利用ChromeXSSauditor盗取tokens

提到XSS auditor我们更多想到的便是绕过。XSS auditor实在可恶，不知让我们死了多少脑细胞，今天咱们就来看看歪果仁是怎样利用Chrome的XSS auditor实现盗取token的，吐一口恶气吧!

成都创新互联公司是一家专注于成都网站设计、成都网站建设与策划设计,阿里地区网站建设哪家好?成都创新互联公司做网站,专注于网站建设十载,网设计领域的专业建站公司;建站业务涵盖:阿里地区等地区。阿里地区做网站价格咨询:18980820575

检测XSS auditor

James告诉我说在Chrome的Xss auditor中有一个块模式，对此我表示十分的有兴趣。当http头设置为：

X-XSS-Protection: 1; mode=block

如果检测到存在XSS攻击，XSS auditor会删除页面上所有的内容。我认为我们可以利用这个特性，因为目标站点包含一个iframe，接着使用窗口的长度属性去判断这个iframe是否还存在。现目前大部分浏览器都可以使用contentWindow.length进行跨域。下面是演示范例

所以，如果这个站点包含iframe那么弹出窗口会显示1，反之则会显示0。如果有许多个iframe，在弹出的窗口会显示具体的iframe数量。

获取用户ID

首先我就在想如何利用这一特性从内联脚本中读取用户ID。如果XSS auditor活跃的话，可以通过注入假的XSS向量并监视长度属性进行观察。注入一系列虚假向量，每次递增一个用户ID来检测正确值。目标页面的输出大概是这样。

test 
test 
x

正如你看到的，我们在块模式中写入了XSS过滤，该页面包含一个iframe以及脚本块中包含了一个用户ID。下面为假向量

?fakevector=

上述代码创建一个iframe(你也可以创建多个iframe，在本例中创建一个iframe是为了更快的演示)，使用onload处理程序并检测contentWindow.length属性，如果没有返回一个用户ID，那么会通过设置iframe位置继续尝试下一个值。

窗口使用

如果网站使用x-frame-options选项或者CSP策略，然而也并没有什么卵用，使用新窗口仍然可以检测XSS auditor。不幸的是，在新窗口我们无法使用onload 事件处理程序，由于安全因素我们无法实现跨域。然而我们可以使用超时/间隔来绕过它，然后静待页面加载。

PoC

第一行用来检测是否存在一个窗口，如果不存在那么就创建一个窗口并存储一个会引用到的全局变量。接着使用一个20毫秒的时间间隔进行反复检测XSS是否发生，如果没有发生就继续调用该函数。

盗取token

到目前为止我们讨论的方法虽然很炫酷，但是有点站不住脚，可以检索的数据有些限制并且需要以某种特殊的方式形成脚本块。 Eduardo Vela建议我使用表单动作以及现有的参数来完成。我创建了一个PoC成功的从表单动作中提取到一个32字符的hash。

该页面在获取到你所想要的token之前，需要一个iframe，块模式以及一个过滤参数来呈现。

&token=">

PoC：