汤青松PHP,汤青松 - SegmentFault 思否

一、背景

上周将W13Scan目录结构整理了一番，觉得要深入研究还得从代码层，于是尝试编写一下插件；框架本身已经集成了XSS扫描插件；

本篇文章的XSS插件的编写单纯是为了学习这个框架，所以只支持GET型，了解插件的编写方法和原理即可。W13scan 是基于Python3的一款开源的Web漏洞发现工具,它支持主动扫描模式和被动扫描模式，能运行在Windows、Linux、Mac上。

二、框架结构

在编写插件之前，我们需要对框架本身的目录结构有一定了解，由于W13Scan本身的文档不是太详细，我自己整理了一下，目录结构图下所示├── api 通过API调用启动扫描

├── certs HTTPS证书存放目录

├── data html输出模板存放目录

├── fingprints 指纹数据

│ ├── framework 框架

│ ├── os 操作系统

│ ├── programing

│ └── webserver web服务

├── lib 框架核心目录

│ ├── api

│ ├── controller

│ ├── core

│ ├── helper

│ ├── parse

│ ├── proxy

│ └── reverse

├── output 扫描结果输出目录

├── scanners 扫描器插件

│ ├── PerFile 针对每个文件，包括参数啥的

│ ├── PerFolder 针对url的目录，会分隔目录分别访问

│ ├── PerServer 对每个domain的

├── thirdpart

│ ├── requests

└── w13scan.py 启动入口

在上方目录结构中，我们看到插件都放在scanners目录中，入口文件则为w13scan.py文件，因此这两个位置就是我们需要重点所关注的；现在我们需要去分析框架的运行流程。

三、运行流程

使用pycharm编辑器打开文件 w13scan.py，可以看到入口文件中的如下代码def main():

# 检查版本信息

version_check()

# 获取绝对路径

root = modulePath()

# 解析命令行参数

cmdline = cmd_line_parser()

# 初始化执行

init(root, cmdline)

在上方代码中可以看到运行了初始化init(root,cmdline)方法，按住ctrl然后用鼠标点击跳转到方法详情，编辑器自动打开了文件 lib/core/option.py，可以看到初始化的具体流程def init(root, cmdline):

cinit(autoreset=True)

setPaths(root)

# 指纹信息

banner()

# 从config.py读取配置信息

_init_conf()

# 从cmdline读取配置

_merge_options(cmdline)

# 设置端口信息

_set_conf()

initKb()

# 加载插件

initPlugins()

# 输出配置信息

_init_stdout()

patch_all()

在上方代码中可以看到，里面有一个initPlugins()方法，同样按住ctrl然后点击方法名字，编辑器会自动打开文件 lib/core/option.py，可以看到插件初始化的整个过程def initPlugins():

# 加载检测插件

for root, dirs, files in os.walk(path.scanners):

# 获取插件下的文件列表

files = filter(lambda x: not x.startswith("__") and x.endswith(".py"), files)

# 对每一个文件进行处理

for _ in files:

# 获取文件名

q = os.path.splitext(_)[0]

# 判断插件白名单

if conf.able and q not in conf.able and q != 'loader':

continue

# 判断插件黑名单

if conf.disable and q in conf.disable:

continue

# 文件绝对路径

filename = os.path.join(root, _)

# 加载该文件

mod = load_file_to_module(filename)

在上方代码中可以看到初始化插件，其实就是扫描了插件目录的文件列表，然后挨个加载文件。

四、分析调试

为了证实这个猜想，我在遍历的位置进行了代码调试，加了print()方法，来验证我的猜想，代码如下所示# 获取文件名

q = os.path.splitext(_)[0]

print(q)

print("\n")

# 判断插件白名单

if conf.able and q not in conf.able and q != 'loader':

continue

找了一个靶场系统，然后使用w13scan的扫描命令运行，执行命令如下所示python w13scan.py -u "http://192.168.152.135:8888/home/index.php?m=tiezi&a=index&bk=6"

命令执行，在控制台看到如下信息(w13scan) D:\mycode\tools\w13scan\W13SCAN>python w13scan.py -u "http://192.168.152.135:8888/home/index.php?m=tiezi&a=index&bk=6"

________________

< w13scan v2.1.0 >

----------------

\

\

,__, | |

(oo)\| |___

(__)\| | )\_

| |_w | \

| | || *

Cower....

loader

analyze_parameter

backup_file

....插件列表，省略....

