<small id='9ZwYFOPp'></small> <noframes id='uWEcUtf9'>

  • <tfoot id='2MC3vZkte'></tfoot>

      <legend id='5d2WUMAm'><style id='yBgq1'><dir id='lZNRquJz'><q id='0SKUEVx8'></q></dir></style></legend>
      <i id='UZuHkOKmd'><tr id='56jY9KZmT'><dt id='2gLdMF'><q id='MOLrvJojc1'><span id='AGl2IgED'><b id='vWRZJo4H'><form id='YSeuOTPxJ'><ins id='bGv6s4'></ins><ul id='Ou3PdL5TsX'></ul><sub id='JmDrlX'></sub></form><legend id='j7Ifx4'></legend><bdo id='PAsnh'><pre id='l9v2XQKE6w'><center id='iaVZqH'></center></pre></bdo></b><th id='WPb4K'></th></span></q></dt></tr></i><div id='NP15U'><tfoot id='4M3jntw'></tfoot><dl id='XkJubg'><fieldset id='QiqBtCsdfu'></fieldset></dl></div>

          <bdo id='SIai'></bdo><ul id='hnW7QA0X8'></ul>

          1. <li id='nH3ylezi'></li>
            登陆

            下载章鱼app-挖洞经历 | 从XSS缝隙到四步CSRF使用完成账户绑架

            admin 2019-05-31 271人围观 ,发现0个评论

            作者前不久在HackerOne上参加了一个缝隙众测约请项目,方针测验运用(体系)的功用是为一些企业保管相关服务,普通用户能够经过该体系进行注册,然后运用这些服务。所以,该运用中会触及到许多用户的灵敏信息处理操作。后来,作者由一个XSS缝隙下手,发现了上传功用中存在的四步CSRF老人性缝隙危险,终究经过结构完结了方针运用的管理员账户绑架。

            在上传文件名处发现XSS缝隙

            项目开端前两天,我就发现了几个中危缝隙,并对它们做了一些剖析符号,经深化研究之后,我意识到只需运用一个XSS缝隙,就能十分容易地完结提权。别的,由于更改用户注册邮箱时,方针运用没有比方向邮箱发更改链接或输入当时暗码的验证手法,所以归纳缝隙运用,可构成账户绑架。为此,我花了许多时刻去挖XSS缝隙。

            但难处在于,由于方针运用对用户输入做了特别字符过滤处理,所以形似很难发现XSS缝隙。之后某天晚上,在持续测验进程中,我注意到,方针运用能够上传CSV文件来导入用户信息,这个功用估量值得深挖。所以,我在上传CSV文件中结构了一些特别字符,但仍是被过滤掉了。接着,我又从CSV文件名下手,在其间结构了XSS 句子:

            下载章鱼app-挖洞经历 | 从XSS缝隙到四步CSRF使用完成账户绑架

            .csv

            总算完结了alert的窗口弹出!好了,功德圆满。

            XSS归纳CSRF的测验

            但在后续剖析中,我意识到即便结构的文件名XSS是耐久型的,这个XSS缝隙现在只能在CSV文件上传时完结触发。也就是说,在CSV文件上传时,运用未做相关编码过滤处理,但文件上传到体系服务端后是受编码过滤的。因而来看,这个XSS缝隙现在也仅仅仅一个Self-XSS,是不在缝隙认可范围内的。虽然我试了许多XSS Payload,但仍是不能绕过上传后的服务端过滤机制,无法改变这种Self-XSS。

            此刻,我只要把它暂时放一放,期望在后续测验中能发现绕过办法或其它运用办法。接下来,在持续测验后,我发现方针运用居然没有CSRF防护机制,所以,我就想到,能不能用CSRF恳求来触发这个Self-XSS呢?所以,我就立马着手编写了一个CSRF恳求脚本,如下:

            这个CSRF脚本内容是上传CSV文件的POST恳求,好了,CSRF脚本有了,那么就需求在方针运用中找到一个途径或端点(endpoint),结构恳求,发送给受害者用户,以此完结XSS缝隙触发了。可是,一经测验,又发现方针运用中简直一切途径或端点(endpoint)都有下载章鱼app-挖洞经历 | 从XSS缝隙到四步CSRF使用完成账户绑架过滤防护办法,所以我在脚本中结构的文件名XSS Payload – filename=\”.csv\” 也就无法被解析触发了。即便我测验了许多重定向跳转和其它技巧,但仍然未找到可行办法。没有思绪,我决议暂时先放一放。

            突发创意-扔掉XSS用CSRF完结管理员账户绑架

            两天往后的某晚,在和媳妇看电视的时分,我突发创意:XSS的完结运用现在或许是一叶障目,为什么不先把那个Self-XSS放一边,直接去运用CSRF呢?因而,我需求再深化了解CSV文件的上传进程,完好的CSV上传进程首要包括以下四个进程,这几个进程中都会触及一些用户信息的修正增加解析:

            1、建议POST恳求履行上传动作(POST – 1)

            2、修正上传进程的过错(GET-1)

            3、解析上传文件中的相关修正之处,以便进行后续的预览和验证(GET – 2)

            4、解析并完结预览,终究提交上传

            经剖析测验,第1步的POST恳求中存在CSRF缝隙或许,之后的三步GET恳求也都存在CSRF缝隙危险。但全体运用或许有点费事,由于不确定这些过程怎么履行,并且后来我才发现其间还遗漏了一步。其次,方针运用需求在上传过错修正之前完结一次查看查看,所以,还需求在以上第1和第2步之间再刺进一个查看过程。别的,方针运用的CORS装备也比较合理,当调用各种端点途径(Endpoint)时,无法取得任何呼应数据。由于这种呼应数据对了解以上每个过程的当时状况十分有用,就比方能够经过呼应回来时刻揣度上传数据的巨细、网速、服务器负载等状况。

            我决议对每个恳求处理完结的均匀时刻做一些测验,然后运用Java中的setTimeout办法来对4个恳求完结交织履行,以保证我能够一次把这4步中的CSRF缝隙进行串联整合。所以,终究缝隙运用PoC代码如下:

            以上PoC履行的功用是:下载章鱼app-挖洞经历 | 从XSS缝隙到四步CSRF使用完成账户绑架一开端发送POST恳求,然后以2秒距离履行完好CSV文件上传进程中的4个恳求,这对单个用户的上传行为来说十分好操控和判别。攻击者经过网站操控布置以上这个PoC页面,如果把方针运用的管理员(Admin)当成受害者,把这个PoC对应URL链接发送给管理员,当他点击加载后,运用CSV文件上传进程中存在的4个CSRF缝隙处,结合上传CSV文件中的用户信息修正,能够完结攻击者管理员身份的增加,以此直接完结对本来管理员身份的绑架。完结机制是:攻击者供给在上传CSV文件中的邮箱会收到一封管理员身份的用户名暗码链接,用该凭证登录方针运用,能够删去其它管理员账户,彻底完结对管理员账户的绑架,获取对方针运用的彻底管理权限。汗……。

            缝隙上报进程

            第一天 缝隙初报

            第二天 缝隙定级分类(高危)

            第三天 取得$3,000奖赏

            第七天 缝隙修正

            *参阅来历:medium,clouds编译,转载请注明来自FreeBuf.COM

            声明:该文观念仅代表作者自己,搜狐号系信息发布渠道,搜狐仅供给信息存储空间服务。
            请关注微信公众号
            微信二维码
            不容错过
            Powered By Z-BlogPHP