XSS 攻擊思路總結

前幾天看到 B 站 up 主公孫田浩投稿的影片「QQ被盜後釋出賭博廣告，我一氣之下黑了他們網站」，看完後不禁感嘆為啥自己沒有那麼好的運氣……實際上這就是一箇中規中矩的 XSS 漏洞案例，在安全圈子裡面應該也算是基本操作，正好部落格以前沒有記錄過類似的文章，那麼本文就來還原一下這個攻擊過程。

鑑別網站

下面是一個經典的 QQ 空間釣魚網站：

域名分析

釣魚網站最直觀的就是看域名，可以看到目標網站域名：qq。xps。com 儘管域名中

出

現了 qq 字樣，但是一級域名卻是 xps。com 這一點就直接暴露了釣魚網站的本性。

早期還有一種

利用拉丁字母

註冊的域名偽造釣魚網站的案例，這種就比較逼真了，下面國光簡單列舉一些：

OPPO 官網真假域名

Bash

# 真域名www。oppo。com# 假域名www。οppο。com

Pornhub 官網真假域名

Bash

# 真域名www。pornhub。com# 假域名www。ρornhub。com

唯品會官網真假域名

Bash

# 真域名www。vip。com# 假域名www。νip。com

關於這類域名就不再列舉了，早期這種方法成功率是非常的高的，有時候甚至都可以欺騙到我們這種專業的資訊保安從業者。

功能分析

釣魚網站既然是要釣魚的話，說那麼多半還會有後臺管理功能。所以使用常規的目錄掃描工具多半可以掃描出一些端倪出來：

Bash

dirsearch -u “http：//qq。xps。com/” -e * -x 301

果然掃描出了這個 QQ 空間釣魚網站的後臺登入口了：http：//qq。xps。com/admin/login。php

至此基本上已經可以確定這個目標網站就是傳說中的釣魚網站了，下面來看一下這個釣魚網站是如何運作的吧。

釣魚流程

小白使用者前臺輸入自己的 QQ 賬號和密碼資訊，點選登入後域名跳轉到真正的 QQ 官網：

然後使用者再輸入自己的 QQ 賬號和密碼就可以成功登陸了。

目前很多釣魚網站都是這種思路，這可以讓被釣者產生一種自己第一次是密碼不小心輸入錯誤的錯覺，從而放鬆警惕，妙啊！真是妙蛙種子吃著妙脆角，妙進了米奇妙妙屋妙到家了

然後釣魚網站的管理員每天會到自己的 QQ 空間釣魚管理中心裡面看看今天又有哪些菜雞上鉤了：

可以看到上鉤者的 QQ 號為：1314520 密碼為：sbhac… 唉，不對勁？貌似自己被羞辱了一番……

攻擊思路

本文主要是來梳理一下 XSS 常見的攻擊思路，關於 XSS 以為的思路不在本文的敘述範圍內，另外如果有小夥伴要不錯新的姿勢的話歡迎評論區裡面或者郵件留言，國光日後會繼續完善本文的。

思路一：XSS 盲打

如果目標網站存在 XSS 的話且沒有 httponly 防禦 cookie 那麼就可以直接盲打 XSS。首先準備一個 XSS 靶場，國光這裡比較推薦 Github 上面開源的藍蓮花 XSS 平臺。

官方專案地址為：https：//github。com/firesunCN/BlueLotus_XSSReceiver

可惜已經清空資料了，還好國光我 fork 了一份：

國光 fork 的專案地址為：https：//github。com/sqlsec/BlueLotus_XSSReceiver

然後使用 XSS 平臺裡面的模組來生成一個 XSS payload：

Javascript

可以去掉多餘的雙引號：

Javascript

然後回到釣魚網站前臺，在使用者名稱或者密碼出插入 payload（理論上來說密碼處成功率要高一點），如果有表單長度限制的話，可以手工審查元素修改 input 的長度限制：

這樣駭客攻擊的步驟基本上就走完了，下面回到釣魚網站管理員的視角。

釣魚網站的搭建者到自己的 QQ 空間釣魚管理中心裡面看看今天又有哪些菜雞上鉤了：

發現真的有菜雞上鉤，密碼居然是 1111111111 嘴角忍不住

上仰

。

此時他不知道的是，使用者賬號旁邊實際上有一串 JS 程式碼被解析了，而此時駭客在 XSS 平臺裡面可以直接看到管理員已經上鉤了：

可以直接看到管理員的後臺地址和 cookie 資訊，拿到後臺地址和 Cookie 資訊就可以直接抓包替換 Cookie 登入到釣魚網站的後臺，這些基本操作國光我就不在囉嗦了，下面來說一下另一種思路。

思路二：SET 釣魚

假設目標網站存在 httppnly 的話，我們拿到的 cookie 資訊也是不完整的，所以傳統的思路是行不通的，這種情況下該怎麼辦呢？仔細想想，既然不能正面肛 httponly 的話，那麼為什麼不考慮繞過他呢？

下面國光主要描述一下如何使用 Kali Linux 裡面的 set 社工工程學工具包來進行釣魚。

SET 在 Kali Linux 裡面的全稱是 social engineering toolkit：

Github 專案地址為

：https：//github。com/trustedsec/social-engineer-toolkit

點選即可直接啟動，首先會看到如下的選單：

Bash

Select from the menu： 1） Social-Engineering Attacks # 社會工程攻擊 2） Penetration Testing （Fast-Track） # 滲透測試（快速通道） 3） Third Party Modules # 第三方模組 4） Update the Social-Engineer Toolkit # 更新 SET 5） Update SET configuration # 更新 SET 配置 6） Help， Credits， and About # 幫助 99） Exit the Social-Engineer Toolkit # 退出set> 1

選擇 1 後進入到下面的選單：

Bash

Select from the menu： 1） Spear-Phishing Attack Vectors # 魚叉式網路釣魚攻擊 2） Website Attack Vectors # 網站攻擊 3） Infectious Media Generator # 感染性介質生成 4） Create a Payload and Listener # 建立 Payload 和監聽器 5） Mass Mailer Attack # 群發郵件 6） Arduino-Based Attack Vector # 基於 Arduino 的攻擊 7） Wireless Access Point Attack Vector # 無線接入點攻擊 8） QRCode Generator Attack Vector # 二維碼生成器攻擊 9） Powershell Attack Vectors # Powershell 攻擊 10） Third Party Modules # 第三方模組 99） Return back to the main menu。 # 返回主選單set> 2

選擇 2 後進入到下面的選單：

Bash

1） Java Applet Attack Method # Java Applet 攻擊 2） Metasploit Browser Exploit Method # Metasploit Browser 瀏覽器攻擊 3） Credential Harvester Attack Method # 憑證竊取攻擊 4） Tabnabbing Attack Method # 標籤頁劫持 5） Web Jacking Attack Method # 網頁劫持攻擊 6） Multi-Attack Web Method # 綜合網頁攻擊 7） HTA Attack Method # HTA 攻擊 99） Return to Main Menu # 返回主選單set：webattack> 3

選擇 3 進入到下面的選單：

Bash

1） Web Templates # 網站模板 2） Site Cloner # 站點克隆 3） Custom Import # 自定義匯入 99） Return to Webattack Menu # 返回主選單set：webattack> 2

選擇 2 然後具體看下下面的操作：