[80Sec]深掘XSS漏洞场景之XSS Rootkit
顶80SEC的牛。
深掘XSS漏洞场景之XSS Rootkit[完整修订版]
EMail: rayh4c#80sec.com
Site: http://www.80sec.com
Date: 2011-10-15
0×00 前言
众所周知XSS漏洞的风险定义一直比较模糊,XSS漏洞属于高危漏洞还是低风险漏洞一直以来都有所争议。XSS漏洞类型主要分为持久型和非持久型两种:
1. 非持久型XSS漏洞一般存在于URL参数中,需要访问黑客构造好的特定URL才能触发漏洞。
2. 持久型XSS漏洞一般存在于富文本等交互功能,如发帖留言等,黑客使用的XSS内容经正常功能进入数据库持久保存。
3. DOM XSS漏洞,也分为持久和非持久型两种,多是通过javascript DOM接口获取地址栏、referer或编码指定HTML标签内容造成。
4. FLASH,PDF等其他第三方文件所造成的特殊XSS漏洞,同样按应用功能也分为持久和非持久型。
一般持久型XSS漏洞比非持久型XSS漏洞风险等级高,从漏洞的本质上来说这是没错的,但漏洞的利用仍然需要看场景,有时候更深入的看待场景能够挖掘出意想不到的东西,大家接着往下看。
0×01 漏洞场景解析
首先我给出一段PHP分页的XSS漏洞的简单代码:
demo.php
————————————————————-
1
2
3
4
5
6
7
|
<?php foreach (Array(‘_GET’, '_POST’,' _cookie’) as $_request ) { foreach ($ $_request as $_k => $_v ) ${ $_k } = $_v ; } ?> <a href=”<? echo $_SERVER [ "PHP_SELF" ]; ?>?i=<? echo $id ;?>”>分页</a> |
———————————————————————
这段PHP代码中模拟register_globals是Web程序中常见的,代码中输出了网页的分页链接这个也是常见的,因为忽略了对传入数据的效验,更产生了最常见的XSS漏洞。
下面是这个XSS漏洞的验证方法:
http://127.0.0.1/demo.php?id=1″><script>alert(1)</script>
GET方法在id参数中传入HTML内容,导致网页内容中的herf闭合,执行script标签里的脚本内容:
<a href=”/demo.php?id=1″><script>alert(1)</script>”>分页</a>
这是一个典型的非持久型XSS漏洞,在常规的思维逻辑下,这个漏洞到这里基本就打止了,本文也马上要变为普通的科普文了,然而事实并没有那么简单,这个漏洞场景再深入挖掘,就牵出了本文的重头戏。
0×02 XSS Rootkit实现方法
我们知道操作系统有Rootkit这样的内核后门,Rootkit最大的特性之一就是隐蔽,普通的安全软件无法检测出系统中运作着Rootkit,以保证Rootkit后门能长久存活于系统中,而Web程序的漏洞很难达到这一效果,而我发现某些特定场景的XSS漏洞能够达到这一效果。
现今流行的PHP Web程序的都喜欢自己模拟register_globals(全局变量注册)这一特性,通过GET、POST、cookie等方法注册变量(本文下面的内容都简称GPC),通过GPC直接注册变量方便整个程序的运作,而本文的重点即是围绕这一点来展开的。
第一部分的我模拟的XSS漏洞即是一个典型的全局变量注册的场景,demo.php不仅可以GET传参,还能接受cookie传参,变量注册顺序是GPC,由于注册变量的流程是一个foreach循环,所以通过GP注册变量最后能被C覆盖,而cookie是客户端浏览器的持久化数据,如果通过XSS漏洞设置cookie,我们完全可以把这个典型的非持久型XSS漏洞变成持久的,说到这里大家一定感觉非常兴奋了,我就来实际测试一下:
先写出一段设置cookie的javascript代码
Persistence_data=’”><script>alert(/xss/)</script>’;
var date=new Date();
var expireDays=365; //设置cookie一年后失效
date.setTime(date.getTime()+expireDays*24*3600*1000);
document.cookie=’id=’+Persistence_data+’;expires=’+date.toGMTString(); //设置cookie的id参数值为XSS代码
把设置cookie的javascript代码编码一次,放入XSS URL中,这样防止魔术引号和不同浏览器编码的未知情况影响我们的测试,关闭IE8/9等XSS筛选器后,我们访问下面的URL让XSS生效。
http://127.0.0.1/demo.php?id=1″><script>eval(String.fromCharCode(80,101,114,115,105,115,116,101,110,99,101,95,100,97,116,97,61,39,
34,62,60,115,99,114,105,112,116,62,97,108,101,114,116,40,47,120,115,
115,47,41,60,47,115,99,114,105,112,116,62,39,59,13,10,118,97,114,32,
100,97,116,101,61,110,101,119,32,68,97,116,101,40,41,59,13,10,118,97,
114,32,101,120,112,105,114,101,68,97,121,115,61,51,54,53,59,13,10,100,
97,116,101,46,115,101,116,84,105,109,101,40,100,97,116,101,46,103,101,
