文章总结： 文档介绍了SRC漏洞挖掘中存储型XSS的实战案例。攻击者通过修改客服聊天窗口的websocket数据包类型为html并插入XSSpayload，利用文件下载URL可控特性结合302跳转扩大攻击范围，最终获取客服人员cookie。文章包含完整的漏洞发现、利用链构建和POC代码，同时附带了CVES实验室的招新要求。 综合评分： 82 文章分类： 漏洞分析,WEB安全,SRC活动,实战经验,红队

SRC漏洞挖掘之存储型XSS

原创

CVES实验室 CVES实验室

山海之关

2023年7月7日 13:45 河北

CVES实验室

“CVES实验室”(www.cves.io)由团队旗下SRC组与渗透组合并而成，专注于漏洞挖掘、渗透测试与情报分析等方向。近年来我们报送漏洞总数已达八万余个，其中包含多个部级单位、多个通信运营商、Apache、Nginx、Thinkphp等，获得CNVD证书、CVE编号数百个，在不同规模的攻防演练活动中获奖无数，协助有关部门破获多起省督级别的案件。

存储型XSS

入手点为某资产首页客服处：

点击客服图标跳转至客服聊天窗口：

聊天这个基本功能，通过websocket发送内容，看到这个数据包第一眼直接看到了type为text。

将type修改为html，内容修改为xss的payload。

得到了一个self-xss漏洞，危害太小了，继续想办法扩大危害。

分析了一下：上传文件的url可控，也就是说当点击下载文件时，会跳转到可控url中，通过让客服人员点击txt，跳转到我们的xss页面即可完成存储xss的利用，然后这里测试如果直接替换为self-xss的url会变成附件下载，不会进行跳转，所以选择在vps上搭建进行302跳转。

vps上的poc：

<?phpheader("Location: https://www.xxx.com/chat/index-web.html?mallId=xxxx&userApp=xxxx&token=eyJhbGciOiJIUzI1NiIsInR5.....");?>

将url替换为vps的302跳转文件后，首先在我们的页面中先插入img的xss，然后发送附件。

诱导客服点击：

贴一张厚马cookie图：

招新事宜

基本要求：

1. 年满18周岁。

2. 踏实肯学，执行力强。****

3. 熟悉漏洞复现(1day)思路、熟悉红队作战流程、具备单兵作战能力。****

加分项：(满足任意1条即可)

1. 挖过补天专属项目高危漏洞。****

2.知名企业SRC月榜top5。

3. 有高质量CVE编号。

4. Java，Go，Rust，Node.js，PHP等熟悉任意两种及以上代码审计。

联系方式：[email protected]

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：山海之关 CVES实验室 CVES实验室《SRC漏洞挖掘之存储型XSS》