2. 程式人生 > >Rootkit XSS 之 Cookie

Rootkit XSS 之 Cookie

阿新 發佈:2018-09-22
代碼 設置 script 允許 get 時間戳 www innerhtml user

0x00 XSS Rootkit介紹

Rootkit概念: 一種特殊的惡意軟件
類型: 常見為木馬、後門等
特點: 隱蔽 持久控制

談到XSS,一般都是想到反射型、存儲型及dom xss,腦海中往往就是點擊鏈接然後彈窗的形式,這次學習的是ROORKIT XSS(持久化XSS),就是通過某些手段嵌入一些js代碼,從而獲取一個持久控制瀏覽器客戶端的“Rootkit”的一種攻擊。下面是Roorkit XSS的思維導圖

技術分享圖片

0x01 利用點-網站用戶信息

思維導圖中列舉了一些,如個性簽名、用戶名、昵稱等,主要就是網站本身展示的信息,這個其實跟存儲型XSS很類似

這塊就不詳細講了,挖掘方式跟存儲型XSS一樣

0x02 Cookie

有時我們會將信息保存在cookie中,使用document.cookit獲取信息再輸出在頁面中,

如果沒有做安全輸出的話,就會存在Rootkit XSS,因為cookie是保存在客戶端的,有失效時間,當然如果我們能控制添加,那就可以控制這個失效時間了

0x02.1 Cookie學習

Cookie是由服務器生成的,通過響應返回給客戶端,保存在某個目錄下,後面發往該服務器的請求都會攜帶此Cookie;

而Cookie是存儲什麽信息的呢,又是起到什麽作用的呢?

主要是HTTP協議是無狀態的,而業務是需要狀態的,要判斷此次請求是屬於誰的,才能記錄客戶端的行為和數據,換句話說就是維持會話的,當然也是可以存儲其他信息的。

Cookie的處理分為:

1)服務器向客戶端發送cookie

2)瀏覽器將cookie保存

3)之後每次http請求瀏覽器都會將cookie發送給服務器端

Cookie的主要構成如下

name:一個唯一確定的cookie名稱。通常來講cookie的名稱是不區分大小寫的。

value:存儲在cookie中的字符串值。最好為cookie的name和value進行url編碼

domain:cookie對於哪個域是有效的。所有向該域發送的請求中都會包含這個cookie信息。這個值可以包含子域(如:

yq.aliyun.com),也可以不包含它(如:.aliyun.com,則對於aliyun.com的所有子域都有效).

path: 表示這個cookie影響到的路徑,瀏覽器跟會根據這項配置,像指定域中匹配的路徑發送cookie。

expires:失效時間,表示cookie何時應該被刪除的時間戳(也就是,何時應該停止向服務器發送這個cookie)。如果不設置這個時間戳,瀏覽器會在頁面關閉時即將刪除所有cookie;不過也可以自己設置刪除時間。這個值是GMT時間格式,如果客戶端和服務器端時間不一致,使用expires就會存在偏差。

max-age: 與expires作用相同,用來告訴瀏覽器此cookie多久過期(單位是秒),而不是一個固定的時間點。正常情況下,max-age的優先級高於expires。

HttpOnly: 告知瀏覽器不允許通過腳本document.cookie去更改這個值,同樣這個值在document.cookie中也不可見。但在http請求中仍然會攜帶這個cookie。註意這個值雖然在腳本中不可獲取,但仍然在瀏覽器安裝目錄中以文件形式存在。這項設置通常在服務器端設置。

secure: 安全標誌,指定後,只有在使用SSL鏈接時候才能發送到服務器,如果是http鏈接則不會傳遞該信息。就算設置了secure 屬性也並不代表他人不能看到你機器本地保存的 cookie 信息,所以不要把重要信息放cookie就對了服務器端設置

0x03 Cookie持久化XSS原理

Rootkit XSS主要是利用了下面兩點:

1、Cookie可以設置過期時間保存在客戶端,只要客戶端不主動清理cookie

2、發往該服務器的請求都會攜帶屬於此服務器的Cookie

如果前端使用cookie數據在頁面展示,可以利用XSS或者CSRF等漏洞成功設置惡意Cookie內容,就能夠構造可持續的XSS攻擊。

這裏寫了個簡單的業務:

<html>
<head>
    <title>Rootkit XSS for Cookie</title>
</head>
<body>

<h1 id=‘id‘></h1>
    
</body>
<script type="text/javascript">
var user = location.hash.split("#")[1];
var cookies = document.cookie.split("; ");
for (index in cookies){
    var cookie = cookies[index];
    if(cookie.indexOf(user) == 0){
        //cookie的名字hack加= 一共5個字符
        var data = cookie.substring(5);
        console.log(data);
        document.getElementById("id").innerHTML=data;
        break;
    }
}

</script>

</html>

將cookie中的信息展示到<h1>標簽中

構造cookie如下:

技術分享圖片

訪問:http://localhost/rootkit.php#hack

技術分享圖片

彈窗了,只要不清理cookie,什麽時候訪問都會觸發這個XSS

參考資料:

https://blog.csdn.net/zhangquan_zone/article/details/77627899

https://www.jb51.net/article/86598.htm?pc

Rootkit XSS 之 Cookie

相關推薦

Rootkit XSS Cookie

代碼 設置 script 允許 get 時間戳 www innerhtml user 0x00 XSS Rootkit介紹 Rootkit概念: 一種特殊的惡意軟件 類型: 常見為木馬、後門等 特點: 隱蔽 持久控制 談到XSS,

