Ourren

关注技术,记录生活.

跨站测试与利用中的绕过技术

| 留言

1.1 bypass Char

通常有安全意识的程序员往往会对输入进行一定的过滤,比较常见的是针对某一关键符号进行过滤,比如“<”或者“>”,这种方式很多时候是无法防止攻击的,更安全的方式是通过编程语言提供的函数在输出的时候进行过滤。

本节主要针对单字符过滤进行研究,分为引号、尖括号、括号这三个符号进行研究。

1.1.1 引号

在跨站测试中很多的vector(即攻击向量)本身是不包含引号的,例如下面的一些vector。但是在利用中经常需要使用引号,如果对引号进行了过滤,可以采取如下措施进行绕过。 [code lang=“javascript”] vector:

<iframe/onload=alert(/ourren_demo/)>

ourren_demo here.

[/code] 1)String.fromCharCode

fromCharCode可以对利用代码中的引号进行编码处理,但是需要利用eval函数结合进行使用,例如: [code lang=“javascript”] —–> [/code] 2)location.hash

将带有引号的内容放在location.hash中,其实这个也可以突破跨站长度的控制。 [code lang=“javascript”] #alert(‘a’)[/code]

1.1.2 尖括号

通常程序员为了偷懒都只会过滤尖括号,因此尖括号在跨站过滤中遇到情况最多。一般情况下如果输入没有显示在其他标签里,那么基本上是没有办法进行攻击的,但是如果是输出到其他标签里,则可以结合上下标签进行如下测试:

1)事件函数

常用的一些事件函数有:onerror、onmouseover、onload等(同时可以关注下HTML5新标签),需要的时候可以对JavaScript的事件函数进行fuzz。 [code lang=“javascript”]

ourren_demo here.

[/code]

2)style与expression

通过标签的style样式进行跨站(测试中只有IE成功,同时还得考虑filter问题)。 [code lang=“javascript”]

[/code]

3) JavaScript伪协议

JavaScript伪协议进行绕过。

[code lang=“javascript”] (仅IE) [/code]

1.1.3 括号

如果测试中发现括号被过滤了,或者无法注入括号,可以进行如下测试:

1)外部文件

通过src引入外部文件,而利用代码放在外部文件中(其中外部文件的后缀可以不为js)。

[code lang=“javascript”] [/code]

2)hex、dec编码

利用十六进制与十进制进行编码。

[code lang=“javascript”]

xsser
[/code]

1.2 bypass filter

针对跨站问题日益严重,浏览器厂商从自身浏览器安全出发推出了各自的跨站过滤器。但是这类过滤器基本上只支持反射型跨站,其他类型跨站基本不受影响。

各种浏览器采用的防御机制各不相同。反射型跨站防御方面:Firefox基本没什么防御,而IE和chrome都有各自的防御机制,并且都很难绕过,这里主要总结下现有的一些可以绕过机制。

1.2.1 IE Filter

IE从IE7就支持XSS Filter,其整体架构可见参考文献1,正则匹配部分可以参见文献2。实际处理步骤可分为三步:首先对IE进行启发式过滤(heuristic filters,正则匹配);如果在HTTP请求中匹配到这些特征,那么就做一个动态签名(create dynamic signature);如果在HTTP响应中有原来的签名,那么就进行替换修改(neuter response)。在IE全补丁下进行测试,现有公布的绕过技术基本上很少,先总结如下:

1

针对普通的反射型跨站,可以利用A标签和“sc%0aript”实现绕过,不过需要用户交互,这里需要美工师咯。其实原理是页面输出后这两个页面属于同一域,因此不会产生过滤。如果href里面的地址是不同域就会产生过滤。

[code lang=“javascript”] alert(/ourren_demo/)”>

[/code]

2)utf7

通过UTF7-BOM实现注入代码,全补丁情况下只有当header里编码为utf-7才能成功,可以参考文献3。

[code lang=“javascript”] %2BACIAPgA8-script%2BAD4-alert%28/ourren_demo/%29%2BADw-%2Fscript%2BAD4APAAi-&oe=Windows-31J [/code]

3) Flash

www.B.com域名下用iframe嵌入www.A.com的flash XSS文件。当受害者打开了www.B.com的域名时,我们可以成功获取其在www.A.com的cookies数据,参见文献8。

测试代码如下(IE):

[code lang=“javascript”] <iframe/src=“http://data.house.sina.com.cn/images/price_trend/open-flash-chart.swf?get-data= (function(){location.href=%22javascript:‘’%22})()”> [/code]

在chrome中,可能会导致浏览器崩溃,可以改用以下代码。

[code lang=“javascript”] <iframe/src=“http://data.house.sina.com.cn/images/price_trend/open-flash-chart.swf?get-data= (function(){alert(document.cookie)})()”> [/code]

1.2.2 chrome filter

chrome浏览器针对xss过滤规则跟IE有比较大的区别,不同版本的chrome测试也会不同,现有的资料可以参考文献4、5。

1)  data协议

[code lang=“javascript”] ?vuln=click //会拦截 –>转换成 click //bypass ?vuln=click ->OK [/code]

1.3 bypass richtext

富文本常见类别有留言,日志或者邮件等。与一般的跨站相比它可以使用现有的标签进行测试分析。一般过滤机制分为两种:黑名单、白名单,这两类机制实质都是基于正则匹配进行过滤,因此在测试过程中需要对比输入和输出,然后进行针对性变化。

常见测试流程:输入常见标签和事件——>是否有存在的标签没有过滤——->变形或者分析其属性

标签:object, applet, base, link, meta, import, embed, vmlframe, iframe, script, style, isindex, formtextarea

字符:javascript:, vbscript:

事件:onload,onerror,on*

1.3.1 绕过规则

本小节将一些常见的一些变化规则进行了归类,实际测试中结合多种方式进行组合测试。

 1)未递归过滤

很多富文本过滤都是针对关键字过滤,但是没有进行递归过滤,导致过滤后的结果重新组成新的标签,例如:

[code lang=“javascript”] <ifra