WEB安全

self-xss实战 - 企鹅案例

字号+ 作者:sqler 来源:转载 2016-11-28 14:32 我要评论( )

0x01 前言 这不属于连载!早上在CTF群跟一小伙子吵起来了,原因是问我XSS的问题,我虽然回答了,虽然我语气欠佳,但是我不想道歉(就是这么傲娇)。午睡到一半起来......

0x01 前言    这不属于连载!早上在CTF群跟一小伙子吵起来了,原因是问我XSS的问题,我虽然回答了,虽然我语气欠佳,但是我不想道歉(就是这么傲娇)。午睡到一半起来,想了一下还是发一篇XSS的文章,这里拿一个腾讯的案例来测试。TSRC的人不要打我。

0x02 正文
    这里我们测试的站点是游戏人生。
1
igame.xx.com

这个域名
首先,我们看一下
1
http://igame.xx.com/home/information.php

看一下前台页面源码

我一开始想的是这个点,这里虽然调用了我们某Q网名,我们的某Q网名后面被加上一串字母,但是这不是重点
可以看到,我们的网名是被包含在一对<script>标签里面,如下
1
2
3
4
<script>
        Igame.igameaccount = "ciweiggrxs2a9np";
        Igame.igamenick = "刺猬ggrxs2a9np";
</script>

那么我们是不是可以构造自己的网名?
此时,我将我的网名构造成

1
"; alert(1);

但是在这边调用的时候被过滤了,此时这个点放弃。
我们接着往下看。

可以看到,这下面又有一个点调用了我们的某Q昵称,我想,这是不是能做点什么呢?
我们在看看对应的页面是什么样子的

可以看到,这里直接在value里包含了我们的昵称,此时,我在游戏人生昵称处输入构造
[AppleScript] 纯文本查看 复制代码
?
1
" onclick=alert(1) src="

这时,发现突然提交不了了,抓包一下看返回包,直接说不允许访问。
我们这时候能判断,后台对敏感字符做了过滤
那么,我发现,当不输入东西的话,他会默认调用你的某Q昵称(见上图)
那么我们是不是可以在某Q上构造自己的昵称为

1
" onclick=alert(1) src="

改好了以后,我们登录游戏人生

可以看到,我们填写昵称处是不是空了啊?
我们看看前台源码

此时,我们成功添加进去了

当我们点击这个input标签的时候,触发了onclick事件,成功弹窗

0x03 XSS步骤小结
1.关注页面输出。
2.关注页面输入,并且,哪些输出是我们可控的。
3.细心,多尝试。

0x04 声明
    本XSS为self-xss,提交某SRC被拒,所以拿来当案例讲(跟早上CTF群里的那个案例类似。所以这边稍微讲一下。

本文来自: 蜗蜗侠's Blog-关注网络安全 http://blog.icxun.cn/Web/362.html

1.本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3.作者投稿可能会经我们编辑修改或补充。

相关文章
网友点评
暂时未开启评论功能~