用户
搜索
  • TA的每日心情
    擦汗
    2018-4-12 11:08
  • 签到天数: 80 天

    连续签到: 1 天

    [LV.6]常住居民II

    版主

    Rank: 7Rank: 7Rank: 7

    37

    主题

    239

    帖子

    605

    魔法币
    收听
    0
    粉丝
    6
    注册时间
    2017-5-9

    限定版春秋段子手i春秋签约作者

    发表于 2018-7-26 15:28:18 2910655
    本帖最后由 rosectow 于 2018-7-27 13:52 编辑


    作者:鱼少(winway)   chamd5安全团队 i春秋核心白帽

    前言:完整文章在小秘圈,因为前面部分漏洞影响到了大量厂商所以请各位已在圈内的朋友勿泄漏

    在设想着绕过来继续刷洞,手工测试了一下发现了许多字符是不行的但是发现了“%”能够搭配跳转到其他url,前提必须将meituan,com的自身域名存在于参数回调之中

    WechatIMG6.jpeg

    但是百分号跳转之后变成了这样的一个子域名,但是这样的子域名无法做一个二次跳转

    WechatIMG7.jpeg

    进行了字符集的fuzz测试发现了大多数可以302但是其实作用不大

    WechatIMG8.jpeg

    发现了其中有一个字符在burp中显示回调是“-”这样的一个字符但是实际上我是用“~”这样的一个字符可以利用来二次跳转,第一它能够跳转到京东一个错误的页面,世纪上京东对这里做了处理,这样就能够二次跳转来进行url跳转攻击

    [AppleScript] 纯文本查看 复制代码
    payload:
    [url]https://xxx.cn/home/nxLogout?redirect_url=http://meituan.com~[/url][url]www.jd.com[/url]]https://xxx.cn/home/nxLogout?redirect_url=http://meituan.com~[url]www.jd.com[/url]
    WechatIMG9.jpeg

    这部分已经知道其实已经能够跳转但是条件是必须做一个二次跳转,所以危害一样都是直接跳转,这样达成了一个跳转目的,再一次设想到了一个某度的业务,接下来在进入最后一个环节

    第二部分“扩展到其他的业务上的攻击(劫持登陆凭证)”

    设想到了之前一个搞不定的业务,第六感告诉我这个urlfuzzpayload可以用于这个业务上面的攻击,

    WechatIMG10.jpeg

    这样一个js格式的登陆信息,返回包中返回了我的登陆信息,最重要的是这串token,但是发现了这个位置有防护无法得到这个token,但是按照前面的思路,参数拼接,模糊测试,发现了其中其实可以绕过就在上面分享到的姿势当中,删除了其中的部分参数,在对一些不可缺少对参数进行fuuz拼接,此时得到了一条链接

    WechatIMG11.jpeg

    这个样子的链接,那么其中它被定向到一个302的地址,其次漏洞链接被跳转到错误地址上面去了,但是callback的回调中只对这个参数302定向说明了这个参数可能存在一些问题。

    在换刚刚用到的方法,pa%rent.test参数中添加多了一个百分号,因为刚刚用到到思路中参数是可以添加百分号来进行绕过的那么这时候也有了返回信息

    WechatIMG12.jpeg

    构造poc

    WechatIMG13.jpeg

    访问poc

    WechatIMG14.jpeg


    得到了一个用户token,形成三处组合思路最后一个(用户登陆凭证劫持)

    最后喜欢研究web安全的可以加入小秘圈

    WechatIMG120.jpeg

    发表于 2018-7-26 17:27:06
    icqae3a138e 发表于 2018-7-26 17:26
    我是路人 新来的==  刚才看了 然后有点事还没来得及评论

    我靠 那我收你做徒弟
    使用道具 举报 回复

    我是路人 新来的==  刚才看了 然后有点事还没来得及评论
    使用道具 举报 回复
    版主,我有点看不懂,获取token那里,你是对callback本身fuzz,还是对callback的值,对parent.test进行fuzz?
    使用道具 举报 回复
    发表于 2018-7-26 18:55:54
    黄瓜批发商 发表于 2018-7-26 18:01
    我也要 版主请收下我膝盖

    请加入文章底部 小秘圈
    使用道具 举报 回复
    rosectow 发表于 2018-7-26 17:27
    我靠 那我收你做徒弟

    我也要 版主请收下我膝盖
    使用道具 举报 回复
    发表于 2018-7-27 14:25:35
    Smeet 发表于 2018-7-27 14:10
    怎么把token带到自己的网站?

    完整文章在小秘圈
    使用道具 举报 回复
    发表于 2018-7-27 14:25:32
    DDM668 发表于 2018-7-27 13:56
    看懂一半,谢谢楼主分享。

    完整文章在小秘圈
    使用道具 举报 回复
    发表于 2018-7-27 13:49:57

    完整文章在小秘圈
    使用道具 举报 回复
    发表于 2018-7-26 16:25:11
    我擦这么完美没人看吗
    使用道具 举报 回复
    阅~阿嚏
    使用道具 举报 回复
    我来看!!!!
    使用道具 举报 回复
    发表于 2018-7-26 17:21:18

    你是谁
    使用道具 举报 回复
    发表于 2018-7-26 17:32:32
    rosectow 发表于 2018-7-26 17:27
    我靠 那我收你做徒弟

    师傅好 哈哈哈
    使用道具 举报 回复
    发表于 2018-7-26 21:12:03
    没看懂  尴尬
    使用道具 举报 回复
    发表于 2018-7-26 21:13:06

    使用道具 举报 回复
    发表于 2018-7-26 21:13:16

    乱写的
    使用道具 举报 回复
    发表于 2018-7-26 22:27:44
    很好,字典有吗
    使用道具 举报 回复
    发表于 2018-7-27 07:31:33
    鱼少开小密圈了 666   
    使用道具 举报 回复
    12下一页
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册