利用HTML5的CORS特性绕过httpOnly的限制实现XSS会话劫持

最新推荐文章于 2024-01-08 13:45:00 发布
最新推荐文章于 2024-01-08 13:45:00 发布
阅读量2.1k 收藏 3
点赞数

0×00. 前言 

有时候我们遇到一个存储型XSS 漏洞,但是sessionId设置了httpOnly,劫持不了会话,显得很鸡肋,让渗透测试人员很蛋疼,不过这种情况正在好转,随着HTML5的流行,通过HTML5 的CORS功能实现跨域通信,建立HTTP tunnel通信,实现会话劫持已经变成可能,本文就通过实测验证HTML5的CORS条件下的xss会话劫持的可行性。

关于HTML5 的CORS 特性,请参考:http://www.ruanyifeng.com/blog/2016/04/cors.html

0×01. 前提条件

1)有一个存在XSS 漏洞的站点(最好是存储型的)

2)站点cookie使用了httpOnly

3)客户端浏览器支持HTML5 (因为用户端【被控端】和控制端需要通过HTML CORS 跨域通信,建立http通道)

0×02. 本次实验环境

漏洞环境:

1.修改后的dvwa (修改默认security level 修改为high,且high level下设置了httpOnly标志)

使用到的工具: 

2.用户端浏览器使用chrome

3. Shell of the Future_v0.9

本文用到的最重要工具,用来实现XSS会话劫持,关于Shell of the Future,请参考:http://www.andlabs.org/tools/sotf/sotf.html

Shell of the Future 监听8080 和1337端口,8080 为对外公开,提供恶意js下载、建立http 通道

1337 监听在本地,用来管理被劫持的会话

选择Server + Proxy 模式,点击start 即可

4. burpsuite 1.7

运行在客户端(就是在虚拟机中,用户端访问含有XSS漏洞的站点时通过burpsuite代理访问,这样会捕获用户的访问,观察会话劫持的过程)

5.Vmware WorkStation

虚拟机,充当用户端 (192.168.3.206)

虚拟机充当用户访问设备 ,宿主机充当以下角色

1)dvwa 所在服务器(充当含有XSS漏洞的站点)192.168.2.85www.xss.net

2)xss漏洞触发时下载js所在服务器(即Shell of the Future所在服务器)192.168.2.85www.attacker.net

3)Shell of Future 管理后台: http://localhost/sotf.console

登录Shell of Future 管理后台的浏览器做以下设置:

然后地址栏输入 http://localhost/sotf.console,当看到如下界面时,说明shell of the future 和管理后台的浏览器设置OK

0×03. 测试过程

1) 事先插入一段xss代码

修改dvwa 数据库下的guestbook表的comment字段大小为800(不然长度不够嘿嘿)

然后插入一段xss 代码

2) 配置好用户端的hosts

192.168.2.85www.xss.net

192.168.2.85www.attacker.net

3)开始测试

用户端打开含有xss漏洞的站

恩,确认cookie设置了httpOnly标识

打开含有xss代码的页面,触发xss漏洞, OK, 通过截包,我们看看发生了什么

Ok,我们看到恶意js加载执行后就开始利用HTML CORS 特性跨域向控制端poll请求(poll 8080 端口,相当于在8080 建立了一条http 通道)

控制端接收到HTML CORS 请求后,从origin中获取被劫持会话的地址 (控制端就是HTML CORS的 server端)

然后。 控制端就给用户端分配一个 ID ,用于标识被劫持的sessionID, 从1开始,

用户端poll指令的时候携带上sessionID编号,控制端就知道要处理的是哪一个被劫持的session。

当hacker 在控制端点击被劫持的session的时候,控制端(1337端口)截获了此点击(确定是GET 请求还是POST请求,有木有携带参数),处理之后转发给8080端口的服务,然后通过8080的http 通道向用户(被控端)发送指令

当hacker 点击被劫持的session的host的时候(比如上图的www.xss.net),就相当于向用户端发送了GET http://www.xss.net指令

用户端poll到指令之后,就开始执行了

上图指令是被hex加密之后的,16进制的分隔符是x,解码之后就是指令内容

其中m 表示请求方法,u表示请求的url,b表示请求参数,ct表示额外的请求头部,ssl表示是否加密,rid表示第几次请求

上图u 解密之后表示:http://www.xss.net/, 上述指令表示获取http://www.xss.net/的内容并发送给控制端

用户端执行完指令之后将指令执行结果内容push到控制端(利用HTML CORS特性跨域push)

注意到push的请求了吗, 1_1 表示第一个劫持会话的第一次请求, push的内容是www.xss.net首页内容,内容格式

请求编号&请求响应码&响应头部内容&响应body

请求编号表示第几次请求,响应头部和响应body 都经过16进制编码,16进制的分隔符是x

控制端接收到用户端的push之后,hex解码展现给用户

此后hacker在控制台点击被劫持会话页面的每个动作都被1337端口截获,1337端口监听的服务处理后将向用户端发送指令(这就是为什么设置代理的原理,发送指令是通过已建立的8080 端口 http 通道)

然后等待指令执行结果,然后展现给控制台,这就实现了会话劫持!

