章,同时会组织不定期抽奖,希望能得到各位的关注与支持。
编辑:Rarry
审核:黑道饺子
版权归原作者 不秃头的安全 所有, 如有侵权,请联系我们删除。