读取型csrf-需要交互的内容劫持 作者未知

1、读取型CSRF-需要交互的内容劫持 作者：未知 原文链接：/thread-36314-1-1.html 收集整理：/test/index.php本文由 干货1 2每日精选文章版块列表热门话题/问答推荐文章专辑广播大厅i春秋学院快捷导航用户版块列表 （现金奖励）投稿请加QQ780876774白帽子技术/思路 查看内容思路/技术 读取型CSRF-需要交互的内容劫持 Vulkey_Chen i春秋-核心白帽 知识面，决定看到的攻击面发表于 2018-3-22 17:57:52125609前言最近在挖洞，实践出真知这句话

2、说的很对，在实际挖掘过程中我会思考很多东西，跟朋友一起准备做一份手册，忽然的想到了一些漏洞的定义和规范。 在大多数的人眼里CSRF可能仅仅是写入型的比如：修改个人资料、授权登陆等等功能场景的CSRF问题，同时对CSRF这 类问题进行了等级划分，就像如上两个例子，可以划分为中危和高危。也许是因为交互式的漏洞并没有SQLi这种直 接能利用的漏洞高，所以一些厂商对CSRF也并不重视。 步入正题，什么是读取型CSRF，这里我对如下的漏洞归纳进了读取型CSRF，因为这些漏洞的利用手法都跟CSRF是一样的： JSONP 劫 持 Flash跨域劫持CORS跨域资源读取.等等，当然还有Silverlight跨

3、域这些了，不过这里只列举常见的三种来讲解。 读取型CSRF接下以如上所说的三个漏洞案例来一个个分析。 JSONP劫持发帖 请输入搜索内容帖子搜索 漏洞案例这里来看一条请求： 这条请求返回的结果中有手机号（这里我测试的账号没绑定手机），如果我们想要以CSRF交互式攻击的方式获取这个手 机号该怎么办？ 来看看这条请求有callback，而返回结果是不是类似Javascript中的函数？ Javascript原函数定义如下： function funName()这里是缺少了函数定义的关键词function和花括号的函数主体部分，只有函数名和函数传参，聪明人已经想到了，这不 就相当于是自定义函数被引用

4、了么，而中间那段传参就相当于是一个数组，所以我们可以先用JS自定义好这个函数，然 后再引用这个请求，自然就可以获取到数据了。 这时候我们可以来构建一下PoC： 使用正常的账号(绑定过手机号)来测试下： 3function jsonp2(data)alert(JSON.stringify(data); 案例总结其实通过这个例子，我们可以知道HTML标签在一定的情况下是可以跨域读取的。 对此漏洞的修复有很多： 1.打乱响应主体内容 2.Referer等进行限制.等等 Flash跨域劫持Flash跨域比较经典了，在做web目录资产整理的时候有时候会发现这样的文件 crossdomain.xml ，文

5、件内容如果是如下的，那么就存在Flash跨域问题，如下内容的意思是支持所有域： 为什么会如此？具体流程是这样的： 有一个SWF文件，这个文件是想要获取 的 userinfo 的返回响应主体，SWF首先会看在 的服务器目录下有没有 crossdomain.xml 文件，如果没有就会访问不成功，如果有 crossdomain.xml ，则会看crossdomain.xml 文件的内容里面是否设置了允许 域访问，如果设置允许了，那么 的SWF文件就可以成功获取到内容。所以要使Flash可以跨域传输数据，其关

6、键就是crossdomain.xml 文件。 4 当你发现 crossdomain.xml 文件的内容为我如上所示的内容，那么就是存在Flash跨域劫持的。 漏洞案例在对一个厂商进行测试的时候正好发现了这样的文件： 在这里我需要做两件事： 1.找到一个能获取敏感信息的接口 2.构建PoC在这里敏感的信息接口以个人中心为例子，PoC使用的是 /nccgroup/CrossSiteContentHijacking/raw/master/ContentHijacking/objects/ContentHijacking.swf5 案例总结很简单的一个东西，但是用处却

7、很大，其利用方法跟CSRF也是一样的，只需要修改下PoC就行。 修复方案同样也很简单，针对的domain进行调整即可。 CORS跨域资源读取漏洞案例6 如上图中我在请求的时候加上了请求头 Origin: ，而对应的响应包中出现了Access-Control- Allow-Origin: 这个响应头其实就是访问控制允许，在这里是允许的请求的，所以 是可以跨域读取此网址的内容的在这里我介绍下Origin： Origin和Referrer很相似，就是将当前的请求参数删除，仅剩下三元组（协议

