本次给大家带来一篇如何使用xss代码全自动反弹
以emlog6.0为例子,安装好后先登录到后台
之前就尝试过这套cms了,在后台添加友联处存在xss
“><script>alert(‘yaoyao’)</script>
虽然有Referer 但是这里添加友联的接口还是存在csrf的 Referer是摆设
这里先搞一个压缩包 里面放一个test.php的小马文件
众所周知 emlog在后台可以通过上传插件进行getshell
这里我们尝试一下通过编写xss代码去发起此请求
大概思路流程
这里抓一下上床的包 分析一下.... 不对是上传的包
可以看到在上传包中有一个token参数
这里如果要发去该请求就要获取到这个参数
当前token参数在cookie中,cookie参数名为
EM_TOKENCOOKIE_699d3f15f1f51fe77c19a4e7c9723b7b
猜测后面的699d3f15f1f51fe77c19a4e7c9723b7b是一段随机数
现在开始编写获取该值的js代码
好了,开始写发起上传插件请求的代码
这里利用burp suite抓住上传的请求包,然后生成js代码 然后在魔改一下
基本上就ok了
简单测试一下 很ok 上传成功了
、
现在上传的代码编写好了后 开始走上面画的思路了
CSRF -》 XSS -》文件上传
开始编写poc,先把刚刚写的代码放在根目录 大家如果想实战的话 可以自己搞一个外部js链接 一样的
然后是csrf的代码,这里同样是利用burp suite生成一下poc,然后再自己改一下
用js去点击,ok的
再利用iframe去加载csrf的页面,这样就不那么容易被发现了
现在只需要刷新一下此页面 便会获得一个getshell,嘿嘿 但是还不够
我感觉还不够,单单只是个getshell 感觉还是缺点什么
要不 咱们试试反弹shell到cs????
利用xss反弹shell ~~~~~
这里直接在poc.js最后面 也就是发起上传插件结束后,再发起一个get请求到我们的小马
让他运行我们指定的exe,这里通过小马去下载cs生成的exe的过程就不演示
最后效果截图
好了 话不多说 看效果!!!!