116,84,105,109,101,40,41,43,101,120,112,105,114,101,68,97,121,115,42,50,
52,42,51,54,48,48,42,49,48,48,48,41,59,13,10,100,111,99,117,109,101,110,
116,46,99,111,111,107,105,101,61,39,105,100,61,39,43,80,101,114,115,105,
115,116,101,110,99,101,95,100,97,116,97,43,39,59,101,120,112,105,114,101,
115,61,39,43,100,97,116,101,46,116,111,71,77,84,83,116,114,105,110,103,40,41,59))</script>
结果令人非常满意,当我们关闭浏览器乃至关闭重启电脑后,再重新访问下面的网页:
无论是访问http://127.0.0.1/demo.php
还是访问http://127.0.0.1/demo.php?id=1
我们的XSS代码都会生效,同时如果客户端未清理cookie,这个XSS漏洞将有效一年的时间,达到了Rootkit隐蔽和能够持久存活的效果。
0×03 XSS Rootkit实战
DEDECMS后台登陆主页的模板中有个gotopage变量存在XSS漏洞,代码如下:
dede\templets\login.htm
65行左右
<input type=”hidden” name=”gotopage” value=”<?php if(!empty($gotopage)) echo $gotopage;?>” />
DEDECMS核心代码中,模拟全局变量注册机制的顺序是GPC,也就是C能够覆盖GP所注册的变量。
我们再套用0X02的代码测试,可以在cookie中持久化保存gotopage变量,如果管理员触发过我们的XSS漏洞,我们就能在管理员的cookie中持久化保存gotopage变量,将gotopage隐藏表单值变为我们的任意脚本内容,以后管理员只要是访问后台页面都会触发XSS漏洞,我们完全可以劫持管理员的整个登陆过程,悄无声息的直接获取管理员的密码。
当然DEDECMS这个漏洞的如何灵活运用更取决于黑客的发散思维,比如IE8/9等会拦截URL XSS,我们可以利用一个持久型的XSS或DOM XSS做为这类XSS Rootkit漏洞的payload,另外cookie的设置不限于同源策略,在任意子域名设置的cookie,可以让整个域名的应用都接受这个cookie,黑客可以脱离于DEDECMS程序本身的限制,在整个网站架构上的薄弱点攻击DEDECMS的后台。
0×04 深入XSS Rootkit场景
在PHP全局变量注册机制的场景下,调整GPC的注册变量的顺序可以减弱XSS Rootkit攻击效果,如discuz程序:
1
2
3
4
5
6
7
|
foreach ( array (‘_COOKIE’, ‘_POST’, ‘_GET’) as $_request ) { foreach ($ $_request as $_key => $_value ) { $_key {0} != ‘_’ && $ $_key = daddslashes( $_value ); } } |
注册变量的顺序是CPG,我们的C始终都不能覆盖GP所注册过的变量,不过程序的某个流程导致变量未初始化,还是能产生XSS Rootkit效果,如
http://xx.163.com/logging.php?action=logout&referer=javascript:alert()&formhash=rootkit
在DISCUZ程序的退出代码存在一个XSS漏洞,在用户没有登陆的情况下,退出代码中的referer变量没有初始化,导致我们能任意控制这个变量。
在这个情况下我们不用担心CPG的注册顺序问题,但我们需要构造特定的URL,造成变量未初始化的情况才能触发XSS漏洞,这样XSS Rootkit攻击效果就大打折扣了,用户在登陆后的正常退出操作是不能触发我们的XSS漏洞的,已脱离了XSS Rookit的优势。
另外一个场景是滥用request类变量的情况,在不同脚本和服务器环境中request类变量的效果可能不同,如在我之前的《浅谈绕过WAF的数种方法》提到了asp/asp .net等request类变量有复参特性,所以gpc的内容都能同时进入注册变量,也可能会产生XSS Rootkit漏洞的情况。
最后还有一类特殊的DOM XSS情况,80sec的成员疯狗在几年前发现过,某大型网站的主页读取COOKIE中的用户ID在网页中显示并没有进行HTML编码,导致一个XSS漏洞即可在主页中安装XSS Rookit。
当然还有更多的场景,在剑心的《web应用程序中的rootkit》也都有提过,XSS Rootkit的场景我就解读到这里了,更多的场景就留给大家思维发散了。
0×05 后话
至此我们用非持久型XSS漏洞完成了一次到XSS Rootkit的转变,再一次揭示了漏洞的场景有多么重要,深掘漏洞场景完成一次本质的升华是多么美妙的事情。
程序员需要重视程序安全的每一个细节,任何一个不起眼的漏洞都可能会造成意想不到的危害。
一些web漏洞扫描器报告中提示非持久型XSS漏洞标为高危漏洞,普遍存在争议的情况,可以根据本文做参考,对场景再深入挖掘来定义风险,那么本文最重要的目的也就达到了。
0×06 参考
跨站脚本漏洞导致的浏览器劫持攻击 http://www.80sec.com/browser-hijacking.html
web应用程序中的rootkit http://www.80sec.com/webapp-rootki.html
[80Sec]深掘XSS漏洞场景之XSS Rootkit的更多相关文章
- Atitit. Xss 漏洞的原理and应用xss木马
Atitit. Xss 漏洞的原理and应用xss木马 1. XSS漏洞1 2. XSS的用途2 2.1. 盗取cookie2 2.2. 刷新流量 刷分3 2.3. DOS 窃取隐私”.“假冒身份”. ...
