[深入学习Web安全] 深入利用XSS漏洞
前言
从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下How To Exploit XSS。
浅析XSS利用技术
XSS能干什么?
在我们学习XSS的利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:
· 篡改页面,修改页面内容
· 网络钓鱼
· 盗取用户Cookie
· 劫持用户(浏览器)会话
· 挂广告,刷流量
· DDoS
· 网页挂马
· 获取客户端信息(例如UA,IP,开放端口)
· 传播XSS Worm
……
这些都是XSS能够做到的(当然,有些也受制与XSS存在的环境)。
Cookie是什么?
我们在进一步学习XSS之前,我们先来了解下浏览器Cookie是什么。我们要说Cookie就得先谈到HTTP协议,我们先来想想C/S架构的程序,通常都是Client端链接Server端,通讯完成后就断开连接。
但是HTTP协议不同,他的客户端是浏览器,每次发送HTTP请求和接收HTTP响应就是一次通讯,每次都是一个请求和一个响应,也就是发送请求到结束请求就是通讯过程,完了就断开了。
那么,我们知道,有很多Web程序都是有登录功能的,也就是有用户身份识别功能。但是,每次一请求一响应,就结束了,网站怎么管理用户会话呢?网站如何认证用户呢?
正是利用这个Cookie来验证的,每次浏览器发起HTTP请求就会带上Cookie头,而Cookie则是有每次响应的set-cookie来设置的。
我们总结一下上面讲的,简练的说就是:HTTP连接是无状态连接,所以得使用Cookie来验证用户身份。
我们在Chrome浏览器上可以使用如下方法查看我们在网站上的Cookie:
1.访问“chrome://settings/”:
2.最底下有个"显示高级设置...",点一下:
3.有个“隐私设置”:
4.标题下面有个“内容设置”按钮,我们点一下:
5.我们点击“所有Cookie和网站数据...”按钮,我们就能看到,我们在所有网站上的Cookie了:
Cookie呢,是以Key=Value的形式存在的,就和下图一样:
我们每次访问某个域的时候,浏览器就会吧我们在这个域的Cookie写在访问这个域的HTTP请求的Cookie头里。而某个域想要给我们设置Cookie的时候就需要在HTTP响应里的set-cookie头里写。
PHP如何设置Cookie
我们先启动apache2服务,然后到Web根目录,创建一个cookietest.php文件,代码如下:
然后用浏览器访问这个页面:
然后在页面中右键-审查元素:
在横栏上找到Network,然后刷新页面,发现Network下面出现了一个HTTP请求:
点击一下那个请求:
可以看到横栏里有个Cookies,点一下:
我们就能看到HTTP请求时带的Cookie和HTTP响应了设置的Cookie了。
JS操作Cookie
接下来,我们还得学习一个小知识,用JS操作Cookie,嘿嘿。首先,我们得知道一个document的属性cookie,我们先创建一个HTML文件,写入如下代码:
然后用浏览器打开这个页面:
可以看到,当前Cookie为空,我们修改刚才的代码如下:
我们再来访问页面:
可以看到设置成功了,但是这样的Cookie并不标准,后端也不能直接操作,还得专门编写处理这种特殊“Cookie”的函数,所以,我们来看一个JS设置Cookie的函数:
我们可以看到,这个setCookie()函数并不复杂,首先传入一个c_name,其实就是CookieName,和对应值,最后是过期天数(每个Cookie都是存在生命周期的,在生命周期之内的Cookie才可用)。
利用HTML代码发起HTTP请求(重点)
接下来,我们就要来说这篇paper的重点部分了,如何利用HTML代码来发起HTTP请求,请大家准备好,我们即刻开始,首先我们创建一个HTML文件,就叫“htmlRequest.html”吧,代码如下:
我们访问该页面,并且打卡审查元素的Network,然后刷新,如下图:
我们可以看到,我们利用src属性发起了两个GET请求,分别是www.xxx.com和[url=www.yyy.com]www.yyy.com[/url]。那么POST请求呢?(这个可能XSS用不到,但是CSRF一定会用到,而且是CSRF的重点),我们修改HTML代码为:
我们还是一样的,访问页面,Network,刷新页面,如下:
我们可以看到,是成功的提交了test-1&test=2到www.xxx.com/test的,这个POST请求也是成功的。
盗取Cookie的XSS-ShellCode的编写与利用
我们,接着来学习XSS-ShellCode的编写与利用,首先,例如我们有一个VPS,在Web跟目录创建一个stealCookie.php和一个showData.php,我们来构思一下,首先,我们对这两个程序做一下需求分析:
stealCookie.php:我们的目的是程序可以接收GET参数location和cookie,并将其保存到数据库中。showData.php:我们的目的是输出数据库中存储的location和cookie。
所以,我们写这个程序之前最重要的就是先把存储数据的表搞好,于是我在mysql里创建了一个xss数据库,在该库中创建了一个data表,data表里有location和cookie列。
接着,我们来编写stealCookie程序,首先,要获取GET参数,我们就得使用超全数组GET[参数名],如下:
然后,我们链接数据库,并存储数据:
我们来测试一下,传入location=ichunqiu.com&cookie=abcdefg,尝试如下:
我们到数据库去查看,如下:
可以看到,已经成功的插入了,接着就是编写showData程序了,首先呢,肯定要链接数据库,选择xss库(对了大家有没注意到一个细节,我们编写的stealCookie是存在SQL注射漏洞的,嘿嘿)。
接着我们进行查询数据,然后使用mysql_fetch_array()函数将查询结果转换成数组,然后输出就行了:
我们访问来看下效果:
接着,我们来说构造Exploit来盗取Cookie。首先,我们先来专门写个测试Demo,就叫demo.php,代码如下:
我们用Firefox来测试,如下
接着,我们得写成script标签的src属性加载一个js,然后实现读取cookie和location,然后发给stealCookie,嘿嘿(当然,现实生活中还有一道墙,同源策略,阿西吧,这里使用反射型XSS演示,完全是因为好演示些,啊西吧)
然后,由于我们要测试盗取Cookie,那没有Cookie怎么行,所以修改demo.php代码为:
我们在XSS目录下在建一个app.js,代码的话,如下:
我们访问如下URL:”http://localhost/xss/demo.php?xss=%3Cscript%20src=%22app.js%22%3E%3C/script%3E“:
可以看到,只是加载了一张图片,但是,我们回数据库一看:
可以看到,我们成功的盗取了用户的Cookie。好了,这篇paper就到这里了,希望大家继续支持深入学习Web安全系列文章!
本文转自:i春秋社区
本文地址:http://bbs.ichunqiu.com/thread-10648-1-1.html?from=jbzj