利用Png做持久型XSS攻击

原创： 玄魂 玄魂工作室 4月23日

关于文件上传漏洞，其实是老生常谈了，其实很多网站都做了很严格的控制。这里我们不去谈如何突破文件上传，而是假设我们能上传一张图片，然后当成html嵌入或者执行。 好吧，假设有时候永远不会发生，但是一旦发生可能会很有用。下面我们在假设的场景中来玩个小游戏。

在很多ajax上传的场景中，允许我们上传base64编码的文件，比如下面：

{
“Name”: ”image.png.html”,
”Data”: ”data: image / png; base64, iVBORw0KGgoAAAANSUhEUgAAAAUAAAAFCAYAAACNbyblAAAAHElEQVQI12P4//8/w38GIAXDIBKE0DHxgljNBAAO9TXL0Y4OHwAAAABJRU5ErkJggg==”
}

如果我们直接访问html，会得到如下结果：

如果我们将“/><script>alert(“xss”);</script>”字符串放到png字符串的末尾会不会执行呢？ 答案是 NO！

很多文章中都有提过利用 魔数 来欺骗验证程序。所谓魔数，就是文件头的标志位。很多应用只是通过文件头来判断文件格式。这里不展开，因为我对目标网站做了测试，最后失败告终。这是个常规思路。但是逃不过完整的图片文件验证方案。

翻阅rfc文档，(https://www.w3.org/TR/2003/REC-PNG-20031110/#11tEXt) ，发现png文件有 “text blocks” 字段，可以签入文本内容。
下面使用一款好用的工具----imagemagick 来生成我想要的文件：

直接观察http请求，可以看到png文件末尾的文本信息。因为这是png文件合法的元数据，所以是可以通过完整的图片检测机制的。
目标测试网站上传接口返回的数据如下：

最后我们请求 目标url：

XSS成功！

最后要说的是，很多图片格式（jpeg，git）也有text元数据定义。所以完整的图片检测还应该检测图片的内容。

-----------------------------------------------
今天的小技巧分享结束。欢迎关注玄魂工作室。

微信关注。

------------------------------------

----------------------------------