神刀安全网

如何使用XSSaminer工具在PHP源码中挖掘XSS漏洞

当想要在服务器的开source脚本代码中发掘跨站脚本漏洞时,使用静态分析方法可以使我们的分析过程变得更加简单并且自动化,另外,网上也可以找到许多相关的工具。

我近期发现了一种通过寻找共性pattern在PHPsource码中发掘跨站脚本漏洞的简单方法。该方法是使用一个名为 XSSaminer 的工具,该工具根据grep创建,并使用bash语言编写。

工具介绍

它首先会检查脚本参数:

if [ -z $1 ] then    echo -e "Usage:/n$0FILE/n$0 -r FOLDER"    exit else    f=$1 fi

代码分析:如果第一行的参数$1为空,就显示使用$0作为脚本名的用例并终止程序;否则,就将该参数分配给主函数中使用的f变量。

sources=(GET POST REQUEST "SERVER/['PHP""SERVER/['PATH_" "SERVER/['REQUEST_U") sinks=(echo die printprintfprint_rvar_dump)

接下来是带有不完整字符串的source和sink,之所以不完整,是因为它们只用于匹配。sink使用source,如果可以相互匹配(在没有任何过滤的情况下),我们就需要考虑是否有用户输入注入到已经生成的HTML代码中。

如果sink中使用了GET、POST或REQUEST全局变量,那么这很明显就是注入问题。但是SERVER有一些特殊的地方,假设输入以下网址(带有破坏HTML属性的注入):

http://domain/page.php/"><svg onload=alert(1)>

尽管上面只提到了三个SERVERsource,但是我们却可以在上述代码中找到四个SERVER,如下:

$_SERVER[‘PHP_SELF’] – returns the current URL decoded http://domain/page.php/"><svg onload=alert(1)> $_SERVER[‘PATH_TRANSLATED’] – returns file path on the system /var/www/html/page.php/"><svgonload=alert(1)> $_SERVER[‘PATH_INFO’] – returns info between page name and querystring (?) /"><svgonload=alert(1)> $_SERVER[‘REQUEST_URI’] – returns the current URL http://domain/page.php/"><svg onload=alert(1)>

最后一个,REQUEST_URI,没有将URL特殊字符解码成双引号(“)或小于号(<),但是由于浏览器使用这些已编码的字符创建请求,因此,这是一个隐患。但是它只应用在存储型XSS中,用于拦截和编辑浏览器请求(或使用其他HTTP客户端),或者在加载sink前在PHP代码的其他位置进行解码。

xssam(){         fori in ${sources[@]}         do                a=$(grep-in "/$_${i}" $f | grep -o "/$.*=" | sed "s/[]/?=//g" | sort -u)                  forj in ${sinks[@]}                do                        grep--color -in "${j}.*/$_${i}" $f                          fork in $a                        do                                grep--color -in "${j}.*$k" $f                        done                done         done }

Xssam 函数用于结合source和sink,通过前两个“for”循环找到直接的隐患位置,“a”变量用于获取接收不安全的全局值(source)的变量名称。借助第三个“for”循环实现一级的脚本变量追踪。

if [ $f != "-r" ] then         xssam else         for i in $(find $2 -type f -name "*.php")         do                echo "File: $i"                f=$i                xssam         done fi

在主代码中,这段脚本用于选择是单个文件调用xssam函数还是进入递归模式。该过程通过使用命令行中提供的带有-r选项(代替文件名)的文件夹($2)来满足另一个“for”循环中相同的函数调用。

用例:

./xssaminerFILE (单个文件) ./xssaminer-r FOLDER (递归模式, 文件夹中所有的.php文件)

XSSaminer 的主要目标是比较容易实现的XSS,而且经常会出现误报,但是它的LoC/result率是十分高的。

测试实例

如下截图为该工具对WordPress主题 Rational Lite 的测试结果:

如何使用XSSaminer工具在PHP源码中挖掘XSS漏洞

它在 2 个不同的文件中找到了 3 XSS 漏洞,但是第二个为误报,第一个得到确认:

如何使用XSSaminer工具在PHP源码中挖掘XSS漏洞

通过在整个模块文件中追踪存在漏洞的代码,发现当使用dismiss_id GET参数回调未认证的ajax操作时会弹出警告,一个0day漏洞出现了。

如何使用XSSaminer工具在PHP源码中挖掘XSS漏洞

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 如何使用XSSaminer工具在PHP源码中挖掘XSS漏洞

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址