0x01 反射型 XSS
以下代碼展示了反射型 XSS 漏洞產生的大概形式
<%
String name = request.getParameter("name");
String studentId = request.getParameter("sid");
out.println("name = "+name);
out.println("studentId = "+studentId);
%>
當訪問 http://localhost:8080/xss_demo/reflected_xss.jsp?name=1&sid=%3Cscript%3Ealert(1)%3C/script%3E 時,就會觸發 XSS 代碼
0x02 存儲型 XSS
這里以 zrlog v1.9.1.0227 靶場進行示例
部署靶場
靶場 war 包下載地址:http://dl.zrlog.com/release/zrlog-1.9.1-cd87f93-release.war
安裝參考官方安裝文檔即可:https://blog.zrlog.com/post/how-to-install-zrlog
漏洞復現
來到后臺,編輯標題處,在標題的位置插入 XSS 語句
訪問主頁,可以看到 XSS 語句被執行
通過抓包可以看到提交 XSS 語句時的 URL 為 /api/admin/website/update
漏洞分析
查看該項目的 Web.xml 可以看到通過類 com.zrlog.web.config.ZrLogConfig 進行訪問控制
<init-param>
<param-name>configClass</param-name>
<param-value>com.zrlog.web.config.ZrLogConfig</param-value>
</init-param>
查看 WEB-INF/classes/com/zrlog/web/config/ZrLogConfig.class 文件
可以看到這份源碼的路由配置信息
public void configRoute(Routes routes) {
routes.add("/post", PostController.class);
routes.add("/api", APIController.class);
routes.add("/", PostController.class);
routes.add("/install", InstallController.class);
routes.add(new AdminRoutes());
}
查看 AdminRoutes() 方法
class AdminRoutes extends Routes {
AdminRoutes() {
}
public void config() {
this.add("/admin", AdminPageController.class);
this.add("/admin/template", AdminTemplatePageController.class);
this.add("/admin/article", AdminArticlePageController.class);
this.add("/api/admin", AdminController.class);
this.add("/api/admin/link", LinkController.class);
this.add("/api/admin/comment", CommentController.class);
this.add("/api/admin/tag", TagController.class);
this.add("/api/admin/type", TypeController.class);
this.add("/api/admin/nav", BlogNavController.class);
this.add("/api/admin/article", ArticleController.class);
this.add("/api/admin/website", WebSiteController.class);
this.add("/api/admin/template", TemplateController.class);
this.add("/api/admin/upload", UploadController.class);
this.add("/api/admin/upgrade", UpgradeController.class);
}
}
從上面代碼的第 16 行可以看到 /api/admin/website 對應到 WebSiteController 類
查看 WebSiteController 類的代碼
public WebSiteSettingUpdateResponse update() {
Map<String, Object> requestMap = (Map)ZrLogUtil.convertRequestBody(this.getRequest(), Map.class);
Iterator var2 = requestMap.entrySet().iterator();
while(var2.hasNext()) {
Entry<String, Object> param = (Entry)var2.next();
(new WebSite()).updateByKV((String)param.getKey(), param.getValue());
}
WebSiteSettingUpdateResponse updateResponse = new WebSiteSettingUpdateResponse();
updateResponse.setError(0);
return updateResponse;
}
從上面代碼的第 2 行可以看到,update 方法會把傳輸過來的數據存儲到 requestMap 對象里,并通過 updateByKV 方法進行數據更新。
因此這里需要對 updateByKV 進行分析,判斷其有沒有對輸入內容進行過濾。
查看 updateByKV 方法
public boolean updateByKV(String name, Object value) {
if (Db.queryInt("select siteId from " + TABLE_NAME + " where name=?", name) != null) {
Db.update("update " + TABLE_NAME + " set value=? where name=?", value, name);
} else {
Db.update("insert " + TABLE_NAME + "(`value`,`name`) value(?,?)", value, name);
}
return true;
}
可以看到這里并沒有對數據進行過濾,直接將數據存儲到了數據庫里。
接下來分析一下輸出的地方
<h1 class="site-name">
<i class="avatar"></i>
<a title="${_res.title}" href="${rurl}">${_res.title}</a>
<span class="slogan">${website.title}</span>
</h1>
${website.title} 這種寫法也沒有做轉義,也成為了觸發 XSS 的一環。
原文鏈接:
