利用文件上传实现XSS攻击是一个Hacking Web应用的很好机会,特别是无处不在的用户头像上传案例中,这就给予我们很多发现开发者错误的机会。基本的文件上传 XSS 攻击有以下几种。
文件名本身可能就是网页的一部分可以造成反射,所以可以通过将 XSS 语句插入文件名中来触发反射。
尽管不是有意为之,但是这个 XSS 可以实践在 W3Schools。
使用 exiftool 工具可以修改 EXIF 元数据,从而在某些地方造成反射:
$ exiftool -FIELD=XSS FILE
例子:
$ exiftool -Artist=’ “><img src=1 onerror=alert(document.domain)>’ brute.jpeg
如果 Web 应用允许上传 SVG(一种图像类型)扩展名,则以下内容可以用来触发 XSS:
<svg xmlns="http://www.w3.org/2000/svg" onload="alert(document.domain)"/>
一个 POC 可以在这里看到 brutelogic.com.br/poc.svg。
我们可以很容易的创建一张包含 javascript payload 的 GIF 图片,然后将这张图片当做源码加以引用。如果我们可以成功的注入相同的域名,如下所示,则这样可以有效的帮我们绕过 CSP(内容安全策略)防护(其不允许执行例如<script>alert(1)</script>
)
创建这样一张图片可以使用如下内容并将文件命名为 .gif 后缀:
GIF89a/*<svg/onload=alert(1)>*/=alert(document.domain)//;
GIF 文件标识 GIF89a 做为一个 javascript 的变量分配给 alert 函数。中间注释部分的 XSS 是为了以防图像被检索为 text/HTML MIME 类型时,通过请求文件来执行 payload。
我们通过下图可以发现,类 UNIX 命令的 PHP 函数 exif_imagetype() 和 getimagesize() 都会将这个文件识别为 GIF 文件。而一般的 Web 应用都是使用这些函数来验证图像类型的,所以这样一个文件是可以被上传的(但上传后可能会被杀毒软件查杀)。
更多可以用作 javascript 变量赋值的 ASCII 文件类型标识符,请参见这里。
更多关于文件上传 XSS 的详尽示例,包括绕过像 GD 库等过滤的例子,请参见这里。
*原文:brutelogic,FB小编xiaix编译,转自须注明来自FreeBuf黑客与极客(FreeBuf.COM)
11月 上海
CIS 2019首席信息安全官闭门高峰论坛11月
CIS 2019议题抢先看10月
公开课双十一活动9月 上海
CIS 2019官网上线,早鸟票同步开售
已有 15 条评论
你成功通过标题把我吸引进来
如何利用XSS实现文件上传? 应该是如何利用文件上传执行xss吧。。。
吗的浪费我流量,顶我上去送小编吃翔!
你成功通过标题把我吸引进来
应该把标题倒着过来念
转发微博
你感受一下,有没有xss
@ amaya 老司机带带我
楼上成功让我弹框
7楼已经破碎虚空而去了
第一种姿势,那个包含<> "的文件名是怎么命名的,windows和linux下对特殊符号命名不是都有限制吗?实在没查到,大神求带下
@ administrat0r 放进hexoedit里改试试
佩服 ,这招都能想到