大家好,这是我编写的第一篇文章,之所以会分享这个故事,是因为我花了几个晚上的时间,终于找到了解决某个问题的方法。故事如下:
几个月前,我被邀请参加一个非公共的漏洞悬赏项目,在初期发现了一些漏洞后,就再无收获。
而在最后5天里,出于对金钱的渴望,我告诉自己必须在整个项目结束之前再找到一些漏洞,因此我又从头开始梳理整个目标。
这个目标是一个大型的社交网络,而转折就发生在我去创建一个新的帐户时。
当我在用户名处输入一个XSS的payload时&#xff0c;特殊字符: <:’();?>全不能输入&#xff0c;而且长度限制为20个字符。
此时&#xff0c;我没有太好的办法&#xff0c;只能去寻找其他漏洞。
而当我访问目标范围内的第二个域名&#xff0c;试图用我的电子邮件注册新帐户时&#xff0c;被告知&#xff1a;用户已经注册&#xff0c;请登录。看来&#xff0c;这两个网站使用的是同一个数据库的用户数据&#xff0c;那么我可以借这个网站插入XSS么&#xff1f;
我很快进入到“个人资料”页面&#xff0c;尝试编辑我的用户名。是的&#xff0c;的确没有了敏感字符限制&#xff01;
但是&#xff0c;这个长度还是被限制在20个字符以内。
我首先输入一个简单的payload来确认XSS的存在&#xff1a;
输入并保存后&#xff0c;我转向第一个网站&#xff0c;并成功在“个人资料”页面发现了弹框&#xff01;
接下来&#xff0c;我开始探究如何窃取COOKIE&#xff0c;因为危害越大&#xff0c;奖励越高。
不过由于无法绕过长度限制&#xff0c;所以如何才能用小于20个字符的XSS来窃取COOKIE&#xff1f;xsshunter工具的确很有用&#xff0c;但payload都太长了&#xff0c;所以我花费了很久的时间不停寻找新方法。48小时之后&#xff0c;我发现了这条来自2016年的推特&#xff0c;其中的payload的确很短&#xff0c;来自&#64;0x6D6172696F&#xff1a;
₨代表印度卢比&#xff0c;这是1个字符&#xff0c;而不是2个字符&#xff0c;而⑭也是类似的效果。当你访问把这个url粘贴到浏览器去访问时&#xff0c;会发现如下情形&#xff1a;
是的&#xff0c;变成了14.rs&#xff0c;我们用三个字符代替了5个字符&#xff01;&#xff01;
虽然推特中表示&#xff0c;它只在Edge浏览器中生效&#xff0c;但经过测试&#xff0c;我发现Chrome和Firefox浏览器也受到影响。
现在&#xff0c;我必须租一个.rs域名&#xff0c;但这对我来说非常高昂贵&#xff08;大约90美元&#xff09;&#xff0c;所以我开始寻找一种更廉价的方法。
很快&#xff0c;我便想到去namecheap.com&#xff08;感谢&#64;brutelogic&#xff09;购买一个根域为两个字符&#xff0c;但域名包含特殊字符的域名。最终我确定了RsRs.pw&#xff0c;这大概是每年90美分&#xff0c;所以域名&#43;DNS等于2.10美元。
购买域名后&#xff0c;我直接将RsRs.pw指向xsshunter.com的某个链接&#xff0c;也就是指向XSS的payload。我迅速进入到个人资料页面&#xff0c;往输入框插入了
1个月后&#xff08;直到他们解决这个漏洞&#xff09;&#xff0c;我收到了600多名受害者的COOKIE。
建议
当你看到字符长度或某个字符被限制时&#xff0c;可以尝试找一些特殊字符&#xff08;或许可以从希腊字典中找到&#xff09;&#xff0c;能起到1个字符代替2个字符&#xff0c;或者绕过安全限制的效果。
此外&#xff0c;当找到一个漏洞时要尽量提高它的危害性&#xff0c;这能带来更高的奖励&#xff0c;更好地锻炼自己。
本文由白帽汇整理并翻译&#xff0c;不代表白帽汇任何观点和立场
来源&#xff1a;在XSS测试中如何绕过字符长度限制|NOSEC安全讯息平台 - 白帽汇安全研究院
原文&#xff1a;https://medium.com/&#64;mohameddaher/how-i-paid-2-for-1054-xss-bug-20-chars-blind-xss-payloads-12d32760897b
白帽汇从事信息安全&#xff0c;专注于安全大数据、企业威胁情报。
公司产品&#xff1a;FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。
为您提供&#xff1a;网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。
京公网安备 11010802041100号