PNG tEXt 块到存储型XSS漏洞利用技术详解<\/h1>

漏洞背景<\/h2>
本教学文档详细分析了一种通过PNG图像文件的tEXt块实现存储型XSS攻击的技术。这种攻击方式特别适用于那些严格限制上传文件类型（仅允许PNG）但又能通过特定方式解析上传文件的网站系统。<\/p>

漏洞发现过程<\/h2>

初始测试环境<\/h3>

目标站点有严格的文件上传过滤机制，只接受.PNG<\/code>扩展名<\/li>

意外发现一个上传点允许上传带有.html<\/code>扩展名的文件<\/li>
<\/ul>
初步尝试<\/h3>

尝试直接上传包含HTML内容的伪PNG文件：
{
<\/span><\/span>  "Name"<\/span>: "image.png.html"<\/span>,
<\/span><\/span>  "Data"<\/span>: "data:image\/png;base64,iVBORw0KGgoAAAANSUhEUgAAAAUAAAAFCAYAAACNbyblAAAAHElEQVQI12P4\/\/8\/w38GIAXDIBKE0DHxgljNBAAO9TXL0Y4OHwAAAABJRU5ErkJggg=="<\/span>
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>
这是一个简单的1像素红点PNG图像<\/li>
尝试修改数据类型为data:html<\/code>或url<\/code>等，但验证失败<\/li>
直接修改PNG内容为非合法PNG也会导致验证失败<\/li>
<\/ul>
<\/li>
<\/ol>
技术难点<\/h3>

系统会解码Base64并执行内容<\/li>
尝试在Base64末尾添加"\/><script>alert("xss");<\/script><\/code>，但JS未执行<\/li>
系统可能检查PNG的魔术字节头（前8个字节应为0x89 0x50 0x4E 0x47 0x0D 0x0A 0x1A 0x0A<\/code>）<\/li>
<\/ul>
绕过尝试<\/h3>


构造包含魔术字节的"假"PNG，并附加XSS代码：<\/p>

验证仍然失败<\/li>
推测系统使用.NET的Image.FromStream<\/code>方法验证图像有效性<\/li>
<\/ul>
<\/li>

尝试在合法PNG的不同位置插入XSS代码字节数组：<\/p>

通过迭代方式在位置1、位置2...插入或追加<\/li>
所有尝试均未成功<\/li>
<\/ul>
<\/li>
<\/ol>
成功利用技术<\/h2>
PNG tEXt块特性<\/h3>

PNG规范允许通过tEXt块添加文本元数据（如版权、标题等）<\/li>
这是PNG文件的合法组成部分，不会影响图像有效性<\/li>
<\/ul>
利用工具<\/h3>
使用ImageMagick工具注入恶意tEXt块：<\/p>
convert Head_red.png \
<\/span><\/span><\/span><\/span>  -set 'Copyright'<\/span> '\/><script>alert("1");<\/script>'<\/span> \
<\/span><\/span><\/span><\/span>  -set 'Title'<\/span> '\/><script>alert("2");<\/script>'<\/span> \
<\/span><\/span><\/span><\/span>  -set comment '\/><script>alert("3");<\/script>'<\/span> \
<\/span><\/span><\/span><\/span>  OUT.png
<\/span><\/span><\/code><\/pre>攻击步骤<\/h3>

创建包含恶意tEXt块的PNG文件<\/li>
通过允许上传.html文件的上传点提交文件：
{
<\/span><\/span>  "Name"<\/span>: "image.png.html"<\/span>,
<\/span><\/span>  "Data"<\/span>: "data:image\/png;base64,<恶意PNG的Base64编码>"<\/span>
<\/span><\/span>}
<\/span><\/span><\/code><\/pre><\/li>
系统解码Base64并生成HTML页面<\/li>
当用户访问该HTML页面时，嵌入在tEXt块中的XSS代码被执行<\/li>
<\/ol>
防御建议<\/h2>


输入验证<\/strong>：<\/p>

严格验证上传文件的真实类型（检查魔术字节）<\/li>
不仅验证文件扩展名，还要验证实际内容<\/li>
<\/ul>
<\/li>

内容过滤<\/strong>：<\/p>

对PNG等图像文件中的元数据进行检查和过滤<\/li>
移除或转义可能危险的tEXt块内容<\/li>
<\/ul>
<\/li>

输出编码<\/strong>：<\/p>

在显示用户上传内容时进行适当的HTML编码<\/li>
<\/ul>
<\/li>

文件处理<\/strong>：<\/p>

在处理上传文件时，使用安全的API和方法<\/li>
考虑重新编码或清理上传的图像文件<\/li>
<\/ul>
<\/li>

扩展检查<\/strong>：<\/p>

不要仅依赖文件扩展名判断文件类型<\/li>
实现多层次的验证机制<\/li>
<\/ul>
<\/li>
<\/ol>
扩展风险<\/h2>

类似漏洞不仅存在于PNG文件，JPEG、GIF等图像格式也支持元数据块<\/li>
许多非图像文件类型也可能包含可执行内容<\/li>
开发人员应全面考虑各种文件类型的潜在风险<\/li>
<\/ul>
总结<\/h2>
本技术展示了如何利用PNG规范中的合法特性（tEXt块）绕过严格的文件上传限制，实现存储型XSS攻击。这种攻击方式特别隐蔽，因为它使用的是完全符合规范的PNG文件。防御此类攻击需要多层次的验证和过滤机制，而不仅仅是简单的文件扩展名检查。<\/p>

PNG tEXt 块到存储型XSS漏洞利用技术详解<\/h1>

漏洞背景<\/h2> 本教学文档详细分析了一种通过PNG图像文件的tEXt块实现存储型XSS攻击的技术。这种攻击方式特别适用于那些严格限制上传文件类型（仅允许PNG）但又能通过特定方式解析上传文件的网站系统。<\/p>

漏洞发现过程<\/h2>

成功利用技术<\/h2>

漏洞背景<\/h2>
本教学文档详细分析了一种通过PNG图像文件的tEXt块实现存储型XSS攻击的技术。这种攻击方式特别适用于那些严格限制上传文件类型（仅允许PNG）但又能通过特定方式解析上传文件的网站系统。<\/p>