又到了各種年終總結的時候了,先祝各位看官「聖誕快樂」。我記得有朋友問我在2023年裡有沒有「猥瑣流」比較出彩的東西時,我給的答案是「xss盲打」!
關於「盲打」這個詞語的出現,最早應該是在wooyun裡id為「胯下有殺氣」的馬甲提出的。最早的乙個wooyun案列是2023年7月提交的《wooyun-2012-09547》 ,由此xss盲打火了起來,當然wooyun推出的xss平台xsser.me也火了。於是到處都是「***盲打」,「xsser.tw」,「xsser.xx」 ....
無獨有偶,在從不多的時間段裡,西方時間也出現了同樣的攻擊手法及平台。在2023年7月的defcon20上「adam "evilpacket" baldwin」演講的議題《blind xss》 然後他也推出了乙個平台xss.io 至於一切都是巧合,還是東西方有啥子關聯,就沒辦法去考證了~~
那到底什麼是「xss盲打」呢? 「xss盲打」是指在攻擊者對資料提交後展現的後台未知的情況下,**採用了攻擊者插入了帶真實攻擊功能的xss攻擊**(通常是使用script標籤引入遠端的js)的資料。當未知後台在展現時沒有對這些提交的資料進行過濾,那麼後台管理人員在操作時就會觸發xss來實現攻擊者預定好的「真實攻擊功能」。
對於這種攻擊方式,對於我來說最早可以追溯到2023年我寫的blog文《dz公升級檢測功能的黑盒測試》不過可惜的當時並沒有去實踐,而只是提出了攻擊思路。還有值得一提的是在那掛馬橫行的年代,基本所有的「箱子」對於木馬提交的「密碼」、「ip」等資料都是缺少xss過濾的。所以當時也有人整過掛馬箱子的盲打。
這個時間段差不多有5年,我想這個原因可能還是「對互動恐懼」導致的,我在《也策漏洞利用》 有提到過這樣問題。而為什麼會「火」呢?也是上面那個原因,對與攻擊者來說,越是不確定,攻擊成功後帶來的心理收益是比較高的! 然後加上這個時代的年輕黑客們已經沒有了當年我們對於攻擊失敗而產生的羞澀感了! 還有乙個原因就是各大甲方對於安全的藐視,對於乙個未對外開發的後台來說,他們根本就意識不到危險。不經歷風雨,是見不到彩虹的,所以「甲方都需要教育!」。
我們回到時間的主線上,在2023年12月我在**培訓的ppt《web2.0下的滲透測試》提到了多個真實的案列。根據這些案列,我們可以把「xss盲打」分為2大類:
這個分類是站在攻擊者提交資料的角度上來區分的。
1、主動型
是指攻擊者在對**採取資料的方式已知,而對資料展現的後台未知的情況下,通過主動提交具有真實攻擊功能xss**給程式導致的xss盲打。在《web2.0下的滲透測試》裡提到的「螳螂捕蟬」及wooyun上那些案例基本都是屬於主動型。
2、被動型
是指攻擊者對**採去資料的方式及對資料後台都未知的情況下,通過把插有真實攻擊功能的xss**的資料,使用「撒魚餌」方式散布,一旦有**抓取了你的「魚餌」,而觸發的xss盲打。這種攻擊方式好像太大的隨意性,感覺很難成功。但是也是這樣的隨意性,可能給攻擊者帶來更加意外的收穫。在《web2.0下的滲透測試》裡提到的「來自『漏洞庫』的漏洞」及「是誰想動了我的乳酪?」都屬於被動型。這也是我常在blog裡提到的「預留攻擊介面」意識的體現!
最後用那句「蟲子永遠屬於那些有想法勤勞的小鳥」結尾!
關於xss盲打關於xss盲打
關於xss盲打關於xss盲打 又到了各種年終總結的時候了,先祝各位看官 聖誕快樂 我記得有朋友問我在2012年裡有沒有 猥瑣流 比較出彩的東西時,我給的答案是 xss盲打 關於 盲打 這個詞語的出現,最早應該是在wooyun裡id為 胯下有殺氣 的馬甲提出的。最早的乙個wooyun案列是2012年7...
關於練習盲打
為了提高自己寫程式的效率,最近我也在努力的練習盲打。因為之前沒有太在意這個盲打,所以練習盲打的過程還是比較困難的。開始首先你要熟悉鍵盤上 的每個字母的所在位置,打字時要在潛意識裡面記住。其次就是要有乙個正確的放手的姿勢,這樣可以更快的提高速度。我在開始練習時總是克服不了這個困難,打著打著手就怎麼舒服...
XSS盲打繞過後台限制的兩種思路
思路一 很多時候後台都是在內網,導致無法成功的測試,但是往往內網的很多伺服器是不打補丁的,所以可以考慮借助xss對伺服器進行掃瞄,直接攻擊內網的伺服器,彈回shell。譬如xss exploit裡如果發現是struts就可以考慮直接的攻擊彈回乙個shell 思路二 除了搞伺服器之外,也可以針對管理用...