首页 > 其他分享 >bugbountyhunter scope BARKER:第十滴血 存储型 Storage Cross-Site Scripting XSS 添加狗处SVG文件上传 报告

bugbountyhunter scope BARKER:第十滴血 存储型 Storage Cross-Site Scripting XSS 添加狗处SVG文件上传 报告

时间:2024-08-11 19:58:10浏览次数:14  
标签:XSS bugbountyhunter 狗处 SVG image upload https com png

登录后点击Member Dogs,Add your dog
image

头像处可以上传SVG图片
image

检查 xss payload:https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/XSS Injection#xss-in-files
image

使用SVG进行图片上传,发现SVG文件上传成功并返回图片地址
image

poc:https://cfceb12f2bfd-sec875.a.barker-social.com/storage/7A2NkSR5UpCMmCXaHe4FPeHHbxd3TwDmYeiTYEBo.svg
image

英哥历史报告

l have discovered a Storage XSS vulnerability affecting the endpoint 'https://cfceb12f2bfd-sec875.a.barker-social.com/dog/upload-image' in the parameter 'post_image'. The payloed requires no filter bypass and is a simple, ' <?xml version="1.0" standalone="no"?>
<!DOCTYPE svg PUBLIC "-//W3C//DTD SVG 1.1//EN" "http://www.w3.org/Graphics/SVG/1.1/DTD/svg11.dtd">

<svg version="1.1" baseProfile="full" xmlns="http://www.w3.org/2000/svg">
  <polygon id="triangle" points="0,0 0,50 50,0" fill="#009900" stroke="#004400"/>
  <script type="text/javascript">
    alert(document.domain);
  </script>
</svg> '

You can see a working proof of concept here:

https://cfceb12f2bfd-sec875.a.barker-social.com/storage/7A2NkSR5UpCMmCXaHe4FPeHHbxd3TwDmYeiTYEBo.svg

![image](https://res.cloudinary.com/bugbountynotes/image/upload/v1723376258/iaqbd7gcba38dgnnfgzw.png)

To reproduce:

1.After logging in, click Member Dogs, Add your dog

![image](https://res.cloudinary.com/bugbountynotes/image/upload/v1723376323/jxpwpuscuxuhxrkntnpg.png)

2.Can upload SVG images

![image](https://res.cloudinary.com/bugbountynotes/image/upload/v1723376408/sl5dagsvkydlf1ykev2r.png)

Check xss payload: https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/XSS Injection#xss-in-files

![image](https://res.cloudinary.com/bugbountynotes/image/upload/v1723372847/k3mrn3luzxujrj1xfo9f.png)

3.Use SVG to upload pictures. It is found that the SVG file is uploaded successfully and the picture address is returned.

![image](https://res.cloudinary.com/bugbountynotes/image/upload/v1723376480/knua9c1q2sbai1rwjrvx.png)

4.You will observe xss executes

https://cfceb12f2bfd-sec875.a.barker-social.com/storage/7A2NkSR5UpCMmCXaHe4FPeHHbxd3TwDmYeiTYEBo.svg

![image](https://res.cloudinary.com/bugbountynotes/image/upload/v1723376258/iaqbd7gcba38dgnnfgzw.png)

Payload used: 

<?xml version="1.0" standalone="no"?>
<!DOCTYPE svg PUBLIC "-//W3C//DTD SVG 1.1//EN" "http://www.w3.org/Graphics/SVG/1.1/DTD/svg11.dtd">

<svg version="1.1" baseProfile="full" xmlns="http://www.w3.org/2000/svg">
  <polygon id="triangle" points="0,0 0,50 50,0" fill="#009900" stroke="#004400"/>
  <script type="text/javascript">
    alert(document.domain);
  </script>
</svg>

Vulnerable parameter: image
Endpoint/URL: https://cfceb12f2bfd-sec875.a.barker-social.com/dog/upload-image

lmpact:
As the sessin cookies are not protected by HTTPOnly. we can obtain these and achieve account takeover. As well as this,the CSRF token is stored the DOM which enables us to easily perform actions on behalf of the user.

