函數劫持

<!doctype html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>函數劫持</title>
    <script>
        var _eval = eval;
        eval = window.execScript = window.document.write = window.document.writeln = function(s){
            document.getElementById('output').value = s;
        }
    </script>
</head>
<body>
input:
<textarea id="input" cols="80" rows="10"></textarea>
<input type="button" onclick="javascript: _eval(document.getElementById('input').value);" value="decode" />
<br />
output:
<textarea id="output" cols="80" rows="10"></textarea>
</body>
</html>

 http://www.xfocus.net/articles/200712/963.html

 

1、概述

javascript函數劫持，也就是老外提到的javascript hijacking技術。最先仍是和劍心同窗討論問題時偶然看到的一段代碼，大概這樣寫的：

window.alert = function(s) {};

以爲這種用法很巧妙新穎，和API Hook殊途同歸，索性稱之爲javascript function hook，也就是函數劫持。經過替換js函數的實現來達到劫持這個函數調用的目的，一個完整的hook alert函數例子以下：

<!--1.htm-->
<script type="text/javascript">
<!--
var _alert = alert;
window.alert = function(s) {
    if (confirm("是否要彈框框，內容是\"" + s + "\"？")) {
        _alert(s);
    }
}
//-->
</script>
<html>
<body>
<input type="button" onclick="javascript: alert('Hello World!')" value="test" />
</body>
</html>

搞過API Hook的同窗們看到這個代碼必定會心的一笑，先保存原函數實現，而後替換爲咱們本身的函數實現，添加咱們本身的處理邏輯後最終再調用原來的函數實現，這樣這個alert函數就被咱們劫持了。原理很是簡單，下面舉些典型的應用來看看咱們能利用它來作些什麼。


2、應用舉例

1. 實現一個簡易的javascript debugger，這裏說是debugger比較標題黨，其實只是有點相似於debugger的功能，主要利用js函數劫持來實現函數的break point，來看看個簡單的例子：

<script type="text/javascript">
<!--
var _eval = eval;
eval = function(s) {
    if (confirm("eval被調用\n\n調用函數\n" + eval.caller + "\n\n調用參數\n" + s)) {
        _eval(s);
    }
}
//-->
</script>
<html>
<head>
</head>
<body>
<script type="text/javascript">
<!--
function test() {
    var a = "alert(1)";eval(a);
}

function t() {
    test();
}

t();
//-->
</script>
</body>
</html>

經過js函數劫持中斷函數執行，並顯示參數和函數調用者代碼，來看一個完整例子的效果：

>help
debug commands:

bp <function name> - set a breakpoint on a function, e.g. "bp window.alert".
bl - list all breakpoints.
bc <breakpoint number> - remove a breakpoint by specified number, e.g. "bc 0".
help - help information.

>bp window.alert
* breakpoint on function "window.alert" added successfully.

>bl
* 1 breakpoints:
0 - window.alert

>bc 0
* breakpoint on function "window.alert" deleted successfully.

這裏演示設置斷點，察看斷點和刪除斷點，完整代碼在本文附錄[1]給出。

2. 設置陷阱實時捕捉跨站測試者，搞跨站的人總習慣用alert來確認是否存在跨站，若是你要監控是否有人在測試你的網站xss的話，能夠在你要監控的頁面裏hook alert函數，記錄alert調用狀況：

<script type="text/javascript">
<!--
function log(s) {
    var img = new Image();
    img.style.width = img.style.height = 0; img.src = "http://yousite.com/log.php?caller=" + encodeURIComponent(s);
}

var _alert = alert;
window.alert = function(s) {
    log(alert.caller);
    _alert(s);
}
//-->
</script>

固然，你這個函數要加到頁面的最開始，並且還要比較隱蔽一些，赫赫，你甚至可使alert不彈框或者彈個警告框，讓測試者抓狂一把。

3. 實現DOM XSS自動化掃描，目前通常的XSS自動化掃描的方法是從http返回結果中搜索特徵來肯定是否存在漏洞，可是這種方法不適用於掃描DOM XSS，由於DOM XSS是由客戶端腳本形成的，好比前段時間劍心發現的google的跨站(見附錄[2])原理以下：

document.write(document.location.hash);

這樣的跨站沒法反映在http response裏，因此傳統掃描方法無法掃描出來。可是若是你從上個例子裏受到啓發的話，必定會想到設置陷阱的辦法，DOM XSS最終致使alert被執行，因此咱們hook alert函數設置陷阱，若是XSS成功則會去調用alert函數，觸發咱們的陷阱記錄結果，這樣就能夠實現DOM XSS的自動化掃描，陷阱代碼相似於上面。

