Hi! Bienvenidos a este Paper de Image Filename XSS – IFXSS. 0x01-> Introducción. 0x02-> Explotar la vulnerabilidad 0x04-> Créditos. +------------------------------------------------------+ Introducción. Image Filename XSS es el aprovechamiento de $http_post_files['userfile']['name'] que coje el nombre de el archivo subido, en el cual nostros añadiremos HTML o Javascript para poder ejecutarlo. +-------------------------------------------------------+ Explotando la vulnerabilidad. Primero tendremos que buscar una aplicación vulnerable para este tipo de ataque, se trata de que se pueda subir jpeg/pdf/doc/txt/etc...(todo tipo de archivos permitidos por el uploader) ¿Que tipo de sitios suelen ser vulnerables a IFXSS? Pues los foros, sitios web de almacenamiento de archivos, algunos libros de visitas, etc.. Para saber si es vulnerable vamos a crear un archivo llamado “>
JKS Test.txt (sin cerrar luego explicare porqué) Lo abrimos con un blog de notas o el gedit depende de que SO estes y escribiremos: Xassiz is my bitch jaja, podeis escribrir lo que querais dentro. Quedando así:
Ahora vamos a cambiar el .txt por .jpg ya que la mayoria de uploaders son .jpg y así que nos permita subir. Entonces si sale algo parecido a: La imagen: "Nombre imagen" se subio correctamente o un listado con lo que hemos subido podremos probar de inyectar HTML o Javascript Ahora vamos donde aparece el nombre del archivo.jpg y si es vulnerable el se ejecuto y todo lo que hay despues de "nombrearchivo.jpg" debería de salir grande como en la imagen de abajo, en caso de que no salga en grande y salga: “>JKS.jpg pues otra vez será.
Ahora que sabemos que es vulnerable podremos probar de inyectar más códigos como un iframe por ejemplo y "infectarlo" con un beef o otras cositas eso lo dejo para vosotros.. PD: El h1 no lo cerramos porque en Linux (No se en windows, supongo que también) no deja poner / ya que si se pudiera poner lo interpretaria el archivo como si fuera un directorio a abrir. Quedando asi la URL del archivo: /home/jks/desktop/archivo.txt/ Aunque siempre nos quedaría probar de bypassear el nombre con el live http headers y cerrar el tag que pusimos +-------------------------------------------------------+ Creado por: JKS (17-6-2011) Alguna duda: [email protected] Greetz to: Ca0s, Xassiz, 0verflow, Kr0no. - Insanity Bye by JKS!