论一个冷门却有潜力的WEB攻击手法

Black-Hole (我12破处) | 2014-06-11 13:40

外部调用JS/CSS来实现WEB渗透

前言:大家都知道,现在入侵方法很多,比如SQL XSS CSRF 等等。而我今天要介绍的是一个比较冷门的渗透手法,准确的说,他不属于本站的安全漏洞,他的本身性质和旁站差不多。废话我也不多说了,直奔主题。

http://www.zj4000.com/是一个导航网站,非常安全,没有XSS CSRF SQL等等一系列的流行漏洞。难道就没有办法了么?!这时,可能会由很多人想到旁站、c段、服务器漏洞、端口爆破、可如果,旁站只有一个 也是导航网站。c段 对方做了限制,无法嗅探/arp到目标服务器上。没有服务器漏洞。爆破不开密码。你怎么办?!如果现实真的是这样的话,我相信会有很多绝望了,换个网站 继续玩。

其实 还有一种方法。这种方法目前为止没有统一的叫法,只能根据这种攻击手法来定名字"外部调用JS/CSS来实现WEB渗透"。简说就是"外调J/C"。 从字面上大家也可以猜出来,这是种什么攻击手法。名字里的"外调"不是从目标网站上插入新的J/C。而是在目标网站上找到不是本站的J/C。然后渗透那个网站,重写J/C。来达到渗透目标网站。

可是要怎么找到非本站的J/C呢?!不要担心,已经有人 写出代码了,获取非本站的J/C。

for(var i=0,tags=document.querySelectorAll('iframe[src],frame[src],script[src],link[rel=stylesheet],object[data],embed[src]'),tag;tag=tags[i];i++){
    var a = document.createElement('a');
    a.href = tag.src||tag.href||tag.data;
    if(a.hostname!=location.hostname){
        console.warn(location.hostname+' 发现第三方资源['+tag.localName+']:'+a.href);
    }
}

有个www.xss8.pw的网站,他调用了这个网站的js

从中,我们可以看到,有个www.xss8.pw的网站,他调用了这个网站的js。那么我就渗透他试试,20分钟后.......好了,渗透完了。我们现在来重写JS,现在我们先测试下能不能用,我先在1.js里写上alert('xss');

我先在1.js里写上alert('xss');

现在,我们再来看看http://www.zj4000.com/怎么样了。

已经被成功调用了

看来,已经被成功调用了。我这里没有用css来说,因为js比较规范点,而且用css来实现我这上面的功能,我相信大家都会了,不需要我再多说什么了。

现在你哦已经掌握了一个可随时变化的存蓄xss,我们可以自己写个脚本,来获取目标的cookies。

这些我就不说了,我只是把这门冷门但是比较有潜力的攻击手法和大家说下。这个攻击手法比较有局限性,只要网站有着可以实现攻击环境, 那么的危害将会非常大。最后,我在说一下,其实SWF也可以实现上面的功能。而且SWF可以完成更好的攻击手法,XSF可以像JS一样运行。

ps:代码是长短短写得。这个攻击手法乌云有过实例,但是很少有人提及过这个漏洞,我就把这种攻击手法说出来了,小弟不才,只能写成这样,欢迎补充。

[原文地址]

各种吐槽:

1#

小威 (呵呵复呵呵,女神敲回车!) | 2014-06-11 13:44

GOOD jb

2#

包子哥 | 2014-06-11 13:50

隔山打牛么···

3#

F1n9er (///////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////) | 2014-06-11 13:55

mark

4#

liyang (<script>alert("xss")</script>) | 2014-06-11 14:12

想当年工商银行就这样被莫名其妙的被挂马了~~

5#

随随意意 | 2014-06-11 14:18

实例在哪儿呢

6#

随随意意 | 2014-06-11 14:21

实例在哪儿呢

7#

Finger (Save water. Shower with your girlfriend.) | 2014-06-11 14:48

第三方安全威胁

8#

cnrstar (Be My Personal Best!) | 2014-06-11 14:51

不错,mark

9#

0x_Jin (世上人多心不齐) | 2014-06-11 14:57

。。。。。。。。。。。照这样说 如果jquery 被日了的话。。。 那cookie一大堆啊。。。。

10#

px1624 (aaaaaaaaa) | 2014-06-11 15:18

www.xss8.pw 貌似是一个接收cookie的xss平台吧。。

11#

Black-Hole (我12破处) | 2014-06-11 15:42

@px1624 那是我的网站。。

12#

卡卡 | 2014-06-11 15:44

很不错的一个思路,猥琐的短短~

13#

小森森 | 2014-06-11 16:12

哇……看起来好猥琐

14#

小森森 | 2014-06-11 16:12

@0x_Jin 那得是google cdn或其他cdn上的jquery吧……

15#

lucky (一天一洞) | 2014-06-11 16:27

我是如何黑掉网易首页的

16#

SinCoder (fuck sec) | 2014-06-11 17:55

很久以前的一个挂马思路 ~楼主重新发现了下

17#

包包 | 2014-06-11 17:55

good job

18#

px1624 (aaaaaaaaa) | 2014-06-11 20:21

@Black-Hole 。。。那你这也就只是yy了,这种一般大公司调用的js都是百度谷歌的,你去先把他们黑掉吧。。

19#

Black-Hole (我12破处) | 2014-06-11 20:23

@px1624 我这里只是为了更好的说明这个漏洞的利用过程。

20#

迦南 (我不是玩黑,我就是认真) | 2014-06-11 20:40

这个思路碉堡了

21#

乌帽子 (和狗咬在一起的,终究还是狗!) | 2014-06-11 22:53

cdn外站js求渗透

22#

x0ers (第一个知道牛奶能喝的人都对奶牛做了些什么?) | 2014-06-12 00:18

思路很棒啊

23#

3King | 2014-06-12 00:26

@随随意意 http://wooyun.org/bugs/wooyun-2010-020422 请参考这里。

24#

随随意意 | 2014-06-12 02:05

@3King 谢了

25#

mramydnei | 2014-06-12 07:05

也不是不可能啊,前阵子hm.baidu.com被偷偷的替换过一次 导致我打开乌云就各种弹……

小伙伴都不屑的说,是你被黑了吧。结果我让小伙伴挂上国外的vpn再试试

预料之中的事情,他也弹了……

26#

核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2014-06-12 08:56

很久很久以前了,有网易首页被黑、还有工商银行被挂马,都是这种方法,调用了三方不可信站点的文件。

留言评论(旧系统):

佚名 @ 2014-06-12 19:37:20

旁注? 话说站长的favicon是不是来自于电影《the core》(地心末日)?

本站回复:

是的,地心末日的老鼠头像+黑客帝国背景。

佚名 @ 2014-06-13 16:56:37

原来这种方法叫 “调用j/c ”? 以前走投无路一直用的就是这种方法。。。 而且还用这种方法留后门。现在已经习惯留js后门了。 而且这种方法也是早好多好多年的了,是看的是很久以前的一个留后门的视频学习到的。而且还一直以为这个方法是过时的技术…… 是我太out了?还是太先进了?

本站回复:

很老的一个技巧啦,只是最近有人又翻出来了,使用场景有限,而且也只能操作下前台,略鸡肋。

佚名 @ 2014-06-15 19:33:09

这个思路好啊。。

本站回复:

比较淫荡