函数劫持

时间 2019-11-18

标签函数劫持繁體版

原文原文链接

<!doctype html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>函数劫持</title>
    <script>
        var _eval = eval;
        eval = window.execScript = window.document.write = window.document.writeln = function(s){
            document.getElementById('output').value = s;
        }
    </script>
</head>
<body>
input:
<textarea id="input" cols="80" rows="10"></textarea>
<input type="button" onclick="javascript: _eval(document.getElementById('input').value);" value="decode" />
<br />
output:
<textarea id="output" cols="80" rows="10"></textarea>
</body>
</html>

http://www.xfocus.net/articles/200712/963.htmljavascript

1、概述

javascript函数劫持，也就是老外提到的javascript hijacking技术。最先仍是和剑心同窗讨论问题时偶然看到的一段代码，大概这样写的：

window.alert = function(s) {};

以为这种用法很巧妙新颖，和API Hook殊途同归，索性称之为javascript function hook，也就是函数劫持。经过替换js函数的实现来达到劫持这个函数调用的目的，一个完整的hook alert函数例子以下：


<script type="text/javascript">

</script>
<html>
<body>
<input type="button" onclick="javascript: alert('Hello World!')" value="test" />
</body>
</html>

搞过API Hook的同窗们看到这个代码必定会心的一笑，先保存原函数实现，而后替换为咱们本身的函数实现，添加咱们本身的处理逻辑后最终再调用原来的函数实现，这样这个alert函数就被咱们劫持了。原理很是简单，下面举些典型的应用来看看咱们能利用它来作些什么。

2、应用举例

1. 实现一个简易的javascript debugger，这里说是debugger比较标题党，其实只是有点相似于debugger的功能，主要利用js函数劫持来实现函数的break point，来看看个简单的例子：

<script type="text/javascript">

</script>
<html>
<head>
</head>
<body>
<script type="text/javascript">

</script>
</body>
</html>

经过js函数劫持中断函数执行，并显示参数和函数调用者代码，来看一个完整例子的效果：

>help
debug commands:

bp <function name> - set a breakpoint on a function, e.g. "bp window.alert".
bl - list all breakpoints.
bc <breakpoint number> - remove a breakpoint by specified number, e.g. "bc 0".
help - help information.

>bp window.alert
* breakpoint on function "window.alert" added successfully.

>bl
* 1 breakpoints:
0 - window.alert

>bc 0
* breakpoint on function "window.alert" deleted successfully.

这里演示设置断点，察看断点和删除断点，完整代码在本文附录[1]给出。

2. 设置陷阱实时捕捉跨站测试者，搞跨站的人总习惯用alert来确认是否存在跨站，若是你要监控是否有人在测试你的网站xss的话，能够在你要监控的页面里hook alert函数，记录alert调用状况：

<script type="text/javascript">

</script>

固然，你这个函数要加到页面的最开始，并且还要比较隐蔽一些，赫赫，你甚至可使alert不弹框或者弹个警告框，让测试者抓狂一把。

3. 实现DOM XSS自动化扫描，目前通常的XSS自动化扫描的方法是从http返回结果中搜索特征来肯定是否存在漏洞，可是这种方法不适用于扫描DOM XSS，由于DOM XSS是由客户端脚本形成的，好比前段时间剑心发现的google的跨站(见附录[2])原理以下：

document.write(document.location.hash);

这样的跨站没法反映在http response里，因此传统扫描方法无法扫描出来。可是若是你从上个例子里受到启发的话，必定会想到设置陷阱的办法，DOM XSS最终致使alert被执行，因此咱们hook alert函数设置陷阱，若是XSS成功则会去调用alert函数，触发咱们的陷阱记录结果，这样就能够实现DOM XSS的自动化扫描，陷阱代码相似于上面。

4. 灵活的使用js劫持辅助你的页面代码分析工做，好比分析网页木马时，常常会有经过eval或者document.write来进行加密的状况，因而咱们编写段hook eval和document.write的小工具，辅助解密：

<script type="text/javascript">

</script>
<html>
<body>
input:
<textarea id="input" cols="80" rows="10"></textarea>
<input type="button" onclick="javascript: _eval(document.getElementById('input').value);" value="decode" />
<br />
output:
<textarea id="output" cols="80" rows="10"></textarea>
</body>
</html>

在input框里输入加密的代码：

eval(unescape("%61%6C%65%72%74%28%31%29%3B"));

在output框里输出解码后的代码：

alert(1);

固然你还能想到更多的灵活应用：）

3、反劫持

谈到劫持也就必然要谈谈反劫持的话题，假设你要写一个健壮的xss playload，就须要考虑反劫持，有两个问题要解决：

如何判断是否被劫持了？
若是发现被劫持了，如何反劫持？

1. 判断某个函数是否被劫持，这个好办，写个小程序对比一下一个函数被hook先后，有什么差异：

<textarea id="tb1" cols="80" rows="8"></textarea>
<script type="text/javascript">
</script>

结果：

function eval() {
    [native code]
}

function(s) {
    alert(s);
    _eval(s);
}

咱们发现那些内置函数是[native code]，而自定义的则是具体的函数定义，用这个特征就能够简单的检测函数是否被劫持：

function checkHook(proc) {
    if (proc.toString().indexOf("[native code]") > 0) {
        return false;
    } else {
        return true;
    }
}

2. 如何反劫持，第一个想法就是恢复被劫持的函数，若是劫持的人把原函数保存在某个变量里那还好办，直接调用原函数就能够了，可是劫持者本身也没保存副本怎么办，只能本身建立个新的环境，而后用新环境里的干净的函数来恢复咱们这里被hook了的，怎么建立新环境？整个新的iframe好了，里面就是个全新的环境。ok，动手吧：

function unHook(proc) {
    var f = document.createElement("iframe");
    f.style.border = "0";
    f.style.width = "0";
    f.style.height = "0";
    document.body.appendChild(f);

    var d = f.contentWindow.document;
    d.write("<script type=\"text/javascript\">window.parent.escape = escape;<\/script>");
    d.close();
}

综合一、2节，整个测试代码以下：


<script type="text/javascript">

</script>
<html>
<body>
<input type="button" onclick="javascript: test();" value="test" />
<script type="text/javascript">

</script>
</body>
</html>

3. 不是上面两个问题都解决了么，为何要有第3节？由于那不是个最好的解决办法，既然咱们能够建立全新的iframe，何不把代码直接放到全新iframe里执行呢，这样作的话绿色环保，既不用考虑当前context里的hook问题，也不用改动当前context，不会影响自己的程序执行。给出两个比较通用点的函数：

function createIframe(w) {
    var d = w.document;
    var newIframe = d.createElement("iframe");
    newIframe.style.width = 0;
    newIframe.style.height = 0;
    d.body.appendChild(newIframe);
    newIframe.contentWindow.document.write("<html><body></body></html>");
    return newIframe;
}

function injectScriptIntoIframe(f, proc) {
    var d = f.contentWindow.document;
    var s = "<script>\n(" + proc.toString() + ")();\n</script>";
    d.write(s);
}

把你的payload封装进一个函数，而后调用这两个方法来在iframe里执行：

function payload() {
    // your code goes here
}

var f = createIframe(top);
injectScriptIntoIframe(f, payload);php