用户
搜索
  • TA的每日心情
    慵懒
    2021-3-1 14:28
  • 签到天数: 1 天

    连续签到: 1 天

    [LV.1]初来乍到

    i春秋-见习白帽

    人族第一大成

    Rank: 3Rank: 3

    7

    主题

    33

    帖子

    329

    魔法币
    收听
    1
    粉丝
    6
    注册时间
    2018-7-5

    i春秋认证美女勋章

    发表于 2021-8-25 02:51:02 221606
    大家好,我是Yaoヽ药药
    本人qq1024006555

    许久没更新文章了,本次给大家带来一篇如何使用xss代码全自动反弹


    emlog6.0为例子,安装好后先登录到后台

    图片1.png

    之前就尝试过这套cms了,在后台添加友联处存在xss
    “><script>alert(‘yaoyao’)</script>
    图片2.png
    图片3.png

    图片4.png

    虽然有Referer 但是这里添加友联的接口还是存在csrfReferer是摆设
    图片5.png

    这里先搞一个压缩包,里面放一个test.php的小马文件

    众所周知 emlog在后台可以通过上传插件进行getshell
    图片6.png
    这里我们尝试一下通过编写xss代码去发起此请求

    大概思路流程
    图片7.png

    这里抓一下上床的包 分析一下.... 不对是上传的包
    图片8.png
    可以看到在上传包中有一个token参数

    这里如果要发去该请求就要获取到这个参数

    当前token参数在cookie中,cookie参数名为
    EM_TOKENCOOKIE_699d3f15f1f51fe77c19a4e7c9723b7b

    猜测后面的699d3f15f1f51fe77c19a4e7c9723b7b是一段随机数
    图片9.png

    现在开始编写获取该值的js代码
    图片10.png

    好了,开始写发起上传插件请求的代码
    图片11.png
    这里利用burp suite抓住上传的请求包,然后生成js代码 然后在魔改一下
    基本上就ok

    简单测试一下,很ok 上传成功了
    图片12.png

    现在上传的代码编写好了后,开始走上面画的思路了

    CSRF -XSS -》文件上传

    开始编写poc,先把刚刚写的代码放在根目录,大家如果想实战的话 可以自己搞一个外部js链接 一样的
    图片13.png

    然后是csrf的代码,这里同样是利用burp suite生成一下poc,然后再自己改一下
    js去点击,ok
    图片14.png

    再利用iframe去加载csrf的页面,这样就不那么容易被发现了
    图片15.png

    现在只需要刷新一下此页面 便会获得一个getshell,嘿嘿 但是还不够
    图片16.png
    图片17.png

    我感觉还不够,单单只是个getshell 感觉还是缺点什么

    要不 咱们试试反弹shellcs????
    利用xss反弹shell ~~~~~

    这里直接在poc.js最后面 也就是发起上传插件结束后,再发起一个get请求到我们的小马
    让他运行我们指定的exe,这里通过小马去下载cs生成的exe的过程就不演示
    图片18.png

    图片19.png
    最后效果截图


    好了 批话不多说  看效果!!!!
    111 00_00_00-00_00_30.gif




    远处传来诱人的芬芳,原来是表姐的幽香。
    发表于 2021-8-25 02:52:15
    如需获取poc,请关注微信公众号《大镰刀》 回复“XSS反弹shell” 即可获得完整poc
    远处传来诱人的芬芳,原来是表姐的幽香。
    使用道具 举报 回复
    只有特定框架才可以通过xss来getshell吧。
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册