利用Param Miner挖掘基于缓存中毒的XSS漏洞
2023-2-10 10:46:46 Author: 骨哥说事(查看原文) 阅读量:25 收藏


你肯定听说过缓存中毒(Cache Poisoning),这个漏洞存在的时间相当久远,本篇文章并不是要追溯缓存中毒的历史,而是通过案例对你有更多的启发。

Param Miner:

Param Miner是Burp Pro的一款扩展插件(虽然它也适用于Burp社区版,但会有很多限制),它除了测试隐藏参数之外,还能够测试缓存中毒,配合Burp Pro的Scanner来检测XSS,有时能获得一些意想不到的收获。

看到上图,有点小兴奋。经过确认排除误报后,Param Miner 发现了一个隐藏的Header参数,该参数在网站主页的正文中反映了它的值。

在最初的审查中,使用repeater反复进行验证是一个漫长的过程。在试图复制结果然后使用火狐浏览器打开时却无法复现,通过检查源代码,并未发现该参数的痕迹,因此也就无法触发xss,那么究竟是怎么回事呢?

Poc:

使用 curl 命令的 bash 脚本来尝试攻击:

Curl 配合 Grep 来检查响应:

curl https://website.com | grep “</script>testing”


事实证明,缓存被清除得相当快,但还是不够快!

让 Burp Intruder 持续运行,并且 curl 响应包含隐藏参数,但 Firefox 和 Chrome 会渲染没有隐藏参数的网站,在经历了无数次尝试和失败中,最终考虑换用 MS Edge 来打开了目标网站,最终 curl 的 bash 脚本如下👇

curl -H “User-Agent: tester” -H “hidden-header: </script><h2>TESTERING2333<img src=x onerror=alert(document.domain)>” https://website.com/

几次网页刷新后,弹窗终于出现:

希望本文可以启发你一些新想法,或是重燃某些旧想法,此外有一个重要提醒‼️:当Chrome和FireFox浏览器失败时,不如尝试一下 MS Edge,它可能正是你的‘救星’。

====正文结束====


文章来源: http://mp.weixin.qq.com/s?__biz=MjM5Mzc4MzUzMQ==&mid=2650256056&idx=1&sn=dcffe87855e7b6a8df1363a32c0c2c91&chksm=be92d93c89e5502a24235fb8223cfba86b22605f211b043bb002c6be2a608bee469dd60cf5a6#rd
如有侵权请联系:admin#unsafe.sh