理解xss shell是什么之前，讓我們一起回顧一下一些基本的xss(跨站腳本)，xss是最常見的一個漏洞，存在于今天許多的web應(yīng)用程序。xss是攻擊者試圖通過web應(yīng)用程序執(zhí)行惡意腳本的技術(shù)，攻擊者通過突破同源策略的web應(yīng)用程序。

攻擊者一旦能夠找到一個存在xss漏洞的web應(yīng)用程序，他可以利用這個漏洞只想不同類型的攻擊其中一些是：

• 竊取憑據(jù)(Stealing Credentials)
• 竊取會話令牌(Stealing Session tokens)
• 破壞網(wǎng)站(Defacing the Website)
• 造成DOS攻擊(Causing DOS)
• 安裝鍵盤記錄器等更多(Installing Key loggers and many more)

跨站腳本存在三種不同的類型：

反射型XSS
存儲型XSS
基于DOM的XSS

反射型xss：

這種漏洞存在于動態(tài)網(wǎng)頁的web應(yīng)用程序中，通常這些應(yīng)用程序?qū)⑾⑥D(zhuǎn)換為一個參數(shù)并返回給用戶。

例如：

URL: http://www.samplesite.com/error.html?value=learn+hacking

這說明在應(yīng)用程序的消息中響應(yīng)“learn+hacking”。 這意味著應(yīng)用程序從URL中提取信息,對其進行處理，并顯示給用戶。 所以該URL處理用戶提供的數(shù)據(jù)，并將其插入到服務(wù)器的響應(yīng)。 如果沒有進行適當(dāng)?shù)倪^濾,那么應(yīng)用程序很容易受到反射型XSS攻擊。

URL可以設(shè)置為：

http://www.samplesite.com/error.html?value=

當(dāng)你點擊上面的網(wǎng)址,它會彈出一個警告框。

存儲型xss：

這種類型的漏洞存在于接受來自用戶的輸入并將其存儲在該應(yīng)用程序的服務(wù)器中，然后顯示給其他用戶。

例如:

一個 Facebook 的應(yīng)用程序，它允許對任何圖片或地位發(fā)表評論更新，然后顯示給所有其他用戶。如果應(yīng)用程序不會過濾輸入內(nèi)容，然后，攻擊者可以評論處編寫一個惡意腳本，以便訪問特定頁面的用戶將受影響。

所以存儲型 XSS 包括兩件事要做。第一，攻擊者將惡意腳本輸入到應(yīng)用程序。第二，在用戶訪問精心構(gòu)造的頁面，腳本在后端讓用戶不知情的情況下執(zhí)行。

基于DOM的XSS:

DOM表示文檔對象模型。這是完全不同于其他兩個前面描述的攻擊。在基于DOM的xss，當(dāng)用戶點擊構(gòu)造的URL時，服務(wù)器響應(yīng)不包含攻擊者的腳本。相反的是，瀏覽器在處理響應(yīng)時執(zhí)行惡意腳本。

這是因為瀏覽器的文檔對象模型有能力來確定用于加載當(dāng)前頁面的URL。應(yīng)用程序發(fā)出的腳本可能會從URL中提取數(shù)據(jù)并進行處理。然后上傳動態(tài)頁面的內(nèi)容，根據(jù)執(zhí)行的腳本通過URL。

XSS Shell 是什么?

XSS shell 是一個強大的ASP.NET 開發(fā)的工具，作為攻擊者與受害者之間的后門 。XSS Shell可以作為一個強大的后門和遠程管理軟件。

攻擊過程:

XSS Shell服務(wù)器設(shè)置。

配置XSS Tunnel使用XSS Shell服務(wù)器。

插入惡意腳本到一個脆弱的網(wǎng)站。

開啟XSS Tunnel,等待的受害者。

配置瀏覽器或工具使用XSS Tunnel。

當(dāng)受害者訪問脆弱的頁面,開始使用XSS Tunnel。

XSS Shell的工作原理:

圖(A)

如圖中所示，最初攻擊者建立與 XSS Shell 的連接，并且惡意腳本插入存在存儲型或反射型XSS 的web 應(yīng)用程序。一旦受害者訪問存在惡意腳本的頁面，請求將被發(fā)送到 XSS Shell 服務(wù)器。根據(jù)請求，服務(wù)器建立一個通道與受害人進行交互。

圖(B)

一旦受害者與XSS Shell服務(wù)器之間創(chuàng)建了一個通道，攻擊者可以通過XSS Shell控制通信接口。XSS Shell界面只是一個 GUI 環(huán)境，向攻擊者提供了一套完善的命令來執(zhí)行某些操作。

在執(zhí)行一個命令，必要的函數(shù)或腳本將在 XSS Shell 服務(wù)器調(diào)用，并將它發(fā)送給受害者。該腳本將被執(zhí)行在受害者的瀏覽器，它會向 XSS Shell 服務(wù)器發(fā)送相應(yīng)的結(jié)果。XSS Shell 服務(wù)器將結(jié)果存儲在"MS-Access"數(shù)據(jù)庫通常由它用來存儲數(shù)據(jù)。每當(dāng)攻擊者需要的時候，可以從數(shù)據(jù)庫中提取結(jié)果。

XSS接口提供的一些命令是:

Get Cookie(獲取Cookie)