标签:XSS,bugbountyhunter,狗处,SVG,image,upload,https,com,png
From: https://www.cnblogs.com/sec875/p/18353797

相关文章

  • bugbountyhunter scope BARKER:第九滴血 存储型 Storage Cross-Site Scripting XSS SVG
    登录后来到Myprofile页面,页面里存在一个EditProfile头像处可以上传SVG图片检查xsspayload:https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/XSSInjection#xss-in-files使用SVG进行图片上传,发现SVG文件上传成功并返回图片地址poc:https://cfceb12f2......
  • bugbountyhunter scope BARKER:第八滴血 存储型 Storage Cross-Site Scripting XSS SVG
    登录后来到home页面,留言中存在一个Attachimage检查xsspayload:https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/XSSInjection#xss-in-files使用SVG进行图片上传,发现SVG文件上传成功并返回图片地址poc:https://cfceb12f2bfd-sec875.a.barker-social.com......
  • bugbountyhunter scope BARKER:第7滴血 存储型 XSS 编码测试和多处引用 报告
    注册后,来到UIDisplayName处直接点击更新之后,发现反射值的存在尝试一些编码,发现没有任何转换。编码测试更简单,语义一把梭:比如各种华丽花哨的编码到落地并没有被还原成<>'"等语义,此处没有漏洞https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/XSSInjectio......
  • XSS 专项
    访问web应用,首页HTML发现新端点如下:使用《赏猎技战法》https://www.cnblogs.com/sec875/p/18335838中的测试XSS流程,使用一个良性payload试试水:<h1>666同时思考此处的功能点:https://cfceb12f2bfd-sec875.a.barker-social.com/post/1post作为输入时和1作为输入时,它们是否......
  • Pikachu靶场练习记录--2--Cross-Site Scripting(xss)
        1.简述        XSS攻击,即跨站脚本攻击,是一种网络安全威胁。为了避免与层叠样式表(CascadingStyleSheets,CSS)的缩写混淆,因此将跨站脚本攻击缩写为XSS。此类攻击通过在Web页面中插入恶意的脚本代码,用户在访问该页面时,这些嵌入的脚本代码会被执行,从而对用户......
  • xss.haozi靶场详解
    0x00直接输入即可<script>alert(1)</script>0x01正常输入发现被下面注释了只需要加个闭合即可</textarea><script>alert(1)</script>0x02这关就是闭合问题"><script>alert(1)</script>0x03正常输入发现()被过滤了将括号改为反引号即可<script>alert`1`&l......
  • 09.XSS跨站脚本攻击(超详细!!!)
    1、什么是XSSXSS(跨站脚本攻击):攻击者利用这个漏洞将恶意脚本注入到网页中,当其它用户浏览这些页面时,恶意脚本会在用户的浏览器中执行。XSS攻击允许攻击者在用户的浏览器上执行脚本,从而可能获取用户的敏感信息(如cookies)、篡改网页内容、重定向用户至恶意站点,甚至进行钓鱼攻击......
  • Tiny XSS Payloads 微型XSS代码
    项目地址GitHub:https://github.com/terjanq/Tiny-XSS-Payloads网站地址https://tinyxss.terjanq.me截图 payload列表当前有效载荷<!--如果你控制URL--><svg/onload=eval(`'`+URL)><!--仅在反射型跨站脚本攻击(ReflectedXSS)场景下有效--><svg/onload=eval(name)......
  • 安全测试--常见漏洞--XSS
    漏洞简介Cross-SiteScripting(为了与CSS区别,安全领域叫做XSS)攻击是注入的一种,主要是将恶意脚本注入到可信站点的HTML页面等网页文件中,当攻击者将带有恶意脚本的网页链接发送给用户,用户打开链接,浏览器会认为恶意脚本来自可信站点而执行举个例子 @app.route("/")defindex():......
  • 五分钟带你了解XSS攻击!
    XSS(跨站脚本攻击)什么是XSS?一、定义和概述跨站脚本攻击(XSS)是一种安全漏洞,它允许攻击者将恶意客户端代码注入网站。此代码由用户执行,让攻击者绕过访问控制并冒充用户。如果Web应用程序没有采用足够的验证或编码,则这些攻击会成功。用户的浏览器无法检测到恶意脚本是不可信......

赞助商

阅读排行

网站主页关于我们联系我们网站地图

本网站内容转载自其他媒体,侵权联系[admin##ips99.com]。

Copyright © 2020-2023 IPS99 版权所有 IPS99