反射型XSS的逆袭之路

0×00背景

这是一次结合各自技巧的渗透过程,由于原作者的截图不多,我们只是简单叙述一下思路~

目标是一家本地的游戏公司,起因是找到一个反射型xss,但是却被对方公司忽略,而作者身边的一个妹子也在这家公司工作,便起了搞定这家公司的决心。

以下正片

=====================================================

 

0×01信息收集

目标公司:XX网络科技有限公司(XX游戏)

URL:http://www.xxxxcom.com

http://www.xxxxcom.cn(公司另一域名)

http://www.xxxxcom.cn.com(公司另一域名)

通过浏览主站和查询whois信息,得知其公司工作邮箱,域名所有人信息,HR联系方式等

结合社工库查询,综合得到目标公司一高管信息

1

工作邮箱直接查询到了密码,但是输入后提示密码错误,看来修改过,但仔细一看,均为有规律的弱口令

三个数字重复或者是键盘向下的方式组合的口令,于是我果断的决定根据这个规律碰撞一下其他密码试试

经过碰撞,把得到的密码丢到burpsuite重复提交到目标公司网站的登陆界面(本来想登录邮箱的,无奈网易有防止重复提交的策略)

跑了好一阵子,未果,碰撞密码,暂时搁浅

后来想起,whois信息中,域名是xinnet的,于是开心的去查询新网的裤子,不过查询结果很失望,密码依旧不对

至此第一次试探搁浅

 

0×02对目标网站的测试

目标站点进行cms指纹识别后反应是良精南方的,但是看了看用的是.net的 架构,想到去年和小伙伴领1w的原因就是因为发现该站点的漏洞,于是乎又折头看了看,shell已删除,并且管理后台重做过,去年是用的 admin.xxxxcom.com做的后台,现在看了看已经重做,只能放弃,不过好在菜刀还有缓存,通过缓存浏览了web目录下的大概情况,有个 bbs,一个前台,一个主站,均为.net架构,论坛更是Discuz!NT 3.6.711 出名的难日,浏览缓存后发现某目录下存在一富文本编辑器,访问后结果依旧不尽人意

2

果断放弃之,然后看了看去年找到的一个主站sql注入

3

装了新的安全狗,无力去继续绕过waf,放弃=。=

唔,那怎么办呢,接下来就对目标站点进行了FUZZ扫描,哟~好吧,就只扫到我之前说的那个xss,还是反射型的,不过突然想到目标公司的人说不就是个跨站么,这句话让我又不开心了起来,哥今天就拿这个屌丝反射型跨站逆袭给你看!

 

0×03反射型xss的逆袭之路(伪水坑攻击)

因为装了安全狗,所以要稍微进行攻击代码构造绕过一下

该反射构造的代码如下:


4

通过img标签构造iMg大小写的方式绕过,用onerror属性加 载,

对eval操纵的内容进行16进制编码后测试通过

之后进行了第一次攻击尝试

找到客服反馈问题,我说你们游戏的注册页面有问题啊,没办法注册,注册的地址是不是这个啊(然后发了经过短域名处理的攻击url)

一般情况,客服都会来解决问题,但是该公司客服非常奇葩。。。说:哦,我也不知道啊,要不你下载个客户端去注册吧。

经过我机智的对话,仍然没有让其点击连接(给客服大爷您跪了)

第一次水坑攻击尝试失败。。暂时搁浅

91ri.org注:所谓“水坑攻击”,是指黑客通过分析被攻击者的网络活动规律,寻找被攻击者经常访问的网站的弱点,先攻下该网站并植入攻击代码,等待被攻击者来访时实施攻击。文中只是将xss发送到对方那边,等待对方点击,实际上是不能称为水坑攻击的,只能算钓鱼??

 

0×04第二次信息收集

首次尝试接连受挫,我过了几天在群里打屁,正好那个在这家公司上班的妹子也在,我就顺口问了问公司的情况

大概收集到信息为:

公司员工办公电脑均为win7,文字处理软件有office和wps但是默认使用的是office,公司并没有规定统一

不过好消息是office是默认的,以前看大牛们玩apt的时候都会很流弊的拿出office的漏洞通过邮件攻击搞定一切

做了个简易的接收端,探测公司那边的组件和杀毒软件

通过骗取点击后,接收端收到了session的信息,现在掌握的信息为:office版本为2007,浏览器为IE8,杀毒软件360,以及IP出口

 

0×05最后的冲锋,反射型xss终于逆袭

一切基本就绪,天随人愿的是我这里正好也有公网ip

但是有360略蛋疼,不过上次听maple说veil比较牛逼,我office用的payload自然是来自msf,那么就结合veil碰碰运气吧。。

找了个fake-email发伪造邮件

大概内容就是一篇求职的,附带了doc,doc里带了msf生成的

为了保险起见,除了附件有doc外,我还在邮件内容里加了经过短域名处理的xss攻击连接

邮件发过去了,一直开着msf等消息,不过貌似人家周日的时候不上班

吓的我一直开着电脑,第二天大概十点过,msf这边有动静了,好吧,可以返回Meterpreter会话了,总算是摸到了目标公司的设备(尽管只是一台个人电脑)

不过运气真不错,不知道是veil的原因免杀了360还是因为人品比较好当时对方360没有开,反正会话是反弹到了,快速的翻了翻对方的盘符,在文档里找到一份对应用户密码的记录,type了一下快速记录下来后把马删了撤退走人(91ri.org:把账号密码存在本机简直是硬伤啊)

好消息一个接着一个,之前在邮件内容中写入的短域名xss也被触发了,果断用其cookie登录,不过比较可惜,因为是反射型,对方后台找不到,只登录了前台

5

通过前台并没有进入后台的地方,但是论坛和前台互通,所以,嘿嘿~~是个超级版主

 

0×06尾声

之后的事情就不用说了,shell到手,对应用户密码也在个人电脑上扒拉到,呵呵~

6

最后我溜达了一圈,把shell删了,走人,只为证明反射型xss也是可以屌丝逆袭高富帅的!

写下这篇文章,默默抽根手边的花玉溪,深藏功与名

强调:自本文发出之前,目标服务器和对方电脑的木马均已删除,本人并未做任何破坏

91ri.org:你还在认为XSS只是个可补可不补的漏洞吗?本文很清晰的将一个反射型XSS逆袭成了一个攻入对方网站的杀手锏。什么?你说文章更多的是钓鱼而不是XSS的利用,所以XSS还是渣渣?好吧,那你来看看这个?《android实现远程定位追踪(UC+XSS)

[via@redrain]