一、什么是XSS攻击
8 t" u2 y# ~' b1 j- _% H
$ V5 J/ M$ T8 y+ ? XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。XSS属于被动式的攻击,因为其被动且不好利用,所以许多人常呼略其危害性。而本文主要讲的是利用XSS得到目标服务器的shell。技术虽然是老技术,但是其思路希望对大家有帮助。
9 K! M& v; X/ d# @7 S6 q& N. P# ?% P5 y2 G
如何寻找XSS漏洞# n) @7 w; j; r% \0 t/ M! u( s
4 Z8 y! z$ f8 e! F+ g 就个人而言,我把XSS攻击分成两类,一类是来自内部的攻击,主要指的是利用程序自身的漏洞,构造跨站语句,如:dvbbs的showerror.asp存在的跨站漏洞。另一类则是来来自外部的攻击,主要指的自己构造XSS跨站漏洞网页或者寻找非目标机以外的有跨站漏洞的网页。如当我们要渗透一个站点,我们自己构造一个有跨站漏洞的网页,然后构造跨站语句,通过结合其它技术,如社会工程学等,欺骗目标服务器的管理员打开。
* q0 m+ S8 a# a" u; R8 c7 k+ W$ j
5 q/ Z- h8 b- K& J$ }! ` 然后利用下面的技术得到一个shell.
' z4 K6 _# ?; L' q1 G+ p7 B- i0 @. R, q! m9 h0 a- @! o
如何利用
! g6 [. z9 q) b2 p1 _5 b }6 s+ @1 O6 {- i+ T7 X
传统的跨站利用方式一般都是攻击者先构造一个跨站网页,然后在另一空间里放一个收集cookie的页面,接着结合其它技术让用户打开跨站页面以盗取用户的cookie,以便进一步的攻击。个人认为这种方式太过于落后,对于弊端大家可能都知道,因为即便你收集到了cookie你也未必能进一步渗透进去,多数的cookie里面的密码都是经过加密的,如果想要cookie欺骗的话,同样也要受到其它的条件的限约。而本文提出的另一种思路,则从一定程度上解决上述的问题。对于个人而言,比较成熟的方法是通过跨站构造一个表单,表单的内容则为利用程序的备份功能或者加管理员等功能得到一个高权限。下面我将详细的介绍这种技术。
/ G/ z& ^; S" K) G0 L2 ^' e* L5 ?* H8 C" o* i1 _0 n1 Y0 {
二、来自内部的跨站攻击2 f/ k& o+ g2 w) ?+ G! t- W4 e
) c' `" c$ \2 a8 S# F
寻找跨站漏洞
$ E1 G1 b: c9 v- @& z+ M; s5 |4 w; {% J3 f& q9 u8 g8 _
如果有代码的话比较好办,我们主要看代码里对用户输入的地方和变量有没有做长度和对”<”,”>”,”;”,”’”等字符是否做过滤。还有要注意的是对于标签的闭合,像测试QQ群跨站漏洞的时候,你在标题处输入<script>alert(‘test’)</script>,代码是不会被执行的,因为在源代码里,有其它的标签未闭合,如少了一个</script>,这个时候,你只要闭合一个</script>,代码就会执行,如:你在标题处输入</script><script>alert(‘test’)</script>,这样就可以弹出一个test的框。
; w0 k7 i0 L2 h0 p8 N% U& o1 D+ j& R- G8 l3 b9 w* n, i
如何利用. W; O: ]/ r7 y4 z& A
7 K* ^8 n9 Q/ \8 |2 j" {/ h3 \
我先以BBSXP为例,过程已做成动画,详情可见光盘中的动画。我举BBSXP中其中两个比较好用的跨站漏洞点为例.3 ~' E/ f4 A" B
) y9 |* Q. Q+ x( \
- F$ x' o6 p) D# ~& H4 q! r7 X
a.先注册一个普通用户,我这里注册的用户是linzi.然后我们在个人签名里写入:
% I1 U) K0 k( x+ ~! b, k, w- m2 n: x, q' A
http://127.0.0.1/bbsxp/admin_user.asp?menu=userok&username=linzi&membercode=5&userlife=1&posttopic=3&money=9&postrevert=0&savemoney=0&deltopic=1®time=2005-9-1+1%3A1%3A1&experience=9&country=%D6%D0%B9%FA&&Submit=+%B8%FC+%D0%C2+ + G1 x- x W k! l8 e1 o
: g6 X5 H" }/ ? U, r* t
c.然后发个贴子,可以结合其它技术欺骗管理员浏览发的贴子。4 B4 v3 _, m, h6 [
0 L: _1 E+ n) t" h d.因为是测试,所以我们以管理员身份登陆,然后打开贴子,我们会发现,linzi已经变成了社区区长工,如图一所示
( {1 t" l3 i8 D! ^& X% V" ], Q6 g" I' L4 l1 N6 B5 B- V7 K6 [7 q3 r/ S8 _, a
除此之外我们只要在个人签名里输入
+ ?" f# _& F0 N$ _$ B, o3 s6 \
, ~# H& B( N( u- O1 _http://127.0.0.1/bbsxp/admin_setup.asp?menu=variableok&clubname=+&homename=+&homeurl=&floor=2&PostTime=3&Timeout=6&OnlineTime=12&Reg10=10&style=1&selectup=FSO&MaxFace=10240&MaxPhoto=30720&MaxFile=102400&UpFileGenre=gif|jpg|asp%20|rar ! N- r2 r7 W v, T0 M$ Z. S
/ J) X2 u g# p7 ~5 s
同样发个贴子等,只要管理员打开了,就会加了一个扩展名为asp (有空格)的上传扩展,这个时候,你只要上传一个newmm.asp (有空格)就可以得到一个shell.. B' U- ~( Z O" [+ S' b9 L
0 c+ I }5 _ b+ M2 }
1 s' @( z3 W' S- I4 \ 上面的攻击多多少少有点局限性,虽然可以得到shell,但是隐蔽性不太好,因为签名处受到了长度的限制,不能超过255个字符。我们可以结合flash跨站实现更为隐蔽的攻击,对于flash木马的制作,下面见哥们丰初的介绍。! [- c V4 Y/ e- d' r
% f: M1 _& I% z! A- q* o4 o
再利用如下:' z% W7 a) O! j/ @
. `! l& G' x6 Z }; z9 z
修改一下个人头像的url,输入代码如下: admin_setup.asp? % w) v# {1 E2 \+ ^
( `* w' P! k* \' e2 Xmenu=variableok&clubname=+&homename=+&homeurl=&floor=2&PostTime=3&Timeout=6&OnlineTime=12&Reg10=10&style=1&selectup=FSO&MaxFace=10240&MaxPhoto=30720&MaxFile=102400&UpFileGenre=gif|jpg|php|rar
# q' |6 b+ v/ Y6 i8 b: H4 B8 z
4 |3 e+ k7 e! j 再接着欺骗管理员打开你的资料或者浏览你的贴子,当管理员打开后,会在后台自动加个php扩展名的后辍,因为bbsxp在个人头像url里过滤了空格,%,所以我们只能加个不包括空格的其它扩展,当然你也可以加个shtml的扩展,有了它你就可以用来查看源代码,然后进一步攻击。* `# ^( ?) q6 S4 H7 _8 Z
|