Djangocookie

col import 參數 *args 安全 closed 用戶 isp salt 前言 HTTP協議 是短連接、且狀態的,所以在客戶端向服務端發起請求後,服務端在響應頭 加入cokie響應給瀏覽器,以此客戶端的狀態; cook是來自服務端,保存在瀏覽器的鍵值對,主要應用於

Djangocookie和session

name resp wrap sign ide 服務端 rgs err response 一、cookie 保存在客戶端瀏覽器上的鍵值對 1.獲取cookie 1 request.COOKIES[‘key‘] 2 request.get_signed_cookie(key

Django框架基礎COOKIE

display 裝飾器 根路徑 wsgi and close 方式 signed span cookie: a. 保存在瀏覽器端“鍵值對” b. 服務端可以向用戶瀏覽器端寫cookie c. 客戶端每次方請求時,會攜

Django基礎學習Cookie 和 Sessions 應用

ima ges disco ttr 實現 保存 urn 傳遞 nwr 在Django裏面,使用Cookie和Session看起來好像是一樣的,使用的方式都是request.COOKIES[XXX]和request.session[XXX],其中XXX是您想要取得的東西的ke

Django會話cookie

http ron cookie none != delet failed resp blog In views.py 1 def login(request): 2 context={} 3 if request.method==‘GET‘: 4

postman的巨坑 cookie

觀察 cookie 配置 相關配置 後端 檢查 編輯 請求 排除 問題描述:一個後端接口,該接口需要校驗登錄態,登錄態通過cookie中的一個傳參k判斷。在保證登錄的前提下,調用機器A上的接口一直報“用戶未登錄”,調機器B上就沒問題,於是開始排查問題

6.Python爬蟲入門六Cookie的使用

expires cookielib spa result hat 即使 card rec 其他 大家好哈,上一節我們研究了一下爬蟲的異常處理問題,那麽接下來我們一起來看一下Cookie的使用。 為什麽要使用Cookie呢? Cookie,指某些網站為了辨別用戶身份、進行se

phpcookie

phpcookieCookie介紹: Cookie是瀏覽用戶訪問某些網站時、web服務器在客戶端寫入的一些小文件、換句話說就是Cookie是存放在客戶端的內存或磁盤裏.Cookie可以記錄用戶瀏覽的個人信息、像用戶訪問網站時間、做過哪些事、購物車內有商品變動等、這樣、用戶下次再訪問網站時、就可以直接從

asp.netcookie

color quest div 獲取cookie cnblogs tpc .net http 創建cookie 1.創建cookie HttpCookie userCookie = new HttpCookie("userInfo"); userCookie["name"

ASP.NET頁面之間傳值的方式Cookie(個人整理)

無意中 etime linq 首選項 ner www. ati 訪問 net   Cookie Cookie 提供了一種在 Web 應用程序中存儲用戶特定信息的方法。例如,當用戶訪問您的站點時,您可以使用 Cookie 存儲用戶首選項或其他信息。當該用戶再次訪問您的網站時,

XSS

com xss load left isp images img right block 1. svg/onload 和 svg onload 有什麽區別 2. IE6以下才可以用 3. 雙引號為什麽解析成下面的樣子 4.單引號為什麽解析成下面的樣子

Djangocookie驗證

es2017 太多的 解決 不想 方便 登錄 圖書管理 log 發現 先不用太多的蚊子描述什麽是cookie,先做一個小實驗: 此時我們在谷歌瀏覽器(一個客戶端)和IE瀏覽器(另一個用戶)測試: 刺客我們發現在兩臺瀏覽器都可以訪問,而且不用進入login驗證就可以登錄,

node學習cookie和session

沒有 需要 target ssi exp encode 刪除cookie defined 分享 c什麽是cookie Cookie設計的初衷是 維持瀏覽器和服務端的狀態。http是無狀態的,服務端不能跟蹤客戶端的狀態。 瀏覽器第一次向服務器發送請求,服務器會返回一個coo

djangocookie、session和ajax

length clean 投票 console 默認值 設置 什麽 save pre 1 Cookie cookie是什麽? 保存在客戶端瀏覽器上的鍵值對 {k:v} cookie依附在請求頭或響應頭中出現 發

django學習- Cookie

實例 turn ret 新頁面 spa 技術 .html hang http cookie:客戶端遊覽器上的一個文件,以鍵值對進行保存,類似字典{‘k‘:‘sfs‘},與服務器端沒有關系,當遊覽器訪問服務器時候,服務器會生成一個隨機字符串保存在cookie中返回給客戶端,這

Djangocookie,session,認證系統auth

you 關閉 .cn status ken timedelta 本地 文件中 static COOKIE 與 SESSION 概念 cookie不屬於http協議範圍,由於http協議無法保持狀態,但實際情況,我們卻又需要“保持狀態”,因此coo

4. Beego 框架cookie與session

文件夾 emca 添加 入口 on() eth string mysql func what is cookie? cookie是存儲在客戶端的,用於標識客戶身份的! what is session session 是存儲在服務端,也是用於客戶身份標識,用於跟蹤用戶會話。

python全棧系列---cookie模擬登陸和模擬session原理

ger -c AD log print imp 數據庫 sta 這一 cookie模擬登陸: import tornado.web class IndexHandler(tornado.web.RequestHandler): def get(self):

djangocookie & session

emp ror dir() 日期 持久化 splay pat django 路徑 (一)cookie 1、獲取Cookie: request.COOKIES[‘key‘] request.get_signed_cookie(key, default=RAISE_ERROR