net_xss

swf_files

[11:23:49] [INFO] Load scanner plugins:29

在上方的信息中，看到scanners目录下的文件列表，所以验证了我的猜想；

接下来我就可以正式编写插件了，为了防止编写过程中对插件目录造成损坏，我将scanners目录复制了一份，如下图所示

在上图中，我将scannsers目录复制到当前目录的scannsers目录，如果编写过程中需要参考或者还原直接拷贝过来即可

接着我回到scanners目录，在目录里面有29个插件，调试的时候不是太方便，我先将其他插件都删除，为了参考插件怎么编写的，我留下一个，如下图所示

在上图中，我只留下了一个backup_file.py插件，用于编写自己的插件参考；同时我将这个插件改成自己插件的名字，如下图所示

在上图中，我将插件文件名子改为了xss_test.py，再次运行，看看是否能正确运行，运行结果如下图所示

在上图中可以看到依然是可以运行的，同时插件名字也发生了变化，变成了xss_test文件

五、编写插件

现在我们就开始编辑xss_test.py插件，使用pycharm打开后，看到的代码如下图所示

在上图中可以看到插件代码里面有两个方法audit和_check,我做了下分析，audit才是对外的方法，_check方法是插件内部的方法，我们不需要，直接删除即可；

接着我们新建一个audit方法，同时备份之前的audit方法为audit_bak作为参考，如下图所示

在上图中，我新建了一个audit方法，并接收了请求头信息和要请求的URL地址，并给出了要实现XSS漏洞检测的三个步骤：准备poc

发送请求

判断返回数据里面是否包含了poc

接着我就开始实现这三个步骤，首先去准备poc代码，如下代码所示# 接收头信息

headers = self.requests.headers

# 我们不要URL地址中的参数部分

url = self.requests.netloc

# 从这里单独接收参数，字典类型

params = self.requests.params

# 这里备份一下字典，不要使用同一个内存地址

paramsBak = params.copy()

# 1. 准备poc

payloads = [

"1'\"()&%",

"",

"\">"

]

接着我需要将poc代码和URL地址结合，生成一个带有攻击参数的链接地址，代码如下所示# 每一个payloads都测试一遍

for payload in payloads:

# 每一个参数都需要测试

for key, val in params.items():

# 每次只测试一个参数，所以需要将之前的字典覆盖

params = paramsBak.copy()

# 将字典里的值改变，然后放到另外一个函数生成一个URL地址

params[key] = payload

nUrl = self.createUrl(url, params)

生成如下URL地址：

http://192.168.152.135:8888/home/index.php?m=&a=index&bk=6

或者如下：

http://192.168.152.135:8888/home/index.php?m=tiezi&a=&bk=6

依次将poc代码替换到原有请求参数当中，接下来就是使用python去请求这个地址，并查看返回结果是否包含了poc代码，如果包含了poc代码说明后端没有做过滤处理，代码如下所示# 2. 发送请求

r = requests.get(nUrl, headers=headers, allow_redirects=False)

# 如果返回值是200,说明页面可以访问

if r.status_code == 200:

# 3.判断返回数据里面是否包含了poc，包含了说明存在XSS

if payload in r.text:

# 将结果返回给框架，统一存储

result = self.new_result()

result.init_info(nUrl, "XSS检测", VulType.BRUTE_FORCE)

# 存储扫描结果

result.add_detail("payload请求", r.reqinfo, "请求返回结果", "插件备注信息", nUrl, "", PLACE.GET)

self.success(result)

代码的含义在上面的备注信息中已经有说明，就不再过多赘述了，接下来我们再次运行W13Scan，运行命令如下所示python w13scan.py -u "http://192.168.152.135:8888/home/index.php?m=tiezi&a=index&bk=6"

命令运行之后，控制台输出的信息如下所示

在上图中可以看到我们的插件已经成功运行，并检测到了XSS漏洞

六、结果验证

接下来我复制其中一个带有poc的URL地址，放到浏览器去运行，如下图所示

在上图中可以看到浏览器触发了XSS代码，弹出了cookie值，至此编写XSS检测插件就完成了，当然这个插件还不够完善，有兴趣的可以自己再深入研究~

完整的poc代码可以参考:https://gitee.com/songboy/codes/kodyj714izqbpgv8cu2n390

作者：汤青松

日期：2020-12-08

我的博客即将同步至 OSCHINA 社区，这是我的 OSCHINA ID：汤青松，邀请大家一同入驻：https://www.oschina.net/shari...查看原文