玄说安全
首发于玄说安全
利用Png做持久型XSS攻击

利用Png做持久型XSS攻击

原创: 玄魂 玄魂工作室 4月23日

关于文件上传漏洞,其实是老生常谈了,其实很多网站都做了很严格的控制。这里我们不去谈如何突破文件上传,而是假设我们能上传一张图片,然后当成html嵌入或者执行。 好吧,假设有时候永远不会发生,但是一旦发生可能会很有用。下面我们在假设的场景中来玩个小游戏。

在很多ajax上传的场景中,允许我们上传base64编码的文件,比如下面:

{
“Name”: ”image.png.html”,
”Data”: ”data: image / png; base64, iVBORw0KGgoAAAANSUhEUgAAAAUAAAAFCAYAAACNbyblAAAAHElEQVQI12P4//8/w38GIAXDIBKE0DHxgljNBAAO9TXL0Y4OHwAAAABJRU5ErkJggg==”
}


如果我们直接访问html,会得到如下结果:


如果我们将“/><script>alert(“xss”);</script>”字符串放到png字符串的末尾会不会执行呢? 答案是 NO!

很多文章中都有提过利用 魔数 来欺骗验证程序。所谓魔数,就是文件头的标志位。很多应用只是通过文件头来判断文件格式。这里不展开,因为我对目标网站做了测试,最后失败告终。这是个常规思路。但是逃不过完整的图片文件验证方案。

翻阅rfc文档,(w3.org/TR/2003/REC-PNG-) ,发现png文件有 “text blocks” 字段,可以签入文本内容。
下面使用一款好用的工具----imagemagick 来生成我想要的文件:



直接观察http请求,可以看到png文件末尾的文本信息。因为这是png文件合法的元数据,所以是可以通过完整的图片检测机制的。
目标测试网站上传接口返回的数据如下:


最后我们请求 目标url:



XSS成功!

最后要说的是,很多图片格式(jpeg,git)也有text元数据定义。所以完整的图片检测还应该检测图片的内容。

-----------------------------------------------
今天的小技巧分享结束。欢迎关注玄魂工作室。

微信关注。

------------------------------------


----------------------------------

编辑于 2019-09-30

文章被以下专栏收录