Ajax Hacking-niustar-ChinaUnix博客

欣欣向荣

首页　| 　博文目录　| 　关于我

niustar

博客访问： 221879
博文数量： 88
博客积分： 3020
博客等级：中校
技术积分： 707
用户组：普通用户
注册时间： 2009-02-12 16:56

文章分类

全部博文（88）

未分配的博文（88）

文章存档

2010年（26）

2009年（62）

我的朋友

相关博文

Ajax Hacking

分类：网络与安全

2009-07-11 19:49:41

如果你看完这几篇xss的文章,那基础也应该有了,基本的可以应付了,比如....校内网呵呵

在Ajax Hacking技术比较成熟了，但一直没有实践过。这次给大家带来的就是一次实战的分析问题和解决问题的过程，而且是一个通用的打造“XSS Trojan”的全过程。由于这个过程也是藏在后台获取和发送用户信息的，和木马极为相似，所以文章的名字才叫XSS Trojan，但和网页木马是两码事哦！本来是准备给大家介绍怎样做XSS Worm的，可是因为起稿时是以Sohu博客做实战的，在数据提交时出现了问题，所以这里仅会简单地介绍一下它的思路，而在此之上，我们会一起去做这个记录用户名和密码的“木马脚本”（某些网站甚至可以不用脚本哦！）。

XSS漏洞利用方式
在Sohu的博客里，我发现的并且可以利用的XSS点有“个人档案”区（因为用户自建版块的性质和其相同，所以归为一类）和“文章发布”区。它们都没有过滤Style（层叠样式表）的注释信息，使得通过注释绕过的特殊脚本字符插入得以实现，利用方式如下：

其中，“xss”这个属性可以随意拟定，改成“width”或“height”什么的都没有关系；“/*XSS*/”为注释的内容，内容也可以随意指定；但是在注释两边的字符除了左右位置可以改变，具体的值是不能改变的，因为它们连起来正是我曾经提到过的三个特殊的引起事件的标志之一—— “expression”，由于IE会忽略掉样式表中的注释，从而使得我们的XSS脚本代码可以顺利执行。

不过，这样的代码在“个人档案”里可以执行，但在“文章发布”里却会被二次过滤（即在转向文章页面的客户端加载的时候会被过滤掉）；而且由于 expression是不间断地加载的，所以会使电脑的CPU占用率很高（大家可以打开资源管理器，在有“expression”的网页上快速移动鼠标，就会看到CPU占用率迅速飙升）；并且“expression”是IE的专利，在Firefox下是不支持的，这使我们不能编写通用的XSS脚本。所以，我们要采取另一种插入跨站方式——编码，Sohu博客对于脚本编码没有过滤的是16进制的Java式编码，利用方式如下：

[Copy to clipboard] [ - ]
CODE:

转码之前的代码为：

[Copy to clipboard] [ - ]
CODE:

但是由于“javascript:”对于复杂的复合式脚本代码显得力不从心，所以我们不得不对代码进行一些改进。Samy（著名的Myspace Worm）采取的方法是把执行代码写进标签另一属性里，并通过Document对象调用，使用Eval执行，比如下面的代码。

但是由于Sohu博客禁止除Style以外的属性，所以这种方式对我们不适用，我们只能直接把代码写进Eval里。但此时利用代码仍没有完成——由于我们对Style属性用了双引号，对UEL用了单引号，因此在Eval这个函数里就不能再有引号了，否则就会混淆。Samy的方法是对单引号和双引号进行相应转换：

[Copy to clipboard] [ - ]
CODE:
var B=String.fromCharCode(34);var A=String.fromCharCode(39);

//34为双引号十进制，39为单引号十进制

但我们这里事实上在Eval本身时就已经没有引号可用了，更别提语句里面的，所以这个方法无效。我所采取地是把整个XSS代码全部转换为十进制，然后用 String.fromCharCode解码，用Eval执行。这样，内部代码可以随意用单引号，而不会影响代码本身，所以测试字符转换如下：

[Copy to clipboard] [ - ]
CODE:

再加上上面的16进制编码，完整的利用方式如下：

[Copy to clipboard] [ - ]
CODE:

阅读(623) | 评论(0) | 转发(0) |

上一篇：漏洞分析：微软DirectShow MPEG-2视频0day漏洞深入分析

下一篇：Linux内核高危漏洞，一个命令可以攻击所有Linux系统

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6