云来储存型XSS漏洞+越权修改应用封面
2016-01-23 17:45
309 查看
0x001.
今天本来想看看场景应用有什么新功能没,于是乎随便打开了一个场景应用,然后上传了一张图片修改下封面,结果我看到firefox 网络竟然有2个post,不由得勾起我的好奇心,好奇害死猫嘿嘿。(习惯性浏览网页开着firebug)
一般来说图片上传都是一个post解决呢,为何有2个post,经过我一番查看发现整个流程是这么来走的:
Post一张图片到服务器,然后get 到图片在服务器的路径,然后再通过最后的post 更新数据库,估计数据库中单独存在着一张表来保存这玩意。
表结构可能如下:
先看看能不能越权什么的,这里我把id改为我另外一个号的的场景应用的id号15196看看能不能修改。
发现可以修改成功,所以说这个地方存在的越权操作。
再来玩玩sql注入,语句猜测:
update pic set app_logo = '{$src}' where id = {$id};
Id:15196'后面加个单引号,发现不报错,尼玛。
转16进制 0x3136393535 塞进去,提示案例不存在
摆明了。Id被引号给包起来了。
测试发现
在id后面加字母什么的不报错但是在之前加就报错,好吧,–》被转成整形了。
Id不做想法了。来看看app_logo 字段。
单引号被插入了数据库。
这里先来了解下:
<img src =" " > src 处可以导入一个js的脚本文件或者执行相关的js代码,或者通过src的可控性闭合img标签,再导入js代码来xss不同的浏览器处理不同。<img src="javascript:alert(/xss/)">这种语句已经不能在IE7.0以上和火狐运行,而旧版的遨游和其他的一些IE内核浏览器还可以,估计是被开发人员故意封掉的。随着浏览器的更新换代,这种语句的成功率越来越低。
由于json格式数据的标准是用双引号引起来。这个页面的源码是<img id="app-log" src="">
估计是没法插入双引号进行闭合,哪位基友有思路求科普。
我们这里直接插入js代码试一下:
Tengine 这玩意web服务器给禁止了,我们来绕过他一下
由于html的属性支持ASCII码特性,
<img src="javascript:alert(0);" >
我们传入到数据库来看看,
好吧&被转实体了,没办法了么?
Ok继续变形 js
我们把 "javascript:\u0061\u006c\u0065\u0072\u0074\u0028\u0030\u0029\u003b" 插入。
么么哒,成功绕过。
上xss平台创建一个项目
代码。。插进去。。。
最后img xss 虽然有些过时,但是市面上还是存在部分ie内核浏览器支持,利用这个img xss 配合前面的越权,可以打任意用户cookie 。。。
安全盒子原创文章:转载请注明安全盒子SecBox.cn
今天本来想看看场景应用有什么新功能没,于是乎随便打开了一个场景应用,然后上传了一张图片修改下封面,结果我看到firefox 网络竟然有2个post,不由得勾起我的好奇心,好奇害死猫嘿嘿。(习惯性浏览网页开着firebug)
一般来说图片上传都是一个post解决呢,为何有2个post,经过我一番查看发现整个流程是这么来走的:
Post一张图片到服务器,然后get 到图片在服务器的路径,然后再通过最后的post 更新数据库,估计数据库中单独存在着一张表来保存这玩意。
表结构可能如下:
| 某表 | ||
| 字段名 | 类型 | |
| Id | Int | |
| App_logo | Varchar (50) |
发现可以修改成功,所以说这个地方存在的越权操作。
再来玩玩sql注入,语句猜测:
update pic set app_logo = '{$src}' where id = {$id};
Id:15196'后面加个单引号,发现不报错,尼玛。
转16进制 0x3136393535 塞进去,提示案例不存在
摆明了。Id被引号给包起来了。
测试发现
在id后面加字母什么的不报错但是在之前加就报错,好吧,–》被转成整形了。
Id不做想法了。来看看app_logo 字段。
单引号被插入了数据库。
这里先来了解下:
<img src =" " > src 处可以导入一个js的脚本文件或者执行相关的js代码,或者通过src的可控性闭合img标签,再导入js代码来xss不同的浏览器处理不同。<img src="javascript:alert(/xss/)">这种语句已经不能在IE7.0以上和火狐运行,而旧版的遨游和其他的一些IE内核浏览器还可以,估计是被开发人员故意封掉的。随着浏览器的更新换代,这种语句的成功率越来越低。
由于json格式数据的标准是用双引号引起来。这个页面的源码是<img id="app-log" src="">
估计是没法插入双引号进行闭合,哪位基友有思路求科普。
我们这里直接插入js代码试一下:
Tengine 这玩意web服务器给禁止了,我们来绕过他一下
由于html的属性支持ASCII码特性,
<img src="javascript:alert(0);" >
我们传入到数据库来看看,
好吧&被转实体了,没办法了么?
Ok继续变形 js
我们把 "javascript:\u0061\u006c\u0065\u0072\u0074\u0028\u0030\u0029\u003b" 插入。
么么哒,成功绕过。
上xss平台创建一个项目
代码。。插进去。。。
最后img xss 虽然有些过时,但是市面上还是存在部分ie内核浏览器支持,利用这个img xss 配合前面的越权,可以打任意用户cookie 。。。
安全盒子原创文章:转载请注明安全盒子SecBox.cn
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 上海大智慧某站未授权访问&SQL注入
- 小技巧:Mac下Metasploit渗透Oracle环境的搭建
- 玩转Metasploit系列(第一集)
- 记一次挖掘115网盘反射型xss,08xss的储存型xss
- 【内网渗透】域渗透技巧
- 薄弱的交互页面之新浪微博到博客的储存型xss漏洞
- 常规渗透:没遇到过的anquan狗
- SQLi-db 批量注入工具+教程
- 国外整理的一套在线渗透测试资源合集
- 重大漏洞!PHP multipart/form-data头部解析远程拒绝服务漏洞
- MS15-051 修正版Exploit(Webshell可用)
- 网站渗透常用到的Python小脚本
- 如何玩转Android远控(androrat)
- 奇葩拿shell + 提权wind08r2奇葩拿shell + 提权wind08r2戏
- 一次奇葩的突破巨盾和360提权
- Shodan搜索引擎介绍
- sql2005 和 mysql 定时备份批处理
- IIS 7.5+FCK编辑器+burp suite神器拿webshell
- 云来重置任意用户密码
- 云来储存型XSS漏洞+越权修改应用封面