xss利用——BeEF#stage3(绕过同源策略与浏览器代理)

?绕过同源策略

正式进入攻击阶段。因为SOP(同源策略)的存在,BeEF只能对被勾子钩住的页面所在域进行操作。如果有办法绕过SOP,那么无疑会使攻击面放大。

绕过SOP可从两方面入手。第一个是从浏览器本身和插件的漏洞入手,一些旧版的浏览器曾被发现有绕过SOP的漏洞,旧版的插件也有类似的情况(JAVA,Adobe Flash等)。由于笔者自身能力限制,无法介绍这一方面的相关内容,读者可以自行查阅相关信息。第二个是Web的开发者错误的设置导致,下面介绍这一方面。

SOP与DOM[表单访问]

js或其它协议访问DOM时,也是需要遵守SOP。但是有时候子域之间需要相互访问,比如要login.site的代码访问admin.site中的表单。那么开发人员可以通过设置document.domain属性来达到目的。以login.site和admin.site来举个例子。为了使login.site访问admin.site的表单,那么开发人员会在admin.site的页面中加入:

document.domian = "site"

admin.site页面有了这一句js语句,那么site下所有页面的js都可以访问admin.site页面的DOM了。如果test.site中有XSS漏洞,那么攻击者可以使用BeEF钩住它,然后接着来攻击admin.site。这样不经意之间就会放宽了SOP,扩大了BeEF的攻击面了。

SOP与CORS[资源访问]

还记得上一章提过的跨域资源共享( CORS)吗?跨站请求可以正常发起,但是因为SOP的缘故,返回结果会被浏览器拦截。CORS机制允许进行跨域访问。如果开发者设置错误,这也会使BeEF的攻击面扩大。举个例子,为了使user.site访问login.site的资源,开发人员可能会在login.site的服务器设置返回以下响应首部:

Access-Control-Allow-Origin: *.site
Access-Control-Allow-Methods: OPTIONS, GET, POST

因为有上面的首部,所以会导致site下的所有子域都可以访问login.site的资源(浏览器不会拦截)。如果test.site中有XSS漏洞,那么攻击者可以使用BeEF钩住它,然后接着来攻击login.site。这样不经意之间就会放宽了SOP,扩大了BeEF的攻击面了。

?Tunneling Proxy

简单来说Tuneling Proxy是把被钩住的浏览器作为一个代理,这项技术也被叫做浏览器代理。下面给出原理图:

1. 攻击者向Hook-domain主页向隧道代理发送一个GET请求。

2. 隧道代理接收到请求后,它解析收到的HTTP请求,将其转换成AJAX请求,然后通过上一章说介绍的通信技术(XMLHttpRequest或WebSocket)将该请求插入被勾连的浏览器要执行的后续JavaScript代码中。

3. 被勾连的浏览器接收到数据后,会向Hook-domain的主页发出一个AJAX请求。由于是浏览器发出的请求,所以它会带上Hook-domain的Cookie一起发送。

4. Hooke-domain接到被勾连的浏览器的请求后,返会HTTP响应。响应的内容会被勾子截取,直接发送回给代理隧道。所以响应的内容不会在被勾连的浏览器中显示。

5.响应的内容从被勾连的浏览器发送给代理隧道。

6.响应被发送回攻击者这里。

上面就是浏览器代理的基本原理,实际的过程要复杂的多(主要是转换成ajax请求的过程要复杂些),单单看原理可能很难理解它究竟有什么作用。笔者强烈推荐读者实际操作一次。

 

实际操作

前提:主机浏览器和虚拟机浏览器不会交流数据。

主机浏览器登录user.lywww,注入钩子后BeEF开启开启Use as proxy

 

 

 

 

 

 

 
















 

转载于:.html

xss利用——BeEF#stage3(绕过同源策略与浏览器代理)

?绕过同源策略

正式进入攻击阶段。因为SOP(同源策略)的存在,BeEF只能对被勾子钩住的页面所在域进行操作。如果有办法绕过SOP,那么无疑会使攻击面放大。

绕过SOP可从两方面入手。第一个是从浏览器本身和插件的漏洞入手,一些旧版的浏览器曾被发现有绕过SOP的漏洞,旧版的插件也有类似的情况(JAVA,Adobe Flash等)。由于笔者自身能力限制,无法介绍这一方面的相关内容,读者可以自行查阅相关信息。第二个是Web的开发者错误的设置导致,下面介绍这一方面。

SOP与DOM[表单访问]

js或其它协议访问DOM时,也是需要遵守SOP。但是有时候子域之间需要相互访问,比如要login.site的代码访问admin.site中的表单。那么开发人员可以通过设置document.domain属性来达到目的。以login.site和admin.site来举个例子。为了使login.site访问admin.site的表单,那么开发人员会在admin.site的页面中加入:

document.domian = "site"

admin.site页面有了这一句js语句,那么site下所有页面的js都可以访问admin.site页面的DOM了。如果test.site中有XSS漏洞,那么攻击者可以使用BeEF钩住它,然后接着来攻击admin.site。这样不经意之间就会放宽了SOP,扩大了BeEF的攻击面了。

SOP与CORS[资源访问]

还记得上一章提过的跨域资源共享( CORS)吗?跨站请求可以正常发起,但是因为SOP的缘故,返回结果会被浏览器拦截。CORS机制允许进行跨域访问。如果开发者设置错误,这也会使BeEF的攻击面扩大。举个例子,为了使user.site访问login.site的资源,开发人员可能会在login.site的服务器设置返回以下响应首部:

Access-Control-Allow-Origin: *.site
Access-Control-Allow-Methods: OPTIONS, GET, POST

因为有上面的首部,所以会导致site下的所有子域都可以访问login.site的资源(浏览器不会拦截)。如果test.site中有XSS漏洞,那么攻击者可以使用BeEF钩住它,然后接着来攻击login.site。这样不经意之间就会放宽了SOP,扩大了BeEF的攻击面了。

?Tunneling Proxy

简单来说Tuneling Proxy是把被钩住的浏览器作为一个代理,这项技术也被叫做浏览器代理。下面给出原理图:

1. 攻击者向Hook-domain主页向隧道代理发送一个GET请求。

2. 隧道代理接收到请求后,它解析收到的HTTP请求,将其转换成AJAX请求,然后通过上一章说介绍的通信技术(XMLHttpRequest或WebSocket)将该请求插入被勾连的浏览器要执行的后续JavaScript代码中。

3. 被勾连的浏览器接收到数据后,会向Hook-domain的主页发出一个AJAX请求。由于是浏览器发出的请求,所以它会带上Hook-domain的Cookie一起发送。

4. Hooke-domain接到被勾连的浏览器的请求后,返会HTTP响应。响应的内容会被勾子截取,直接发送回给代理隧道。所以响应的内容不会在被勾连的浏览器中显示。

5.响应的内容从被勾连的浏览器发送给代理隧道。

6.响应被发送回攻击者这里。

上面就是浏览器代理的基本原理,实际的过程要复杂的多(主要是转换成ajax请求的过程要复杂些),单单看原理可能很难理解它究竟有什么作用。笔者强烈推荐读者实际操作一次。

 

实际操作

前提:主机浏览器和虚拟机浏览器不会交流数据。

主机浏览器登录user.lywww,注入钩子后BeEF开启开启Use as proxy

 

 

 

 

 

 

 
















 

转载于:.html