Get Current Page(獲取當(dāng)前頁面)

Get Clipboard (獲取剪切板數(shù)據(jù))

Get Key-logger data(獲取鍵盤記錄器數(shù)據(jù))

Crash browser (瀏覽器崩潰 )

使用XSS Shell的一個優(yōu)點是:它是開放源代碼的,很容易實現(xiàn)新的命令。

安裝要求：

IIS服務(wù)器,你可以在主機上使用.asp文件。

Microsoft Access(. mdb)

一個容易受到XSS攻擊的網(wǎng)站。

一個脆弱的網(wǎng)站進行攻擊。

設(shè)置環(huán)境:

•下載的XSSShell: http://labs.portcullis.co.uk/download/xssshell-xsstunnell.zip

•配置IIS托管網(wǎng)站。

•安裝

•配置XSS Shell。

IIS配置:

在 Windows 7 中配置 IIS 或以上時，按照下面給出的步驟：

1.點擊“開始菜單”,進入“控制面板”。

2.點擊“程序”,然后單擊“打開或關(guān)閉windows功能”。

3.出現(xiàn)一個新的"Windows 功能"對話框。展開"Internet 信息服務(wù)"，選擇默認的特性,必須安裝IIS。

4.如果需要，你還可以展開其他類別安裝任何附加的功能。

5.如果你想使用IIS用于評估審計目的，建議安裝附加功能。

現(xiàn)在已經(jīng)配置好IIS的機器了，可以使用 http://localhost/訪問

圖(C)

圖C顯示了IIS 7默認頁面。

安裝XSS Shell：

XSS Shell使用ASP.NET和MS-Access數(shù)據(jù)庫。因此，只要確保你已經(jīng)你的機器安裝了他們兩個。

配置XSS Shell管理界面:

下載XSSShell.zip文件后，解壓文件，你可以看到兩個文件夾。 分別是“XSSshell”和“XSSTunnel”

XSSshell管理界面，你需要把它配置在你的機器。復(fù)制“XSSshell”文件夾到您的Web服務(wù)器。

圖(D)

圖D顯示了“XSSshell”文件夾的結(jié)構(gòu)。

如圖上圖中的子文件夾，你可以看到一個名為“db”的XSSShell子文件夾。 復(fù)制到一個安全的地方,因為XSSshell將在db數(shù)據(jù)庫中存儲完整的數(shù)據(jù),不管它是受害者的會話cookie或任何其他屬于受害者的數(shù)據(jù)

移動“DB”文件夾到一個安全的地方后,在"XSSshell/admin"文件夾下的"db.asp"文件中配置路徑。,這樣，該接口可以理解 db 在哪里和與它進行交互。

圖(E)

圖 E 顯示的存儲路徑為 XSSshell 的數(shù)據(jù)庫的位置。

圖(F)

圖F顯示了訪問“shell.mdb”文件的默認密碼。 你可以編輯任何你想要的密碼。

現(xiàn)在,您可以使用localhost ur訪問管理界面(或你的域名)。

例: http://localhost/xssshell (或) http://yourhostname.com/xssshell

默認情況下它使用端口 80，但在配置域時如果更改端口號，您需要訪問該網(wǎng)站更改后的端口號。

配置XSS Shell:

從"XSSshell"文件夾中打開"xssshell.asp"。

配置服務(wù)器的路徑。即XSSshell 文件夾所在的地方。

圖(G)

圖 G顯示在 xssshell.asp 文件中配置的服務(wù)器路徑。他編輯的地方在你的機器中的"XSSshell"文件夾中的"SERVER"參數(shù)。

現(xiàn)在，從瀏覽器訪問您的管理界面。

圖(H)

圖H顯示XSSshell的管理界面。

上面的圖中可以看到三個部分。

命令：

正如前面提到的 XSSshell 有預(yù)定義的命令，從而使攻擊者容易對受害者執(zhí)行任何攻擊。該部分命令包含由 shell 支持的所有命令。因為它是開源的你可以編輯它并添加您自己的功能那里。

受害者

受害者部分顯示了受害者的名單。

日志：

日志顯示了在受害者上執(zhí)行的操作列表。

XSS Tunnel：

XSS Tunnel 就像一個代理工具，并通過XSSshell服務(wù)器上的XSS通道捕獲流量。

圖(I)

圖I顯示XSS Tunnel的配置設(shè)置。

如前所述,XSS Tunnel就像一個代理來捕獲流量，通過XSS Tunnel打開XSSshell服務(wù)器。 為了做到這一點,XSS Tunnel應(yīng)該能夠知道XSSshell服務(wù)器正在運行。

我們可以從“Options”選項卡配置XSSshell的XSS Tunnel信息。

輸入服務(wù)器地址和密碼。然后只需確保其工作正常，點擊“Test Server”。如果配置無誤，你會得到一個成功的消息。

圖(J)

圖J顯示成功建立的連接。

完成配置后,單擊“Start XSS Tunnel”的窗口。 然后你就可以看到所有執(zhí)行XSS Tunnel的受害者。

圖(K)

圖K顯示所有受害者的訪問頁面和執(zhí)行操作。

引用:

http://labs.portcullis.co.uk/tools/xss-shell/

http://www.slideshare.net/clubhack/xss-shell-by-vandan-joshi