[Paper] IFXSS

Bienvenidos a este paper de  Image Filename XSS [IFXSS].

<------------------------------------------------------------------------------>

0x01-> Introducción.
0x02-> Explotar la vulnerabilidad
0x04-> Créditos.

+------------------------------------------------------+

Introducción.

Image Filename XSS es el aprovechamiento de $http_post_files['userfile']['name'] que coge el nombre del archivo subido, en el cual nostros añadiremos HTML o Javascript para poder conseguir un XSS.

+-------------------------------------------------------+

Explotando la vulnerabilidad.

Primero tendremos que buscar una aplicación vulnerable para este tipo de ataque, se trata de que se pueda subir jpeg/pdf/doc/txt... (Cualquier archivo)

¿Que tipo de sitios suelen ser vulnerables a IFXSS?

Suelen ser vulnerables los foros, sitios web de almacenamiento, algunos libros de visitas...

¿Como se si es vulnerable?

Para saber si es vulnerable vamos a crear un archivo llamado "><h1>XSS.txt (sin cerrar al final explicare el porqué)

Lo abrimos con un blog de notas o el gedit depende de que SO estes y escribiremos:

"Hola papapa test!"


Ahora vamos a cambiar el .txt por .jpg ya que la mayoria de uploaders permiten .jpg y nos sera más fácil encontrar uno.

Entonces si sale algo parecido a: La imagen: "Nombre imagen" se subio correctamente o un listado con el nombre del archivo que hemos subido podremos probar de inyectar HTML o Javascript

Ahora vamos donde aparece el nombre del archivo.jpg y si es vulnerable el <h1> se ejecuto y todo lo que hay despues de "nombrearchivo.jpg" debería de salir grande  como en la imagen de abajo, en caso de que no salga en grande y salga: "><h1>JKS.jpg pues otra vez será.





Ahora que sabemos que es vulnerable podremos probar de inyectar más códigos como un iframe y "infectarlo" con un beef o otras cositas eso lo dejo para vosotros..

PD: El h1 no lo cerramos porque en Linux  (No se en windows, supongo que también) no deja poner / ya que si se pudiera poner lo interpretaria el archivo como si fuera un directorio a abrir.
Quedando asi la URL del archivo: /home/jks/desktop/archivo.txt/

Aunque siempre nos quedaría probar de bypassear el nombre con el live http headers y cerrar el tag que pusimos

+-------------------------------------------------------+
Creado por: JKS (17-6-2011)


PD: Este paper hara la tira de tiempo que lo hice. El XSS de dropbox esta reportado.

Excelente aporte man! vere si me lo imprimo y lo leo tranquilo

Saludos!

lo estuve aplicando:



excelente tutorial, ya lo reporte xd

Muy bueno JKS, espero mas aportes tuyos por aquí 

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Muy bueno JKS, espero mas aportes tuyos por aquí 

Lo mismo digo!

Muy bueno, yo hace 2 anios encontre un XSS en imageshack de la misma manera.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Pero como se daran cuenta, siguiendo ese proceso nose puede utilizar el XSS para hacer el ataque mas efectivo.  Hay que automatizar mucho mas el proceso para hacer el ataque mucho mas efectivo. Yo tratare de sacar un poco de tiempo antes de este fin de anio para ver si puedo hacer este tipo de explotacion mucho mas efectiva y publicar un paper.

Saludos y te recomiendo que cambies el titutlo de IFXSS, ya que cuando uno lee IF, das la sensacion de la sentencia de control if.

Felicitaciones buen paper!

Muy buen post.
Saludos.

Hola tengo una duda.

Eh buscado sobre esta vulnerabilidad pero no he encontrado mucho.

Segun vi al archivo que suben lo llaman "><h1>
aun para dar un alert lo llaman "><h1 onclick=alert("Xss")>

Si se lo llama "><script>alert("xss") y aun sigue lanzando el alert seria una vulnerabilidad IFXSS?

Saludos

No eso es una simple XSS Reflected. Lo que hace el IFXSS es buscas vulnerabilidad en los upload. Subiendo algún archivo .txt camuflado como .jpg y con un par de etiquetas provoca el fallo. Esto recién lose por este post. Si me equivoco corregir me por favor!
Saludos,, Cronos.-

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No eso es una simple XSS Reflected. Lo que hace el IFXSS es buscas vulnerabilidad en los upload. Subiendo algún archivo .txt camuflado como .jpg y con un par de etiquetas provoca el fallo. Esto recién lose por este post. Si me equivoco corregir me por favor!
Saludos,, Cronos.-

Bien pero eso no contradice lo que pregunte. Porque a lo que voy que igual camuflas un txt y lo subes y se produce un fallo. Pero mi pregunta mas concreta es si tiene que ser si o si con la etiqueta <h1> o uno puede jugar con el nombre y ponerle otras etiquetas?

Saludos

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No eso es una simple XSS Reflected. Lo que hace el IFXSS es buscas vulnerabilidad en los upload. Subiendo algún archivo .txt camuflado como .jpg y con un par de etiquetas provoca el fallo. Esto recién lose por este post. Si me equivoco corregir me por favor!
Saludos,, Cronos.-

Bien pero eso no contradice lo que pregunte. Porque a lo que voy que igual camuflas un txt y lo subes y se produce un fallo. Pero mi pregunta mas concreta es si tiene que ser si o si con la etiqueta <h1> o uno puede jugar con el nombre y ponerle otras etiquetas?

Saludos

La etiqueta <h1> no se necesita, se puede tirar de <a> pero si quieres poner <script> al cerrar el tag html no te dejará por el /  (que lo interpreta como un directorio) y por esa razón use <h1>

Gracias por la aclaracion

Saludos