一、漏洞简介
了解无线安全的同学应该都知道基于ESP8266的wifi killer固件,可以用来辅助无线渗透测试,其自带了一个web管理界面,其中有一个wifi ap列表,就是这个列表存在xss注入。
ESP8266大概长这个样子,我买的是可以用micro usb线连接电脑的,那个xss漏洞就在这玩意儿里面:
此漏洞仅存在于wifi killer张馆长汉化版,审计过官方原版的代码发现是没有此漏洞的,影响范围较小,并且难以利用,故公开。
二、挖洞过程
买了个ESP8266,让店家给刷好wifi killer固件邮过来的,午休的时候在办公室想体验一下,刚拿出手机查看wifi列表注意到有个wifi名字类似于下面这种的:
root <img />
具体名字我记不得了,大概就是这种模式,我觉得挺有意思的,估计这是哪位巨佬在测试wifi名注入吗?
然后我就想到wifi killer的web界面上也有一个wifi ap列表,于是便想试试那个列表是不是能够被注入,当我在wifi killer的管理界面上切换到wifi ap列表的时候,我发现这个热点的wifi名字只显示出了前面的root?
虽然我反应比较迟钝,但是也马上意识到了wifi名字这里有一个xss注入漏洞,接下来就是慢慢去测试payload确认一下到底能不能搞。
最开始的时候使用
<script>alert(/xss/)</script>
这种形式去测试的,但是却并没有生效,于是就去看了它前端的代码,发现是在js中拼接wifi名字然后通过innerHTML设置的到页面上的:
通过这种方式设置的script并不会被加载执行,但是可以通过设置一个img标签触发其error来绕过执行js,payload如下:
<img src=x onerror='alert(/!/)'>
用手机开个热点,热点的名字用上面这个payload:
然后再在wifi killer的管理界面刷新wifi列表,成功使用wifi名字触发了弹窗:
但是wifi的名字,也就是SSID,协议规定了它不能超过32位,这就很尴尬,几乎没有利用空间,最简单的payload就快占满了...
请教了303大佬有没有什么好的利用方案:
成吧,好歹也算是个利用方式,这样当我发现我的wifi列表中出现wifi killer默认的热点名字zhangguanzhang的时候,我就启动一个payload热点,不图别的,我就是吓吓他....毕竟我也做不了别的,啊哈哈哈哈
三、官方原版是如何做的呢
后来我还去看了原版的wifi killer的这部分逻辑:
https://github.com/SpacehuhnTech/esp8266_deauther/blob/v2/web_interface/js/scan.js
它的源代码里是有转义的:
跟进去看一下转义:
人家对尖括号进行了转义。
四、总结
以后凡是用户输入回显在页面的字段都试一试,审计一下相关代码,万一有注入呢...
如果不是办公室那个奇怪的热点名字提醒了我,我可能就与这个鸡肋的xss擦肩而过了...感谢那位不知道名字的好心人!
