freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

在hackerone挖反射xss,最重要的就是要会接化发 金币
2020-11-17 11:27:21

挖反射xss,最重要的就是要会接化发,不会接化发,你就不能说自己会挖反射xss。

接,就是要看html源码,从源码里面找出可能反射的参数,看看下面,var terms_style:

1605523245_5fb2572dabd4900402989.png!small

化,就是把它变成url的参数,terms_style, terms, style, term, 你能猜出来算我输。

没错, 是style~

请求包:

1605523675_5fb258dba4039e1725f59.png!small

返回包

1605523566_5fb2586ec8ceeec6e0d5c.png!small

看, 这就化出来了。

然后就是发,发就是把荷载发出去。

先轻轻地注入” 符号,很好啊,没转义,没过滤。

1605524017_5fb25a31b183835f06dc9.png!small

我反手就是松果弹抖闪电鞭。

一鞭,style=xxxxxx"-alert(1)-"

它挡住了,有waf。

1605524691_5fb25cd30296ad0f1fe4c.png!small

二鞭,style=xxxxxx"-confirm(1)-"

三鞭,style=xxxxxx"-prompt(1)-"

四鞭,style=xxxxxx"-write(1)-"

它又挡住了。它说这样不行。

我说我可以。这次我不用‘-’, 我用“;”,  这是发劲 。我不光用‘;’ 还用 a=1放在前面迷惑它。

它上当了啊。

我就5鞭。

style=xxxxxx";a=1;alert(1)//

5鞭我就过去了啊。

1605525013_5fb25e15bf46e920f9727.png!small

然后我就提交啊,这就250刀到手了啊“”

1605525527_5fb26017348c14fb5feee.png!small

然后换一个地方,挪一下窝啊,因为一个路径只接受一个xss,还是接化发。

1605527047_5fb2660708fc1aad8d988.png!small

接, liso_rtar;

化, liso, rtar;

1605527102_5fb2663e9cca541fd1f26.png!small

很好啊,两个参数都行, 像上面那样直接发出去就行。

liso=xxxxxx";a=1;alert(1)//

又是250刀。

对了, 这个厂商页面显示xxxx.com, 没有“*” 号,貌似只接受主站的漏洞,但是又没有明确表示子域名不行

所以呢, 我就试试子域名行不行,很快啊,随手又挖了一个子域名的。

1605527448_5fb26798d7ab26afd2c27.png!small

年轻人不讲武德啊,从它这句话意思我知道,它只是不收这个子域名,其他子域名还是收的。

很快啊,又是一个子域名的反射xss, 老外就是实在,子域名的xss又给了250刀。

然后我又回到主站,我要榨干主站所有的xss。

然后不停换地方,挪窝。

然后换一个路径啊,然后换一个路径啊,然后换一个路径啊,然后换一个路径啊,

然后换一个路径啊,然后换一个路径啊,然后换一个路径啊,然后换一个路径啊。

然后换一个路径啊,然后换一个路径啊,然后换一个路径啊……

看见一个路径, 感觉会多汁,还是接化发。

1605537441_5fb28ea1330e041ada675.png!small

1605537424_5fb28e9038c4362b4bd69.png!small

1605537519_5fb28eefc4d34990144dc.png!small

年轻人不讲武德, 一个页面那么多变量,是要累死我这个68岁的老头,瞄了几眼,rtar有点眼熟啊,记性不好的朋友呢, 可以翻一下前面几张图,我随手打出化劲, 把rtar化了出去。

1605537952_5fb290a09902401694948.png!small

哎, 它就反射了。

1605538041_5fb290f91db072e2e28e5.png!small

很好,一鞭, 两鞭, 三鞭。

很快啊, 荷载我就构造成功了。

rtar=%27};%0Aa=alert,b=document.domain,a(b);%0Avar%20a%20={//

1605541301_5fb29db570c7cf141e105.png!small

又是一个250 刀到手。

250 * 4= 1000 刀, 一共1000刀 xss, 挖了两个晚上的xss成果。还有脸滚键盘的时候, 看见了搜索文件那个地方。

有点奇怪,试一下一下,发现有dos ,只要输入字符串够长,就会有dos, 加上dos的250, 一共1250。

两个晚上的全部成果。

我测试的时候我还用了各种扫描器,直接丢路径, 这几个xss 都扫不出来,除非我把参数带上,不过要是真把参数带上了,我随便拿一个扫描器都能出结果。所以很多时候你扫描器没扫到xss,只是因为它没get到这个参数,有时候甚至路径都没get到。所以很多人看h1报告觉得xss很简单, 但死活挖不到, 就是因为不会接化发,漏洞本身是简单的, 难点在于找到那个可能存在漏洞的点。

本人是个垃圾, 文章写得比较水, 大佬路过请轻喷

奥利噶。

本文作者:, 转载请注明来自FreeBuf.COM

# xss # web安全 # XSS漏洞
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦
收入专辑