利用Png做持久型XSS攻击

Posted 2021-04-29 玄魂工作室

关于文件上传漏洞，其实是老生常谈了，其实很多网站都做了很严格的控制。这里我们不去谈如何突破文件上传，而是假设我们能上传一张图片，然后当成html嵌入或者执行。 好吧，假设有时候永远不会发生，但是一旦发生可能会很有用。下面我们在假设的场景中来玩个小游戏。

在很多ajax上传的场景中，允许我们上传base64编码的文件，比如下面：

{

“Name”: ”image.png.html”,

”Data”: ”data: image / png; base64, iVBORw0KGgoAAAANSUhEUgAAAAUAAAAFCAYAAACNbyblAAAAHElEQVQI12P4//8/w38GIAXDIBKE0DHxgljNBAAO9TXL0Y4OHwAAAABJRU5ErkJggg==”

}

如果我们直接访问html，会得到如下结果：

如果我们将“/><script>alert(“xss”);</script>”字符串放到png字符串的末尾会不会执行呢？ 答案是 NO！

很多文章中都有提过利用 魔数  来欺骗验证程序。所谓魔数，就是文件头的标志位。很多应用只是通过文件头来判断文件格式。这里不展开，因为我对目标网站做了测试，最后失败告终。这是个常规思路。但是逃不过完整的图片文件验证方案。

翻阅rfc文档，(https://www.w3.org/TR/2003/REC-PNG-20031110/#11tEXt) ，发现png文件有 “text blocks” 字段，可以签入文本内容。

下面使用一款好用的工具----imagemagick  来生成我想要的文件：

直接观察http请求，可以看到png文件末尾的文本信息。因为这是png文件合法的元数据，所以是可以通过完整的图片检测机制的。

目标测试网站上传接口返回的数据如下：

最后我们请求 目标url：

XSS成功！

最后要说的是，很多图片格式（jpeg，git）也有text元数据定义。所以完整的图片检测还应该检测图片的内容。

-----------------------------------------------

今天的小技巧分享结束。欢迎关注玄魂工作室。

今天试玩了有赞的提问功能，没事可以玩一玩。