前言
3月份冲了一下斗鱼SRC,所以没咋更新文章
今天给大家分享一个之前做梦梦到的某SRC中的某个反射XSS漏洞的挖掘过程吧。
只体现思路,思路是真的,其他都是编的,授人以鱼不如授人以渔
挖掘过程
这个漏洞挖掘的过程简单来说:扫目录发现了一个文件,然后构造了一个参数就得到了XSS漏洞
- 我们假设目标是:
https://test.target.com
- 首先第一步肯定是扫目录,这是必须的一环,在第一次扫目录的过程中,没发现啥有用的信息
- 然后浏览了一下目标,在数据包中发现了一个和其他请求不一致的请求,我们假设是
https://test.target.com/strange/go.jsp
- 可以看到是jsp结尾的,那我们就拿出jsp的字典在
strange
目录下再扫一遍目录,发现了另一个jsp文件:https://test.target.com/strange/back.jsp
- 直接访问这个新扫出来的
jsp
文件,返回结果为{}
,返回的Content-Type
为text/html
- 根据返回的结果类型为json,且
content-type
为html
,那么可以很容易联想到jsonp造成的xss,这里没有数据肯定没法进行劫持,但是如果存在jsonp且没过滤那么造成XSS还是没问题的 - 所以我试探性的构造了一个参数
callback=xxx
,成功返回了xxx{}
,可见确实存在jsonp - 所以最终的payload为:
https://test.target.com/strange/back.jsp?callback=<img src=x onerror=alert(document.domain)>
,也就成功造成了XSS
总结
- 从上面的过程来看,混一个漏洞还是很简单的,主要还是细心,也没啥特别的技巧骚操作
- 快就是慢,慢就是快,不要急躁就行了,挖掘的这段时间中我也不是每天都有产出,反正就硬混