Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Уязвимости (https://forum.antichat.xyz/forumdisplay.php?f=74)
-   -   Обход XSS фильтров на IE 9 (https://forum.antichat.xyz/showthread.php?t=356367)

Unknown 18.10.2012 17:58
В Internet Explorer 9, ввели защиту от XSS, при написании в GET параметре скрипта, например alert(), у нас выведется окно "счастья":

http://s51.radikal.ru/i134/1210/2f/9b5e7457334d.png

Давайте проведем пару тестов, допустим у нас есть php скрипт с содержимым:

PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]

[/COLOR][/COLOR
Сохраним его под имен xss_ie.php, и пробуем:

PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"]test[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]ru[/COLOR][COLOR="#007700"]/[/COLOR][COLOR="#0000BB"]xss_ie[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]php[/COLOR][COLOR="#007700"]?[/COLOR][COLOR="#0000BB"]a[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]alert[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]1[/COLOR][COLOR="#007700"])[/COLOR][COLOR="#0000BB"][/COLOR][/COLOR
PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"]test[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]ru[/COLOR][COLOR="#007700"]/[/COLOR][COLOR="#0000BB"]xss_ie[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]php[/COLOR][COLOR="#007700"]?[/COLOR][COLOR="#0000BB"]a[/COLOR][COLOR="#007700"]=[/COLOR][COLOR="#0000BB"]alert[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#0000BB"]1[/COLOR][COLOR="#007700"])[/COLOR][/COLOR
Ни при первом, ни при втором варианте окно выведено не будет, благодаря все тому же фильтру.

PoC:

Что казалось можно взять с фильтрации, но если вы вспомните, что IE позволяет зачищать теги вставив 0-байт, то все у вас получится. Например, этот код будет выполнен:

Код:
Code:
3C 73 00 63 72 69 70 74 3E 61 6C 65 72 74 28 31 29 3C 2F 73 00 63 72 69 70 74 3E
Этот же код, в человеко понятном виде: "alert(1)"

И вот, что мы получаем. Создаем скрипт с содержимым:

PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"]alert(1)'[/COLOR][COLOR="#007700"]>[/COLOR][COLOR="#0000BB"]Clickme[/COLOR][COLOR="#007700"][/COLOR][/COLOR] 
Где xss_ie.php скрипт, который мы создали в начале.

После всего получаем:

http://s16.radikal.ru/i190/1210/05/61ce0b8876e6.png

P.S. с "ja[NULL]vascript:" этот вариант тоже канает.

Источник: 1337day.com

Author: Jean Pascal Pereira

Date: 2012-05-15

M_script 19.10.2012 14:00
Защиту от XSS ввели еще в IE8.

Win2003, IE v8.0.6001.18702 - не работает.

Win7, IE v9.0.8112.16421 - не работает.

cat1vo 19.10.2012 16:53
Цитата:
Сообщение от M_script
M_script said:
Защиту от XSS ввели еще в IE8.
Win2003, IE v8.0.6001.18702 - не работает.
Win7, IE v9.0.8112.16421 - не работает.
Win7, IE v9.0.8112.16421 - Работает, НО попросил понизить уровень брандмаузера и включить интрасети! Тогда сработало, но увы метод не универсален!

justonline 19.10.2012 17:04
8.0.7600 win7 работает. параметры интросети должны быть отключены

M_script 19.10.2012 21:37
Источник - http://pastebin.com/6DGzjdp8

"Internet Explorer 9 XSS Filter Bypass

Discovered by: Jean Pascal Pereira "


Время: 05:03