长亭百川云 - 文章详情

【技术分享】记一次TXT的存储型XSS奇葩案例

xioy

40

2024-06-06

TXT的存储型XSS!对你没看错!不要怀疑!就是你想的那样!

你听过没?见过没?总之我是闻所未闻,这种奇葩案例竟然被我碰上了,属实是给我开眼了。

0****1

1.1

瞎逛

有注册功能,那就注册成为尊贵的用户吧。

有短信验证码的功能看看有没有漏洞(关于短信验证码的漏洞挖掘技巧详情查看历史文章【技术分享】短信和邮箱验证码的漏洞挖掘技巧

好的,没有,您的站点非常安全。

1.2

乱逛

进入个人中心发现用户的头像处可以上传文件。

先上传一个正常图片看看数据包。

发现上传头像后站点会有两步操作:第一步对上传的文件进行检验是否为合规文件,第二步对图片进行裁剪,最后把裁剪后的图片设置为头像。

在设置头像的数据包中发现图片信息的上半段为二次渲染的标记,下半段为图片信息。

知道了逻辑那就直接在第二步中修改文件信息吧。

02

2.1

乱测

通过插件知道这是一个php的站。

上传一个纯代码文件,在第一步中就失败并返回只能上传jpg、jpeg和png格式的文件的提示,难道是对文件头有限制?

上传一个正常的图片。通过第一步的检验后,进入第二步裁剪完成后拦截上传头像的数据包,转发到repeater模块把图片名字cropper.jpg改为cropper.php,在图片信息末尾加上恶意代码然后放包。

返回的还是只能上传jpg、jpeg和png格式的文件。

2.2

揣测

把文件信息改成123456看看效果什么样。

能显示啊这是为什么?

把文件末尾信息改成123456123456。访问后只保留了两个123456,中间的代码被删除了。头回遇到这种情况啊。

03

长见识

3.1

开眼

虽然php没法利用了,但是至少还有html。可以弄一个存储XSS保底也还行,传上去访问文件竟然不显示。

G,啥都没有。闲的无聊把文件后缀改成txt重新发包。

访问目标文件,属实给我开眼了。非预期文件上传TXT导致存储型XSS!闻所未闻,想都不敢想的事啊!

往期文章推荐

【资源分享】海康威视、亿赛通漏洞综合利用工具——Rookie

【技术分享】crunch字典生成工具及拓展利用方式

【技术分享】记一次从弱口令到多个getshell的渗透过程

【技术分享】记一次从信息泄露到重置任意用户密码的渗透过程

团队中的师傅们都来自国内安全厂商在职的一线工程师,均具有良好的职业素养与丰富的从业经验。

渗透测试

Web站渗透、APP渗透、小程序渗透、内网渗透、技术咨询

CTF

赛事、RE、PWN、CTF培训

提升与考证

渗透思路、NISP考证、CISP考证

edusrc邀请码

免费不限量提供edusrc邀请码,请在公众号的菜单栏资源获取-edusrc邀请码中获取。

TNT漏洞文库

所有文章第一时间会发布在文库中,漏洞文库中的内容全部免费开放。

访问密码每周都会更换,最新访问密码请在公众号的菜单栏资源获取-漏洞文库中获取。

免责声明

  1. 本文所涉及的任何技术、信息或工具,仅供学习和参考之用。请勿利用本文提供的信息从事任何违法活动或不当行为。

  2. 任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响,均由使用者个人承担责任,与本文作者无关。  

  3. 作者不对任何因使用本文信息或工具而产生的损失或后果承担任何责任。 

  4. 使用本文所提供的信息或工具即视为同意本免责声明,并承诺遵守相关法律法规和道德规范。

END

点个「在看」 我的零食分你一半

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2