0×04. shell of the future 劫持会话原理图

0×05. 不足

用户端如果离开含有xss代码的页面的时候,则建立的http 通道断开连接 (e1.js 不会再执行,客户端不会轮询控制端指令,控制端没法下发指令)。

 

FLy_鹏程万里
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
cors-proxy:基于Java Jersey的CORS代理绕过javascript跨域请求限制
05-08
cors-proxy 基于Java Jersey的CORS代理绕过javascript跨域请求限制关于由于浏览器实施的CORS限制,来自浏览器的Javascript无法访问来自其他域的资源。 该Web代理将绕过这些限制。环境Java 1.7以上Tomcat 7以上用法在...
HTML5存储
qq_25178609的博客
07-19 3845
一、H5之前如何实现存储1.服务器端的存储a. cache 缓存 :将从数据库或磁盘上取出的内容放在缓存中,从而减少数据库或是磁盘的读取与写入(IO)操作 b. 磁盘 :资源文件如图片或视频 c. 数据库:同文件系统相比,由于数据库实现了数据共享,从而减少了数据冗余,维护了数据的一致性。数据可以实现集中控制。 d. 内存 :存放需要高速读写的数据,在CPU的运算过程中,会产生大量的中间数据,这些数据
h5手机端浏览器机制_H5 浏览器的9种缓存机制
weixin_35414887的博客
02-15 846
前言打开浏览器的Application面板,可看到HTTP文件缓存(Frames下),Local Storage,Session Storage,indexDB,Web SQL,Cookie,CacheStorage,Application Cache,另有一种使用不多的Flash缓存方式HTTP文件缓存HTTP文件缓存是基于HTTP协议的浏览器端文件级缓存机制,可在控制台的Frames看到缓存的...
【每天学习一点新知识】XSS如何绕过HttpOnly获取Cookie以及XSSCORS漏洞利用
RexHa的博客
10-27 4911
Cors请求可分为两类,简单请求和非简单请求。所谓简单请求,就是请求方式为GET,POST,HEAD这三种之一,并且HTTP头不超出(Accept,Accept-Language,Content-Language,Lat-Event-ID,Content-Type)这几种字段。(Cross-origin resource sharing),是H5提供的一种机制,WEB应用程序可以通过在HTTP增加字段来告诉浏览器,哪些不同来源的服务器是有权访问本站资源的,当不同域的请求发生时,就出现了跨域的现象。
[xss-3]httponly绕过
qq_41889600的博客
11-23 2482
小迪安全 xss httponly绕过
[小迪安全27天]绕过httponly
weixin_54252904的博客
06-06 3507
httponly(只是限制了cookie被盗取) HttpOnly是包含在http返回头Set-Cookie里面的一个附加的flag,所以它是后端服务器对cookie设置的一个附加的属性,在生成cookie时使用HttpOnly标志有助于减轻客户端脚本访问受保护cookie的风险(如果浏览器支持的话) 通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击。 使用xss盗取的cookie为空 表单劫持(没有保存密码) 通过xss平台的表单劫持模块,填写目标表单所对应的属性 这里小
第27天:WEB漏洞~XSS跨站~代码及httponly绕过
廖一语山的博客
09-12 1415
来自小迪的培训视频笔记
【网络安全】XSS如何绕过HttpOnly获取Cookie以及XSSCORS漏洞利用
Karka_的博客
01-08 1026
所谓简单请求,就是请求方式为GET,POST,HEAD这三种之一,并且HTTP头不超出(Accept,Accept-Language,Content-Language,Lat-Event-ID,Content-Type)这几种字段。(Cross-origin resource sharing),是H5提供的一种机制,WEB应用程序可以通过在HTTP增加字段来告诉浏览器,哪些不同来源的服务器是有权访问本站资源的,当不同域的请求发生时,就出现了跨域的现象。其中,如果你等保模块学的好,还可以从事等保工程师。
Java利用cors实现跨域请求实例
08-30
本篇文章主要介绍了Java利用cors实现跨域请求实例,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Java实现CORS跨域请求的实现方法
08-29
本篇文章主要介绍了Java实现CORS跨域请求的实现方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Spring Boot 通过CORS实现跨域问题
