SN 储存XSS + csrf 打造全站千万级别蠕虫

SN 储存XSS + csrf 打造全站千万级别蠕虫
先看一下某活动吧,浏览量简直爆棚。 为了隐藏一部分信息,所以调用百度百科。跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 活动专题 从这里应该可以看到...
2017年06月17日 漏洞安全 暂无评论 喜欢 0 阅读 2,702 views 次 阅读全文

SN某分站绕WAF+变态过滤利用域终实现拿cookie

SN某分站绕WAF+变态过滤利用域终实现拿cookie
话说,某日发现SN某分站有一个参数可以随意输入,但是可能是因为代码的原因导致部分标点符号会改写代码。首先就是SN的网站有自带的WAF,这应该算是第一层WAF,是SN所有站点都有的WAF,这个上文已经将了绕过方法。咱们在绕过此WAF的前提下(本来绕WAF就限制了很多,绕WAF的情况下还需要被过滤一些参数。。。哎),才可以进行下一步。 首先是这样一个地址:http://xxxx.SN.com...
2017年06月15日 漏洞安全 暂无评论 喜欢 0 阅读 2,413 views 次 阅读全文

SN某接口CRLF注入艰难利用 – cookie复写可打全站XSS

SN某接口CRLF注入艰难利用 – cookie复写可打全站XSS
请注意,本文主要说明攻击思路。 CRLF注入这个漏洞我碰到的真是特别少,有印象的是总共碰到过两次,那两次还都无法实际利用,可能过滤了换行的参数吧。不过这次也算是巧合SN发现了几处CRLF注入,这里我挑选了一处比较有意思的来说说,如下图。   http://xxxx.SN.com/cxxxxxxxxs?sid=16xxxxxx8&tid=1612xxxxxxxxx0614&ap=NDQzxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx...
2017年06月06日 漏洞安全 暂无评论 喜欢 0 阅读 3,247 views 次 阅读全文

[通杀SN所有分站]的反射XSS – 金融、支付、保险、钱包等无一幸免

[通杀SN所有分站]的反射XSS – 金融、支付、保险、钱包等无一幸免
起因是这样的,前几天在SN网购物,然后无意发现一枚SN某分站绕WAF实现反射XSS,然后就顺手提交到他们的安全平台了。一个反射XSS么,我个人也没觉得这个能给很多分,或者有多大危害,结果他们确实也忽略了,不过忽略的理由奇葩到极限了。忽略理由请看上文的结尾部分。 然后就有了此文,一顿找反射XSS,因为不能开扫描器,结果找着找着,发现了一个通杀SN所有分站的一个反射XS...
2017年06月01日 漏洞安全 暂无评论 喜欢 1 阅读 2,758 views 次 阅读全文

绕SN WAF实现反射XSS 记载XSS平台code(一)

绕SN WAF实现反射XSS 记载XSS平台code(一)
某日在逛SN的线上商城,发现一个URL,然后就随手看了一下,如下图。 SN某分站 (点击看大图) 仔细看了一下,里面明显有两个参数有问题啊。 orderId  和 vendorCode  似乎提交什么值,他们俩就会在网页中显示什么值。那么是不是可以构造一个反射XSS的URL了?如下图: URL中含有JS代码报错(点击可看大图) 哎呦,居然出错了,估计应该内部有拦截吧,然后测试了一下img图片的标签...
2017年05月25日 漏洞安全 评论 1 条 喜欢 0 阅读 3,864 views 次 阅读全文

某互联网金融分站储存XSS

某互联网金融分站储存XSS
其实这个XSS非常简单,没什么技术含量,只不过属于另类‘储存XSS’吧。。(当然也可以伪造一个钓鱼页面。) 这个XSS呢严格的说是储存XSS,但是如果想利用它,似乎暂时我能想到的只是利用反射XSS的方法利用它。也就是说把这个链接发送给别人。具体为什么呢?   首先,某站有个上传点。如下图: 上传点 因为这个网页做了前端的JS上传判断,所以只能上传jpg等图片格式,那我们...
2017年04月24日 漏洞安全 评论 1 条 喜欢 0 阅读 3,711 views 次 阅读全文

一波三折之某站点反射XSS (绕WAF防御)

一波三折之某站点反射XSS (绕WAF防御)
【前言】其实就是废话,又到了一年一度的回家季,说真心的12306的验证码设计者真TM日过狗吧。让我找飞碟,除了科幻片我上TM哪见飞碟去我。算了,然后去别的网站买票吧。先看看这个网站的SEO信息。 百度权重:9         360权重:7        GooglePR:7 【正文】先随便搜索一下,搜一下去哈尔滨的票吧。然后随后闭合一下参数,如下图。 html闭合input参数 呃。。。这个水印好...
2016年12月28日 漏洞安全 评论 1 条 喜欢 4 阅读 4,040 views 次 阅读全文

某站系统越权(可取消他人订单)代码分析

某站系统越权(可取消他人订单)代码分析
具体某个程序我就不说了。但是这段代码看到后我发现不止是这段代码,底层也有问题。(其实这里面绕了一个弯路,我刚开始以为问题出在return,怎么想,都以为是绕过了return,但是无意中去测试拉粑粑,没带手机,,,然后突然就TM想明白了,跟if里面的return一点关系都没有,而是逻辑被绕过了。),下面是代码,先看看代码。 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 ...
2016年12月09日 漏洞安全 评论 2 条 喜欢 0 阅读 3,142 views 次 阅读全文

某BR9 PR7站点下订单至他人账户漏洞过程详解

某BR9 PR7站点下订单至他人账户漏洞过程详解
是这样,无意看到一个站点,具体什么站点这里不方便透露了,唯一可以说的是这个站挺大的。看下面SEO信息 站点seo信息 这个是chinaz的数据,下面说说这个站点存在的这个订单的漏洞吧。 具体是这样的,有一次我测试这个网站的订单,最后发现这个网站下订单的思路如下: 第一步:在页面下订单。(当前页面会自动判定你是否登陆,如果登陆,则用户信息处自动调用你的电话、姓名...
2016年12月06日 漏洞安全 评论 2 条 喜欢 0 阅读 3,288 views 次 阅读全文

一个伪装Discuz配置文件的php木马分析

一个伪装Discuz配置文件的php木马分析
问题出于土司论坛(地址):https://www.t00ls.net/thread-36298-1-1.html 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96...
2016年10月19日 漏洞安全 评论 2 条 喜欢 2 阅读 6,921 views 次 阅读全文