某不知名博客 某不知名博客
首页
  • 《vulcat文档》
  • Web安全

    • 《BurpSuite及官方实验室》
    • 《OSWE学习历程》
  • 云原生安全

    • 《Docker命令大全》
    • 《CKS考试学习指南》
    • 《旧-Kubernetes教程》
漏洞库
  • 《渗透工具大全》
  • 《云安全》
事件库
关于
  • 分类
  • 标签
  • 归档
GitHub (opens new window)

Carsaid

安全界的小学生
首页
  • 《vulcat文档》
  • Web安全

    • 《BurpSuite及官方实验室》
    • 《OSWE学习历程》
  • 云原生安全

    • 《Docker命令大全》
    • 《CKS考试学习指南》
    • 《旧-Kubernetes教程》
漏洞库
  • 《渗透工具大全》
  • 《云安全》
事件库
关于
  • 分类
  • 标签
  • 归档
GitHub (opens new window)
  • 前言

  • 服务器端主题(翻译)

  • 客户端主题(翻译)

  • 高级主题(翻译)

  • 扩展阅读(翻译)

  • 个人学习笔记

  • 实验室做题记录

    • 实验室做题记录
    • 服务器端

    • 客户端

      • 跨站脚本(XSS)

        • 学徒-反射型XSS-未编码的HTML上下文
        • 学徒-存储型XSS-未编码的HTML上下文
        • 学徒-DOM型XSS-document.write接收器-location.search源
        • 从业者-DOM型XSS-document.write接收器-location.search源-位于select元素内
        • 学徒-DOM型XSS-innerHTML接收器-location.search源
        • 学徒-DOM型XSS-jQuery锚点href属性接收器-location.search源
        • 学徒-DOM型XSS-jQuery选择接收器-hashchange事件
        • 从业者-DOM型XSS-AngularJS表达式-尖括号与双引号HTML编码
        • 从业者-反射型DOM XSS
        • 从业者-存储型DOM XSS
        • 从业者-XSS上下文-HTML标签之间-反射型XSS-大多数标签和属性被阻止
        • 从业者-XSS上下文-HTML标签之间-反射型XSS-除了自定义标签外的所有标签都被阻止
        • 专家-XSS上下文-HTML标签之间-反射型XSS-事件处理程序和href属性被阻止
        • 从业者-XSS上下文-HTML标签之间-反射型XSS-允许使用SVG标签
        • 学徒-XSS上下文-HTML属性中-反射型XSS-尖括号HTML编码
        • 从业者-XSS上下文-HTML属性中-存储型XSS-锚点href属性与双引号HTML编码
        • 从业者-XSS上下文-HTML属性中-反射型XSS-link规范标签
        • 从业者-XSS上下文-JavaScript字符串中-反射型XSS-单引号和反斜杠转义
        • 学徒-XSS上下文-JavaScript字符串中-反射型XSS-尖括号HTML编码
        • 从业者-XSS上下文-JavaScript字符串中-反射型XSS-尖括号双引号HTML编码和单引号转义
        • 专家-XSS上下文-JavaScript URL中-反射型XSS-某些字符被阻止
        • 从业者-XSS上下文-利用HTML编码-onclick属性中的存储型XSS-尖括号双引号HTML编码-以及单引号反斜杠转义
        • 从业者-XSS上下文-模板字面量-反射型XSS-尖括号单引号双引号反斜杠和反引号Unicode转义
        • 从业者-利用跨站脚本-窃取cookie
        • 从业者-利用跨站脚本-捕获密码
        • 从业者-利用跨站脚本-执行CSRF
        • 专家-内容安全策略-反射型XSS-非常严格的CSP保护-悬挂标记攻击
        • 专家-内容安全策略-反射型XSS-绕过CSP保护
        • 专家-客户端模板注入-反射型XSS-无字符串的AngularJS沙箱逃逸
        • 专家-客户端模板注入-反射型XSS-AngularJS沙箱逃逸与CSP的碰撞
          • 题目
          • 实操
      • 跨站请求伪造(CSRF)

      • 跨域资源共享(CORS)