4. 靈活的使用js劫持輔助你的頁面代碼分析工做，好比分析網頁木馬時，常常會有經過eval或者document.write來進行加密的狀況，因而咱們編寫段hook eval和document.write的小工具，輔助解密：

<script type="text/javascript">
<!--
var _eval = eval;
eval = window.execScript = window.document.write = window.document.writeln = function(s) {
    document.getElementById("output").value = s;
}
//-->
</script>
<html>
<body>
input:
<textarea id="input" cols="80" rows="10"></textarea>
<input type="button" onclick="javascript: _eval(document.getElementById('input').value);" value="decode" />
<br />
output:
<textarea id="output" cols="80" rows="10"></textarea>
</body>
</html>

在input框裏輸入加密的代碼：

eval(unescape("%61%6C%65%72%74%28%31%29%3B"));

在output框裏輸出解碼後的代碼：

alert(1);

固然你還能想到更多的靈活應用：）


3、反劫持

談到劫持也就必然要談談反劫持的話題，假設你要寫一個健壯的xss playload，就須要考慮反劫持，有兩個問題要解決：

如何判斷是否被劫持了？
若是發現被劫持了，如何反劫持？

1. 判斷某個函數是否被劫持，這個好辦，寫個小程序對比一下一個函數被hook先後，有什麼差異：

<textarea id="tb1" cols="80" rows="8"></textarea>
<script type="text/javascript"><!--
document.getElementById("tb1").value = eval + "\n";
var _eval = eval;
eval = function(s) {
    alert(s);
    _eval(s);
}
document.getElementById("tb1").value += eval;
//-->
</script>

結果：

function eval() {
    [native code]
}

function(s) {
    alert(s);
    _eval(s);
}

咱們發現那些內置函數是[native code]，而自定義的則是具體的函數定義，用這個特徵就能夠簡單的檢測函數是否被劫持：

function checkHook(proc) {
    if (proc.toString().indexOf("[native code]") > 0) {
        return false;
    } else {
        return true;
    }
}

2. 如何反劫持，第一個想法就是恢復被劫持的函數，若是劫持的人把原函數保存在某個變量裏那還好辦，直接調用原函數就能夠了，可是劫持者本身也沒保存副本怎麼辦，只能本身建立個新的環境，而後用新環境裏的乾淨的函數來恢復咱們這裏被hook了的，怎麼建立新環境？整個新的iframe好了，裏面就是個全新的環境。ok，動手吧：

function unHook(proc) {
    var f = document.createElement("iframe");
    f.style.border = "0";
    f.style.width = "0";
    f.style.height = "0";
    document.body.appendChild(f);

    var d = f.contentWindow.document;
    d.write("<script type=\"text/javascript\">window.parent.escape = escape;<\/script>");
    d.close();
}

綜合一、2節，整個測試代碼以下：

<!--antihook.htm-->
<script type="text/javascript">
<!--
escape = function(s) {
    return s;
}
//-->
</script>
<html>
<body>
<input type="button" onclick="javascript: test();" value="test" />
<script type="text/javascript">
<!--
function test() {
    alert(escape("s y"));if (checkHook(escape)) {
        unHook(escape);
    }

    alert(escape("s y"));
}

function checkHook(proc) {
    if (proc.toString().indexOf("[native code]") > 0) {
        return false;
    } else {
        return true;
    }
}

function unHook(proc) {
    var f = document.createElement("iframe");
    f.style.border = "0";
    f.style.width = "0";
    f.style.height = "0";
    document.body.appendChild(f);

    var d = f.contentWindow.document;
    d.write("<script type=\"text/javascript\">window.parent.escape = escape;<\/script>");
    d.close();
}
//-->
</script>
</body>
</html>

3. 不是上面兩個問題都解決了麼，爲何要有第3節？由於那不是個最好的解決辦法，既然咱們能夠建立全新的iframe，何不把代碼直接放到全新iframe裏執行呢，這樣作的話綠色環保，既不用考慮當前context裏的hook問題，也不用改動當前context，不會影響自己的程序執行。給出兩個比較通用點的函數：

function createIframe(w) {
    var d = w.document;
    var newIframe = d.createElement("iframe");
    newIframe.style.width = 0;
    newIframe.style.height = 0;
    d.body.appendChild(newIframe);
    newIframe.contentWindow.document.write("<html><body></body></html>");
    return newIframe;
}

function injectScriptIntoIframe(f, proc) {
    var d = f.contentWindow.document;
    var s = "<script>\n(" + proc.toString() + ")();\n</script>";
    d.write(s);
}

把你的payload封裝進一個函數，而後調用這兩個方法來在iframe裏執行：

function payload() {
    // your code goes here
}

var f = createIframe(top);
injectScriptIntoIframe(f, payload);