精准丢包技术实现未授权访问与存储型XSS漏洞挖掘

漏洞背景

本文记录了一种通过精准丢包技术绕过鉴权机制，最终发现存储型XSS漏洞的完整过程。该技术适用于某些特定场景下的Web应用安全测试。

漏洞发现过程

1. 初始观察

• 目标系统行为：访问URL后先进入后台再跳转到首页
• 常规测试方法：通过抓包工具拦截请求，阻止页面跳转
• 发现问题：系统会立即发起鉴权请求，拦截后无法获取有效数据

2. 鉴权机制分析

• 系统在访问后会立即发送一个鉴权数据包
• 直接丢弃鉴权包会导致系统返回错误页面
• 关键发现：在特定数据包中添加admin参数后，可以安全丢弃后续鉴权包

3. 精准丢包技术实现

1. 参数注入：

   • 在请求数据包中找到userId参数
   • 原始userId为空，手动添加admin值

2. 包丢弃策略：

   • 在添加admin参数后，可以安全丢弃鉴权包
   • 需要丢弃两个关键数据包：
     • 第一个是鉴权请求包
     • 第二个是后续的某个特定包

3. 效果验证：

   • 成功丢弃后，系统不再跳转到登录页
   • 虽然数据未显示，但已绕过鉴权机制

4. 功能点测试

• 由于直接访问无法显示数据，转向测试功能点
• 发现文件上传功能存在潜在漏洞

5. 存储型XSS漏洞挖掘

1. 文件上传测试：

   • 发现系统允许上传任意文件类型
   • 但只有HTML和XML文件会被解析
   • XML文件测试未触发漏洞

2. XSS攻击构造：

   • 创建包含XSS攻击代码的HTML文件
   • 上传该HTML文件到系统
   • 当其他用户访问包含该"图片"的商品页面时
   • 系统会加载HTML文件并执行其中的XSS代码

3. 漏洞验证：

   • 成功实现存储型XSS攻击
   • 受害者访问时会触发弹窗等XSS效果

技术要点总结

1. 精准丢包技术：

   • 需要准确识别关键数据包
   • 在特定参数修改后才能安全丢弃
   • 需要丢弃多个关联数据包

2. 绕过鉴权机制：

   • 通过参数注入(userId=admin)改变系统行为
   • 结合丢包技术实现未授权访问

3. 存储型XSS利用：

   • 通过文件上传功能实现持久化攻击
   • 利用系统对HTML文件的解析特性
   • 需要找到合适的触发场景(如商品图片展示)

防御建议

1. 加强鉴权机制，防止参数篡改绕过
2. 实现完整的CSRF防护
3. 严格限制文件上传类型和内容检查
4. 对用户上传的HTML文件进行安全过滤
5. 实施内容安全策略(CSP)防止XSS攻击

扩展思考

1. 该技术可能适用于其他存在类似鉴权逻辑的系统
2. 可以尝试结合其他参数注入技术提高成功率
3. 在丢包后可以尝试重放请求获取更多数据
4. 考虑使用自动化工具实现精准丢包流程

此漏洞挖掘过程展示了如何通过细致的协议分析和创造性思维发现非常规安全漏洞，对Web应用安全测试人员具有很好的参考价值。