      • 点击劫持

      • 基于DOM的漏洞

      • WebSockets

    • 高级主题

  • BurpSuite及官方实验室
  • 实验室做题记录
  • 客户端
  • 跨站脚本(XSS)
carsaid
2023-09-14
目录

专家-客户端模板注入-反射型XSS-AngularJS沙箱逃逸与CSP的碰撞

# 实验室:客户端模板注入-反射型XSS-AngularJS沙箱逃逸与CSP的碰撞

# 题目

此实验室使用了 CSP (opens new window) 和 AngularJS (opens new window)。

若要解决实验室问题,请执行跨站脚本攻击,绕过 CSP 并逃离 AngularJS 沙箱,然后向document.cookie发出alert调用。

实验室-专家

客户端模板注入-反射型XSS-AngularJS沙箱逃逸中的CSP >>

- name: 实验室-专家
  desc: 客户端模板注入-反射型XSS-AngularJS沙箱逃逸中的CSP >>
  avatar: https://fastly.statically.io/gh/clincat/blog-imgs@main/vuepress/static/imgs/docs/burpsuite-learn/public/lab-logo.png
  link: https://portswigger.net/web-security/cross-site-scripting/contexts/client-side-template-injection/lab-angular-sandbox-escape-and-csp
  bgColor: '#001350'
  textColor: '#d112fe'
1
2
3
4
5
6

# 实操

点击 “ACCESS THE LAB” 进入实验室。

Not Found Image

一个搜索功能。

Not Found Image

在search参数中注入 AngularJS 表达式,成功被解析。

Not Found Image

注入经典载荷,尝试调用 alert 函数。

{{$on.constructor('alert(1)')()}}
1

被 CSP 阻止。

Not Found Image

在XSS备忘单 (opens new window)中,有专门用于绕过 CSP 的 AngularJS 攻击载荷。

一共有 5 个载荷,一个个试过去就行了。

Not Found Image

注入第一个载荷,错误信息 “搜索长度限 80 个字符”。

Not Found Image

5 个载荷中有 2 个载荷的字符长度小于 80,范围更小了。

Not Found Image

注入长度为 66 个字符的载荷,标签被正常解析,但是 JavaScript 代码没有被自动执行。

<input id=x ng-focus=$event.composedPath()|orderBy:'(z=alert)(1)'>
1
Not Found Image

该载荷需要 鼠标点击 之后才能触发(需要用户交互),不符合题目要求。

Not Found Image

现在有两个办法:

一是添加autofocus属性,看看能不能自动触发 JavaScript。经过测试,效果不是很好。

(要和onfocus事件搭配才能发挥作用)

<input autofocus id=x ng-focus=$event.composedPath()|orderBy:'(z=alert)(1)'>
1

二是在 URL 后添加锚点#x,刚好能够定位到带有id=x属性的input标签。经过测试,效果中等,不好也不差。

<input id=x ng-focus=$event.composedPath()|orderBy:'(z=alert)(1)'>#x
1

进入漏洞利用服务器,将 Body 修改为以下代码,将受害者重定向至带有 XSS 的页面:

(iframe标签被阻止,所以改用meta标签,你也可以使用更为简单的window.location)

<meta http-equiv="refresh" content="0; url=https://0afa0026046d045580801c6900e000c0.web-security-academy.net/?search=%3Cinput%20id=x%20ng-focus=$event.composedPath()|orderBy:%27(z=alert)(document.cookie)%27%3E#x">
1

保存之后,先自己访问一遍漏洞利用 URL,确认是否能够正确跳转,并调用 alert 函数。

确认完毕之后,将其发送给受害者。

Not Found Image

发送之后,实验室提示我们完成了实验。

Not Found Image

实验完成。

Not Found Image

值得注意的是,在 FireFox 浏览器中,从当前 URL 访问另一个带有锚点的 URL 时,并不会马上触发锚点。

以下是一个动图(第一次访问锚点#x,锚点未被触发,JavaScript 也未被执行,需要二次访问才能触发锚点):

Not Found Image

但在 Chrome 浏览器中,当你访问一个带有锚点的 URL 时,锚点将被立即触发:

Not Found Image
编辑 (opens new window)
专家-客户端模板注入-反射型XSS-无字符串的AngularJS沙箱逃逸
学徒-没有防御措施的CSRF漏洞

← 专家-客户端模板注入-反射型XSS-无字符串的AngularJS沙箱逃逸 学徒-没有防御措施的CSRF漏洞→

最近更新
01
API测试笔记
04-30
02
msfvenom
03-29
03
Metasploit
03-29
更多文章>
Theme by Vdoing | Copyright © 2023-2024 Carsaid | MIT License
  • 跟随系统
  • 浅色模式
  • 深色模式
  • 阅读模式