存储型xss_曾经某DN博客里的一个有趣的存储型XSS分析

论坛 期权论坛 编程之家     
选择匿名的用户   2021-6-2 16:26   1888   0

dedbc15e57f395c7f9dd175b05969ba2.gif

前言(一年前的一个XSS,已经修复,这里关注分析)

本想百度某个知识点时,点击此CSDN链接竟然弹窗了!竟然弹窗了!竟然弹窗了!重要的事说三遍。

链接地址:https://bbs.csdn.net/topics/390816889

b150ea12387bc4cd3e77aaedbcd5d0dc.png

那还不赶紧研究下呢!

分析过程

通过分析和抓包,确定来源于这个post请求:这个请求功能是通过搜索关键字返回相关的关键字博客链接和说明

2cba0dd54b08c24e20d47eba9386a073.png

默认的返回包数据太多,不利于JS调试,修改返回包插入2条包含XSS代码的数据,可看到这里数据已经经过HTML实体编码了。

62a03d25852a3fb6b814c8610467c6fe.png

那么既然弹窗了,肯定是本地js解析了,就是不知道是在script里直接执行还是写出文档进行执行(写出文档那么要把html实体编码转换为正常的字符才行)

下断点,可看到loadData这个函数负责解析返回数据的,这里t拼接时还是实体编码字符

26492223fcfc5b86f2d5c713b251b00c.png

继续走,可看到html()函数把实体编码转换为正常字符:

e1a9ceb07b0fbe2373ded8c639d21895.png

"  <li class="right-item cebian_item"  data-report-click={"mod":"popu_728","dest":"https://blog.csdn.net/selah1/article/details/84366274"} data-report-view={"mod":"popu_728","dest":"https://blog.csdn.net/selah1/article/details/84366274"}><a href=https://blog.csdn.net/selah1/article/details/84366274 target="_blank"><div class="content clearfix"><h5 class="" title=很郁闷 window.location.href 竟然没有权限>很郁闷 window.location.href 竟然没有权限h5><span class="time">2012-12-10span><span class="read so_read"> <svg class="icon no-active hover-hide" aria-hidden="true"><use xlink:href="#yuedushu">use>svg>59span>div><div class="right-item-desc">很郁闷alert('xss');div>a>li>  <li class="right-item cebian_item"  data-report-click={"mod":"popu_728","dest":"https://download.csdn.net/download/duck_arrow/3900053"} data-report-view={"mod":"popu_728","dest":"https://download.csdn.net/download/duck_arrow/3900053"}><a href=https://download.csdn.net/download/duck_arrow/3900053 target="_blank"><div class="content clearfix"><h5 class="" title=jsp 刷新父页面>jsp 刷新父页面h5><span class="time">2011-12-09span><span class="read so_read"> <svg class="icon no-active hover-hide" aria-hidden="true"><use xlink:href="#yuedushu">use>svg>15span>div><div class="right-item-desc"><script>alert(document.cookie);script>"div>a>li>"

写出文档就弹窗了:

9c9cc48313ede713ad0e51e34d67e206.png

漏洞利用

这个post包我只发现只有打开论坛帖子链接时才会发送,打开普通博客链接则不会发送。

所以,需要在论坛发一个帖子,帖子的标题改成和你已经发表了的一篇博客有关,那么打开此帖子就会通过关键字找到你的博客帖子。

0420c22fbd86e2ea0751c3b658a00cf3.png

然后就是修改你的博客帖子,里面插入xss代码,反正这个jS函数会进行html实体转换。

尴尬的一点来了:修改博客内容插入XSS代码,打开这个论坛帖子,发现博客内容没有变,应该这个POST读取的是以前缓存的博客,也不知道什么时候能把缓存更新了才行。

d625ad000dff9241c07f19051a042e96.png

分享到 :
0 人收藏
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

积分:3875789
帖子:775174
精华:0
期权论坛 期权论坛
发布
内容

下载期权论坛手机APP