1、Web攻防-XSS跨站-文件类型-html&pdf&swf&svg
2、Web攻防-XSS跨站-功能逻辑-postMessage&localStorage
术语:上传xss->其实就是将有恶意js代码的各类文件(swf,pdf,svg,html.xml等)上传->访问该文件->让浏览器解析执行其中的恶意代码->触发xss->其实作用不大(水漏洞)=>上传XSS主要是红队配合钓鱼用的(让受害者访问该文件链接触发xss,从而获取受害者cookie等信息)
一、文件类型触发XSS->SVG-XSS
SVG(Scalable Vector Graphics)是一种基于XML的二维矢量图格式,和我们平常用的jpg/png等图片格式所不同的是SVG图像在放大或改变尺寸的情况下其图形质量不会有所损失,并且我们可以使用任何的文本编辑器打开SVG图片并且编辑它,目前主流的浏览器都已经支持SVG图片的渲染。
①创建1.svg文件->文件中添加以下代码
<svg xmlns="http://www.w3.org/2000/svg" version="1.1">
<circle cx="100" cy="50" r="40" stroke="black" stroke-width="2" fill="red" />
<script>alert(1)</script> #1.svg文件中的恶意代码
</svg>
②上传该svg文件->用浏览器访问该文件:http://xxxxx/1.svg->浏览器便可解析执行该文件中的恶意js代码->触发xss
二、文件类型触发->PDF-XSS
1、用“迅捷PDF编辑器”创建PDF文件1.pdf,1.pdf中加入动作JS代码(如代码app.alert())->需要用浏览器打开该pdf才能执行触发xss->使用PDF编辑器打开就不会触发xss
2、通过文件上传获取直链,将该pdf文件在上传处上传
3、直链地址访问后被触发->访问http://xxxxx/1.pdf->浏览器便可解析执行该文件中的恶意js代码app.alert()->触发xss
项目:迅捷PDF编辑器试用版->可以创建pdf文件,并在pdf文件中写入代码
三、文件类型触发->SWF-XSS
也看浏览器,有的浏览器访问swf文件会直接将swf文件下载下来,有的则会解析执行
1、制作swf-xss文件:
①新建1.swf文件
②F9进入代码区域->在swf文件中插入如下js代码
③属性发布设置解析js代码
********
//取m参数
var m=_root.m;
//调用html中Javascript中的m参数值,通过修改url中的m参数值,实现xss
flash.external.ExternalInterface.call(m);->该js代码是触发xss的关键
********
触发:http://xxxxxx/1.swf?m=alert(xss) ->m传参,可以控制要执行的js恶意代码
项目:Adobe Flash Professional CS6->该软件可以写SWF文件并在文件中插入js代码
2、测试swf文件xss安全性:
①反编译swf文件->有时访问网站,可以意外获取下载swf文件
②反编译后查找swf触发危险函数->如“flash.external.ExternalInterface”
③找该危险可控参数->通过参数访问触发xss
xss一是指执行恶意js,那么为什么说flash xss呢?是因为flash有可以调用js的函数,也就是可以和js通信,因此这些函数如果使用不当就会造成xss。常见的可触发xss的危险函数有:getURL,navigateToURL,ExternalInterface.call,htmlText,loadMovie等等
项目:JPEXS Free Flash Decompiler->可以将swf文件反编译出来,还原源码->通过源码分析可以尝试寻找该swf文件是否有xss利用点,如可利用控制执行xss的参数(再源码中先找是不是有该代码flash.external.ExternalInterface)
3、swf文件两个利用方向:
①自己制作有触发xss漏洞js代码的swf文件->再文件上传swf文件->利用可控参数可以做xss漏洞
②找到目标上存在的swf文件->下载下来进行反编译后->找xss漏洞=>同理:上面的pdf,svg,html
文件如果可以获取,也可以分析一下里面的代码(看是否可以通过url传参来挖掘xss漏洞)
四、文件类型触发-HTML-XSS
单纯在html文件中下js代码->进行文件上传->访问该文件->触发XSS代码即可
五、文件类型触发-其他:XML格式等
挖掘:从安全文件上传到XSS的转换(红队玩法还可以配合钓鱼)
利用文件上传获取文件访问地址,访问触发(浏览器格式解析问题会导致失效)
五、功能逻辑触发XSS:
1、PostMessage XSS(重点->近年新出的xss)
一个用于在网页间安全地发送消息的浏览器API。它允许不同的窗口(例如,来自同一域名下的不同页面或者不同域名下的跨域页面)进行通信,而无需通过服务器。通常情况下,它用于实现跨文档消息传递(Cross-Document Messaging),这在一些复杂的网页应用和浏览器插件中非常有用。
安全原因:当发送参数可控且接收方处理不当时,将导致XSS
模拟漏洞挖掘场景:
①打开目标站点:http://192.168.1.2:91/60/xssreceive.html
②分析源码如下:
**********
<script>
// 添加事件监控消息
window.addEventListener("message", (event) => {
location.href = `${event.data.url}`; #源码中的这个参数很关键->思考怎样可以控制该源码中的这个参数值
});
</script>
***********
③自己写一个用来攻击的html文件,该html可以控制上面的${event.data.url}从而触发xss
黑盒挖掘:
如何去挖这种隐藏比较深的漏洞,这里强推一个国外白帽写的谷歌浏览器插件:
GitHub - fransr/postMessage-tracker: A Chrome Extension to track postMessage usage (url, domain and stack) both by logging using CORS and also visually as an extension-icon安装之后,只要是当前页面创建了message事件监听,这个插件就会定位到其代码。
挖掘到该漏洞的关键在于:目标站点的html文件里面有没有Message事件监听->如果有,就可以构造html攻击文件,用postmessage去控制目标文件中的${event.data.url}参数,从而触发xss
白盒挖掘:
找代码中此操作类函数及关键字分析
复盘:https://mp.weixin.qq.com/s/M5YIkJEoHZK6_I7nK6aj5w
2、localStorage型xss(存储型Xss升级版)重点->近年新出的xss)
Web应用使用localStorage在“用户浏览器”中存储数据;存储型xss是将用户的输入存在服务端数据库中(这是两者的区别点)localStorage允许网页在本地存储键值对,这些数据可以在浏览器关闭后仍然保留,并且在同一域名下的不同页面之间共享。当应用程序从localStorage中读取数据并将其显示在页面上时,如果没有对数据进行充分的验证和过滤,攻击者就有可能通过修改localStorage中的数据来注入恶意脚本实现XSS。
安全原因:当localStorage可控且有页面有操作其数据,将导致XSS
黑盒挖掘:寻找输入点(如表单、搜索框、评论区等),构造测试用例找页面调用
白盒挖掘:查找与localStorage相关的代码段分析数据存储及数据读取
挖掘:先看目标应用localStorage
1、先找能控制的键名键值(怎么找)
2、再找对键名键值做输出操作(怎么找)
其他:第三方或框架等因素触发XSS
Jquery XSS
Vue xss
React xss
Electron XSS
mxss
uxss
......