- 快速找出网站中可能存在的XSS漏洞实践
笔者写了一些XSS漏洞的挖掘过程记录下来,方便自己也方便他人. 一.背景 在本篇文章当中会一permeate生态测试系统为例,笔者此前写过一篇文章当中笔者已经讲解如何安装permeate渗透测试系统, ...
- XSS漏洞学习笔记
XSS漏洞学习 简介 xss漏洞,英文名为cross site scripting. xss最大的特点就是能注入恶意的代码到用户浏览器的网页上,从而达到劫持用户会话的目的. 说白了就是想尽办法让你加载 ...
- 快速找出网站中可能存在的XSS漏洞实践(一)
一.背景 笔者最近在慕课录制了一套XSS跨站漏洞 加强Web安全视频教程,课程当中有讲到XSS的挖掘方式,所以在录制课程之前需要做大量实践案例,最近视频已经录制完成,准备将这些XSS漏洞的挖掘过程记录 ...
- 第六天实验详解——dedecms通过xss漏洞写马
第六天实验详解 **XSS跨站攻击的分类** XSS漏洞类型主要分为持久型和非持久型两种: 1. 非持久型XSS漏洞一般存在于URL参数中,需要访问黑客构造好的特定URL才能触发漏洞. 2. 持久型X ...
- Xss漏洞原理分析及简单的讲解
感觉百度百科 针对XSS的讲解,挺不错的,转载一下~ XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XS ...
- 漏洞重温之XSS(下)
XSS总结 XSS的可利用方式 1.在登录后才可以访问的页面插入xss代码,诱惑用户访问,便可直接偷取用户cookie,达到窃取用户身份信息的目的. 2.修改昵称,或个人身份信息.如果别的用户在登录状 ...
- 关于针对XSS漏洞攻击防范的一些思考
众所周知,XSS几乎在最常见.危害最大的WEB漏洞.针对这个危害,我们应该怎么防范呢. 下面简单说一下思路. 作者:轻轻的烟雾(z281099678) 一.XSS漏洞是什么 XSS漏洞网上的资料太多, ...
- 利用窗口引用漏洞和XSS漏洞实现浏览器劫持
==Ph4nt0m Security Team== Issue 0x03, Phile #0x05 of 0x07 |=----------------- ...
随机推荐
- python在windows下连接mysql数据库
一,安装MySQL-python python 连接mysql数据库需要 Python interface to Mysql包,包名为 MySQL-python ,PyPI上现在到了1.2.5版本.M ...
- 【JBPM4】任务节点-任务分配candidate-groups
此分组的意思是,该任务节点为多个人员,当其中之一完成后,流程就进入下一个节点. JPDL <?xml version="1.0" encoding="UTF-8&q ...
- 利用tengine的nginx_upstream_check_module来检测后端服务状态
nginx_upstream_check_module 是专门提供负载均衡器内节点的健康检查的外部模块,由淘宝的姚伟斌大神开发,通过它可以用来检测后端 realserver 的健康状态.如果后端 re ...
- 如何开启apache的PHP-FPM实例
PHP-FPM 作为 FastCGI 进程管理器而广为熟知,它是PHPFastCGI 实现的改进,带有更为有用的功能,用于处理高负载的服务器和网站.下面列出其中一些功能: 新功能 拥有具有优雅(gra ...
- Ubuntu下各种环境变量设置
1.用户目录下的 .bashrc 文件在用户主目录下,有一个 .bashrc 文件,编辑该文件:$gedit ~/.bashrc 在最后边加入需要设置变量的shell语句,例如:export PATH ...
- js中复制方法总结
js中有深拷贝和浅拷贝两种复制形式,下面总结一下常用方法,方便平时工作复习使用 一.浅拷贝 1.json对象浅拷贝 var newObj = JSON.parse(JSON.stringify( so ...
- 洛谷——P1618 三连击(升级版)
P1618 三连击(升级版) 题目描述 将1,2,…,9共9个数分成三组,分别组成三个三位数,且使这三个三位数的比例是A:B:C,试求出所有满足条件的三个三位数,若无解,输出“No!!!”. //感谢 ...
- Flask实战第49天:cms轮播图管理页面布局
新建cms_banners.html继承cms_base.html {% extends 'cms/cms_base.html' %} {% block title %} 轮播图管理-CMS管理系统 ...
- Flask实战第39天:完成前台注册界面
在template下创建目录front,该目录用于存放前台页面的所有模板 在front下创建登录模板 <!DOCTYPE html> <html lang="en" ...
- python itertools的使用(转)
1. chain的使用 import itertools listone = ['a','b','c'] listtwo = ['11','22','abc'] for item in itertoo ...