看我如何从FUZZ到XSS在SRC官网偷走你的个人信息
0x01 前奏
本文作者RG@M78sec,感谢团队师傅投稿
前不久在挖掘某SRC时提交漏洞时,偶然在该SRC官网的编辑器发现了一个接口。
起初以为是任意文件包含能RCE了,后来测试发现只是拼接读取了远程资源站的图片,原本都想着放弃了
但是当我在后缀添加了个+号后图片被意外的解析成了HTML页面,这不就意味着get到一个存储型XSS?
https://xxx.cn/xxxx/ueditor?image_name=/xxx.png+
接着测试发现拼接图片在一个二级目录下,尝试穿越发现存在自研WAF,于是Fuzz了下Payload成功Bypass。
WAF:
Bypass:
Payload:
/..%252F/
0x02 漏洞利用
1.利用010Editor或copy命令,制作含有恶意代码的图片。
copy tiny.png /b + code.txt /a tiny_code.png
2.通过本站的文件上传恶意图片,取得文件名(之所以用png格式是因为jpg会校验是否为正常图片)。
3.由于该SRC官网财务打款需要手机个人信息(姓名,手机号,sfz等),而这些信息用户自己是可见的。
我们直接编写了一个demo.js用于读取受害者个人信息,将其部署在XSS平台。
脚本会通过Ajax请求URL,使用DOMParser转换并解析DOM对象,提取用户身份证、银行卡、手机号、地址等信息后合并base64发送到XSS平台,找了团队的几个朋友测试OK。
4.构造跳转网站,诱导受害者访问:
这时只要受害者访问该服务,跳转至恶意页面就能获取信息。
成功窃取到受害者的信息,base64解码即可。
0x03 技术点总结
1.Fuzz出接口及参数,拼接+号解析成HTML页面。
2.URL拼接时BypassWAF进行目录穿越。
3.使用DOMParser转换为DOM对象并提取表单input值,后通过window.btoa函数base64编码字符串。