通過觀察請求包,我們可以看出bi參數被url編碼了,因此存在xss的地方很有可能是bi參數。首先我們對bi參數的值進行url解碼,看看被編碼的內容具體是什麼。
解碼後發現依然是被編碼的,因此需要再次進行url解碼。
經過2次URL解碼後,終於看到被編碼的內容了。100000000000206"onmouseover=Md3r(9289)"
將post數據包放到burp中執行,然後再搜索關鍵字“Md3r”,可以發現我們的poc被插入到了一個input中,但input的type="hidden"。
為了驗證該xss漏洞確實能被利用,我們需要手動修改掃描器的poc,讓訪問頁面的時候能彈出個框來。但是由於type="hidden",onmouseover等各種常用事件都沒法利用了。
利用搜索引擎找了半天,也沒發現有非常適用的方法。於是想到能否先閉合這個input標籤,再新開一個img標籤?
首先我們分析現有的input標籤,黃底部分是我們可以控制的內容。
我們先添加一個"/>將input閉合,再接上一個img標籤,並順便對接上後面的" />,修改後如下:
為了驗證這個寫法是否正確,我們在本地新建一個htm頁面,把這段代碼放裡面試試看。
OK,成功彈出。
接下來,我們要做的是把"/>
經過大量的嘗試後,我們使用burp中的Decoder模塊完成該工作。
將編碼後的內容作為bi參數的值進行提交
%25%32%32%25%32%66%25%33%65%25%33%63%25%36%39%25%36%64%25%36%37%25%32%30%25%37%33%25%37%32%25%36%33%25%33%64%25%37%38%25%32%30%25%36%66%25%36%65%25%36%35%25%37%32%25%37%32%25%36%66%25%37%32%25%33%64%25%32%32%25%36%31%25%36%63%25%36%35%25%37%32%25%37%34%25%32%38%25%33%31%25%32%39
我們可以看到img標籤被成功插入到了返回的html中。
而瀏覽器中也彈框成功。本次在type="hidden"為的input中利用二次URL編碼進行xss的測試圓滿完成。
各位大表哥大表姐有其他好的姿勢或思路也歡迎留言分享啊~~
閱讀更多 軒轅攻防實驗室 的文章
