用户
搜索
  • TA的每日心情
    难过
    2020-8-26 18:47
  • 签到天数: 3 天

    连续签到: 1 天

    [LV.2]偶尔看看

    i春秋-脚本小子

    Rank: 2

    3

    主题

    15

    帖子

    159

    魔法币
    收听
    1
    粉丝
    0
    注册时间
    2018-4-17
    发表于 2020-8-25 09:39:03 33811
    本帖最后由 小黄蜂 于 2020-8-25 09:42 编辑

    前言

    本片文章是关于Facebook镜像网站的一个反射型xss漏洞。我将详细阐述发现该漏洞页面的过程。

    原文地址

    正文

    首先收集thefacebook.com的子域名,因为之前看到过很多文章都是在子域名中发现的漏洞,所以老衲也想试试。

    从收集子域名开始。我基本上使用FindomainSubfinderAssetfinder等工具来查找目标的子域名。收集子域名后,我还使用了另一个名为httprobe的工具。(这个工具是用来测试收集的子域列表并探测工作的http或https服务器的(译者注))

    子域名枚举完成之后。我习惯对httprobe收集的所有域名执行目录爆破(使用的工具是ffuf),然后遍历它们,看看是否能扫到什么有用的东西,命令为:

    python3 dir.py httprobe.txt

    当我查看https://mirror-ext.glbx.thefacebook.com 的结果时,发现:

    1.png

    2.png

    只有一个目录/help,去看看那是啥:http://mirror-ext.glbx.thefacebook.com/help/

    这是一个常规的帮助页面,里面是一个“如需帮助请联系张三”的电子邮件地址(见下图),乍一看并不太吸引人,但查看页面源代码之后,才发现一些有趣的地方。

    3.png

    看第二行,我尝试访问该页面http://mirror-ext.glbx.thefacebook.com/.layout/mirror.php,结果只是一个空白页面,so sad.

    4.png

    这次,页面源代码中也没有任何内容可供我进一步研究,所以,我决定在/.layout目录下找到更多php页面,那就继续扫。

    5.png

    这些是我使用不同的字典找到的页面关键字。它们都与之前的mirror.php空白页一样,除了header.php

    6.png

    http://mirror-ext.glbx.thefacebook.com/.layout/header.php

    查看页面源代码后,我发现页面已反映在锚标记href值内,很容易受到xss攻击,所以我开始对其进行测试。

    7.png

    在网址末尾添加“ > <之类的字符后再访问,结果显示找不到页面。

    8.png

    我不想轻易放弃,因为我在那儿嗅到了浓浓的xss气息。我开始对参数进行暴力破解,但依旧无果。

    添加斜杠后,另一个目录名没有像上次一样提示not found error。我尝试此操作是因为我过去读过@brutelogic的博客在PHP源代码中寻找XSS之爆破XSS

    9.png
    http://mirror-ext.glbx.thefacebook.com/.layout/header.php/shirley

    10.png

    再次尝试使用“ > <,我发现它们正在被url编码了。

    11.png

    后来才意识到,href的值是在一个单引号内。因此,这次尝试使用单引号。

    12.png

    当我看到输入的内容已在href=/javascript:alert()中得到反映时,我首先尝试了此操作,但并没有用,因为输入内容前有一个斜杠。我开始在Google上查找一种在单个锚标记中包含两个href的方法,最终找到了这个:https://stackoverflow.com/questions/13965753/how-can-i-open-multiple-links-using-a-single-anchor-tag

    根据解决方案,最终的payload为:

    13.png
    14.png

    可爱的小框框成功弹出。

    根据之前扫描的结果,还有其他的Facebook镜像域名,是否也可以在其中发现相同的xss呢?结果是:

    15.png
    mirror.facebook.net

    还有一个存在此XSS漏洞的子域名是http://mirror.t.tfbnw.net/,但忘记截图了。。。

    故事到此结束。

    关于修复,单引号(')转换为即可。

    16.png

    我为此获得了500美元的赏金。

    17.png

    本帖被以下淘专辑推荐:

    翻译的还挺通顺的,原文地址很隐秘
    使用道具 举报 回复
    xuwanyibb 发表于 2020-8-25 15:04
    翻译的还挺通顺的,原文地址很隐秘

    哈哈哈那我下次放得明显一点
    使用道具 举报 回复
    讲解很详细
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册