09-07
主要介绍了Spring Boot 通过CORS实现跨域,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
cors-unblocker:绕过 CORS 的简单免费代理
06-13
cors-unblocker 绕过 CORS 的简单免费代理。
XSS攻击之HttpOnly绕过
weixin_42478365的博客
05-10 5271
HttpOnly绕过: HtpOnly是Cokioe的一个安全属性, 设置后则可以在xSS漏洞发生时避免Jsese读取 到Cookie,但即使设置了HtpOnly属性,也仍有方法获取到Cokie值。 如 (1) CVE-2012-0053 Apache服务器2.0-2.2版本存在个漏洞 CE-2012-0053:攻击者可通过向网站植人超大的Cookie,令其HTTP头超过Apache的LititRequestFieldSize (最大请求长度,4192字节),使得Apache返回400错误,状态页中包含了H
Web漏洞-XSS跨站之代码及Http Only绕过-XSS Labs靶场详细通关教程-WAF绕过及安全修复
ran的博客
03-29 1667
如果您在cookie中设置了HttpOnly属性,那么通过is脚本将无法读取到cookie信息,这样能有效的防止XSS攻击。如果httponly出现的话,使用XSS来获取cookie基本就可以被拦截下来。那么由此我们就会想到,如果遇到了httponly后,我们需要怎么进行操作呢?首先要想到的是,它知识阻止cookie被我们获取到,但是不会阻止跨站语句的执行。Web漏洞-XSS跨站之代码及Http Only绕过-XSS labs靶场详细通关教程-WAF绕过及安全修复
HttpOnly绕过+常用标签
NSQ0207的博客
07-25 252
HttpOnly绕过如果在cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止xss。作用:仅仅是防止通过js脚本读取到cookie信息利用xss漏洞,在源代码上输入脚本(xss平台脚本),可进行表单劫持绕过的两种方式:浏览器保存账号面:产生在后台的XSS,例如存储型XSSxss平台直接接收。浏览器未保存读取密码:需要xss产生于登录地址,利用表单劫持常用标签一、无过滤情况
2021/12/7 HttpOnly绕过xss-labs
weixin_44532761的博客
12-09 578
小迪 涉及资源及参考 https://www.bilibili.com/video/BV1JZ4y1c7ro?p=26&spm_id_from=pageDriver cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,但是并不能防止xss漏洞只能是防止cookie被盗取。 ...
xss跨站之代码及http only绕过
san3144393495的博客
05-26 1656
如何绕过http only,他只是防止cookie被读取,并不防止跨站漏洞,我想要获取后台的权限,有两种方法可以获取后台权限,一种是cookie,另一种是直接的账户密码登陆,因为http only限制了cookie的获取只能用账户密码去登陆,账户密码有些个人习惯,会把账户密码进行个保存,避免下次忘了密码,有一些浏览器会自动保存,如果对方设置了保存或者浏览器自动保存账户密码,我们是可以利用xss去读取账户免密的。有两种情况,一种是保存读取,就是输入账号浏览器会自动补齐免密就是保存读取,比如qq的保存密码。
infrared-remote-candroid studiodemo
最新发布
05-05
android studio下载
能不能用代理服务器来绕过跨域资源共享 (CORS) 策略
07-14
是的,你可以使用代理服务器来绕过跨域资源共享(CORS)策略。通过设置代理服务器,可以将前端应用的请求发送到代理服务器上,再由代理服务器转发到目标后端服务器,从而避免浏览器的跨域限制。 下面是一个示例的配置方案: 1. 在代理服务器上设置一个接口,例如 `/api`,用于接收前端应用的请求。 2. 前端应用将请求发送到代理服务器的 `/api` 接口。 3. 代理服务器接收到请求后,从后端服务器获取数据。 4. 代理服务器将后端服务器返回的数据作为响应返回给前端应用。 这样,由于前端应用实际上是通过与同源的代理服务器通信,而不是直接与目标后端服务器通信,就可以绕过浏览器的跨域限制。 需要注意的是,代理服务器需要正确地配置跨域头信息,以允许前端应用从不同的源访问代理服务器。具体的配置方法取决于所使用的代理服务器软件和设置。 值得一提的是,使用代理服务器绕过 CORS 策略可能会引入安全风险,请确保代理服务器受到适当的保护和授权,以防止潜在的滥用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值