1

一、背景

上周将W13Scan目录结构整理了一番,觉得要深入研究还得从代码层,于是尝试编写一下插件;框架本身已经集成了XSS扫描插件;

本篇文章的XSS插件的编写单纯是为了学习这个框架,所以只支持GET型,了解插件的编写方法和原理即可。

W13scan 是基于Python3的一款开源的Web漏洞发现工具,它支持主动扫描模式和被动扫描模式,能运行在Windows、Linux、Mac上。

二、框架结构

在编写插件之前,我们需要对框架本身的目录结构有一定了解,由于W13Scan本身的文档不是太详细,我自己整理了一下,目录结构图下所示

├── api     通过API调用启动扫描
├── certs   HTTPS证书存放目录
├── data    html输出模板存放目录
├── fingprints  指纹数据
│         ├── framework     框架
│         ├── os            操作系统
│         ├── programing    
│         └── webserver     web服务
├── lib     框架核心目录
│         ├── api
│         ├── controller
│         ├── core
│         ├── helper
│         ├── parse
│         ├── proxy
│         └── reverse
├── output      扫描结果输出目录
├── scanners    扫描器插件
│         ├── PerFile       针对每个文件,包括参数啥的
│         ├── PerFolder     针对url的目录,会分隔目录分别访问
│         ├── PerServer     对每个domain的
├── thirdpart
│         ├── requests
└── w13scan.py  启动入口

在上方目录结构中,我们看到插件都放在scanners目录中,入口文件则为w13scan.py文件,因此这两个位置就是我们需要重点所关注的;现在我们需要去分析框架的运行流程。

三、运行流程

使用pycharm编辑器打开文件 w13scan.py,可以看到入口文件中的如下代码

def main():
    # 检查版本信息
    version_check()

    # 获取绝对路径
    root = modulePath()
    # 解析命令行参数
    cmdline = cmd_line_parser()
    # 初始化执行
    init(root, cmdline)

在上方代码中可以看到运行了初始化init(root,cmdline)方法,按住ctrl然后用鼠标点击跳转到方法详情,编辑器自动打开了文件 lib/core/option.py,可以看到初始化的具体流程

def init(root, cmdline):
    cinit(autoreset=True)
    setPaths(root)
    # 指纹信息
    banner()
    # 从config.py读取配置信息
    _init_conf()
    # 从cmdline读取配置
    _merge_options(cmdline)
    # 设置端口信息
    _set_conf()
    initKb()
    # 加载插件
    initPlugins()
    # 输出配置信息
    _init_stdout()
    patch_all()

在上方代码中可以看到,里面有一个initPlugins()方法,同样按住ctrl然后点击方法名字,编辑器会自动打开文件 lib/core/option.py,可以看到插件初始化的整个过程

def initPlugins():
    # 加载检测插件
    for root, dirs, files in os.walk(path.scanners):
        # 获取插件下的文件列表
        files = filter(lambda x: not x.startswith("__") and x.endswith(".py"), files)
        # 对每一个文件进行处理
        for _ in files:
            # 获取文件名
            q = os.path.splitext(_)[0]
            # 判断插件白名单
            if conf.able and q not in conf.able and q != 'loader':
                continue
            # 判断插件黑名单
            if conf.disable and q in conf.disable:
                continue
            # 文件绝对路径
            filename = os.path.join(root, _)
            # 加载该文件
            mod = load_file_to_module(filename)

在上方代码中可以看到初始化插件,其实就是扫描了插件目录的文件列表,然后挨个加载文件。

四、分析调试

为了证实这个猜想,我在遍历的位置进行了代码调试,加了print()方法,来验证我的猜想,代码如下所示

            # 获取文件名
            q = os.path.splitext(_)[0]
            print(q)
            print("\n")
            # 判断插件白名单
            if conf.able and q not in conf.able and q != 'loader':
                continue

找了一个靶场系统,然后使用w13scan的扫描命令运行,执行命令如下所示

python  w13scan.py  -u "http://192.168.152.135:8888/home/index.php?m=tiezi&a=index&bk=6"

命令执行,在控制台看到如下信息

(w13scan) D:\mycode\tools\w13scan\W13SCAN>python  w13scan.py  -u "http://192.168.152.135:8888/home/index.php?m=tiezi&a=index&bk=6"
 ________________
< w13scan v2.1.0 >
 ----------------
     \
      \
        ,__, |    |
        (oo)\|    |___
        (__)\|    |   )\_
             |    |_w |  \
             |    |  ||   *
             Cower....
loader
analyze_parameter
backup_file
....插件列表,省略....
net_xss
swf_files
[11:23:49] [INFO] Load scanner plugins:29

在上方的信息中,看到scanners目录下的文件列表,所以验证了我的猜想;