8、 主机 端口） ，标准的浏览器，会在每 次请求中都带上Origin，至少在跨域操作时肯定携带（例如ajax的操作）。 其实要测试是否可以跨域读取可以参考我如上的方法，当然不仅如此，你可以直接使用通配符()替换我的域名，因为这代 表着任意域，如果对应的响应包中出现了Access-Control-Allow-Origin: 等响应头，那么恭喜你，这里存在着任意域跨域资源读取的问题。 怎么利用呢？在这里我使用了github上的开源项目:/nccgroup/CrossSiteContentHijacking，readme.md中有具 体的说明，这里我就不一一讲解了，那

9、么已经确认问题了，那就需要进一步的验证。 在这里我找到了一处接口，其响应主体内容是获取用户的真实姓名、手机号等内容： /daren/author/query （要注意的是这个请求在抓取的时候是POST请求方式，但并没有请求正文，经过测试请求正文为任意 内容即可） 响应报文正文内容： 7 这里CrossSiteContentHijacking项目我搭建在了本地() /CrossSiteContentHijacking/ContentHijackingLoader.html根据项目所说的操作去进行参数的配置，然后点击 Retrieve Content

10、s 按钮： 测试如下，测试结果是可以跨域读取的： 8 案例总结这个问题其实就是对Origin的验证没有控制好，对其进行加强即可。 结尾9 10结尾想说的东西其实也没什么了，总结了这些东西希望能帮助到各位24转播分享淘帖 分享至 :10 人收藏 gh0stkey，米斯特安全团队核心。i春秋社区核心成员之一。 关注米斯特安全团队（MstLab）：使用道具回复 新鲜发帖 CVE-2020-1938漏洞新鲜跟帖 WebShell免杀之JSPSRC部落 员工在家办公用VPN毁掉公司数据 微盟公司市值一天蒸发9亿白帽子技术/思路 Python系列：什么是列表？ 白帽子技

11、术/思路 一个hackone有趣的漏洞的浮现Writeup白帽子技术/思路 Python基础系列：什么是字典 SRC部落 担心隐私？又一美国政府部门禁止使用海外版白帽子技术/思路 直播公开课丨小白到技术大神的逆袭之路！ 白帽子技术/思路 移动PE导出表白帽子技术/思路 我是如何通过社工+法律途径找回自己被骗的钱 白帽子技术/思路 代码空白区添加shellcode热门话题/问答 在CNVD平台提交漏洞有要求吗？ 白帽子技术/思路 直播公开课丨小白到技术大神的逆袭之路！白帽子技术/思路 免杀大马-过D盾和安全狗等WAF的免杀php大马 课程学习中心 打卡打卡打卡白帽子技术/思路 利用csrf+xs

12、s一套组合拳 入侵emlog 6.0拿getshell安全教程/书籍分享 从开源waf中详解MQTT协议安全教程/书籍分享 Python核心编程 第3版 中文版 课程学习中心 NISP一级学习笔记白帽子技术/思路 绕过D盾webshell拦截思路详解 11吾本布衣 i春秋作家沙发 发表于 2018-3-22 18:29:28一生之敌 同源策略。 使用道具回复 吹风蛋蛋凉 i春秋-核心白帽 小白白板凳 发表于 2018-3-23 09:27:31厉害！ 小白使用道具回复 琴心丶剑胆 i春秋-核心白帽地板 发表于 2018-3-23 10:21:54感谢分享 使用道具回复 12申屠思义 i春秋-呆

13、萌菜鸟4#发表于 2018-3-23 12:08:20感谢分享 使用道具回复 大征不开心 i春秋-呆萌菜鸟5#发表于 2018-3-23 13:36:08厉害！:3_41:3_41:3_41:使用道具回复 onls辜釉 i春秋作家 春秋认证作家团颜值担当6#发表于 2018-3-25 19:34:41干货key信息安全菜鸟/人 使用道具回复 13 速度与基佬 i春秋-呆萌菜鸟7#发表于 2018-3-25 20:52:22使用道具回复 XIAOC123 i春秋-白帽高手8#发表于 2018-10-6 15:31:27学习一下使用道具回复 NewBeeJ i春秋-见习白帽9#发表于 2018-12-30 16:56:06使用道具回复 14i春秋学院联系客服交流沟通扫码关注i春秋微信 关于我们电话：400-8818-293i春