接下来我就可以正式编写插件了,为了防止编写过程中对插件目录造成损坏,我将scanners目录复制了一份,如下图所示


在上图中,我将scannsers目录复制到当前目录的scannsers目录,如果编写过程中需要参考或者还原直接拷贝过来即可

接着我回到scanners目录,在目录里面有29个插件,调试的时候不是太方便,我先将其他插件都删除,为了参考插件怎么编写的,我留下一个,如下图所示

在上图中,我只留下了一个backup_file.py插件,用于编写自己的插件参考;同时我将这个插件改成自己插件的名字,如下图所示

在上图中,我将插件文件名子改为了xss_test.py,再次运行,看看是否能正确运行,运行结果如下图所示

在上图中可以看到依然是可以运行的,同时插件名字也发生了变化,变成了xss_test文件

五、编写插件

现在我们就开始编辑xss_test.py插件,使用pycharm打开后,看到的代码如下图所示

在上图中可以看到插件代码里面有两个方法audit_check,我做了下分析,audit才是对外的方法,_check方法是插件内部的方法,我们不需要,直接删除即可;

接着我们新建一个audit方法,同时备份之前的audit方法为audit_bak作为参考,如下图所示

在上图中,我新建了一个audit方法,并接收了请求头信息和要请求的URL地址,并给出了要实现XSS漏洞检测的三个步骤:

  1. 准备poc
  2. 发送请求
  3. 判断返回数据里面是否包含了poc

接着我就开始实现这三个步骤,首先去准备poc代码,如下代码所示

        # 接收头信息
        headers = self.requests.headers
        # 我们不要URL地址中的参数部分
        url = self.requests.netloc
        # 从这里单独接收参数,字典类型
        params = self.requests.params
        # 这里备份一下字典,不要使用同一个内存地址
        paramsBak = params.copy()

        # 1. 准备poc
        payloads = [
            "1'\"()&%<acx><ScRiPt >prompt(915149)</ScRiPt>",
            "<svg/onload=alert(1)>",
            "\"><script>alert(document.cookie)</script>"
        ]

接着我需要将poc代码和URL地址结合,生成一个带有攻击参数的链接地址,代码如下所示

        # 每一个payloads都测试一遍
        for payload in payloads:
            # 每一个参数都需要测试
            for key, val in params.items():
                # 每次只测试一个参数,所以需要将之前的字典覆盖
                params = paramsBak.copy()
                # 将字典里的值改变,然后放到另外一个函数生成一个URL地址
                params[key] = payload
                nUrl = self.createUrl(url, params)
                

生成如下URL地址:

http://192.168.152.135:8888/home/index.php?m=<svg/onload=alert(1)>&a=index&bk=6

或者如下:

http://192.168.152.135:8888/home/index.php?m=tiezi&a=<svg/onload=alert(1)>&bk=6

依次将poc代码替换到原有请求参数当中,接下来就是使用python去请求这个地址,并查看返回结果是否包含了poc代码,如果包含了poc代码说明后端没有做过滤处理,代码如下所示

                # 2. 发送请求
                r = requests.get(nUrl, headers=headers, allow_redirects=False)
                # 如果返回值是200,说明页面可以访问
                if r.status_code == 200:
                    # 3.判断返回数据里面是否包含了poc,包含了说明存在XSS
                    if payload in r.text:
                        # 将结果返回给框架,统一存储
                        result = self.new_result()
                        result.init_info(nUrl, "XSS检测", VulType.BRUTE_FORCE)
                        # 存储扫描结果
                        result.add_detail("payload请求", r.reqinfo, "请求返回结果", "插件备注信息", nUrl, "", PLACE.GET)
                        self.success(result)

代码的含义在上面的备注信息中已经有说明,就不再过多赘述了,接下来我们再次运行W13Scan,运行命令如下所示

python  w13scan.py  -u "http://192.168.152.135:8888/home/index.php?m=tiezi&a=index&bk=6"

命令运行之后,控制台输出的信息如下所示

在上图中可以看到我们的插件已经成功运行,并检测到了XSS漏洞

六、结果验证

接下来我复制其中一个带有poc的URL地址,放到浏览器去运行,如下图所示

在上图中可以看到浏览器触发了XSS代码,弹出了cookie值,至此编写XSS检测插件就完成了,当然这个插件还不够完善,有兴趣的可以自己再深入研究~

完整的poc代码可以参考:

https://gitee.com/songboy/codes/kodyj714izqbpgv8cu2n390

作者:汤青松

日期:2020-12-08

我的博客即将同步至 OSCHINA 社区,这是我的 OSCHINA ID:汤青松,邀请大家一同入驻:https://www.oschina.net/shari...


汤青松
5.2k 声望8.3k 粉丝

《PHP Web安全开发实战》 作者