利用GOOGLE的分析器做server limit dos

作者: 日期: 2009 年 04 月 22 日 发表评论 (0) 查看评论

本文纯属YY,最后未实践成功,但是不排除其他网站有类似可能。

很多网站都使用了google的统计。

当我们从一个网站(A)链接到带有google统计的网站(B)时,google会记录referer的URI,并存入B的COOKIE中。

如果我们可以影响referer,是不是就可以攻击任何带有google统计的网站呢?

这是两个问题:

1,如何改referer。

2,google是否会不管多大的referer都放进去。

我们一个一个证明。

测试IIS,发现IIS对于大URL,会拒绝,例如:

 

XML/HTML代码
  1. http://xxx/cn/afffffffffffffffffffffffffffffffffffffaaasooweaponrrrrdagoogffffffflgggggggeweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondaleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagooewegleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweweaponweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagoogleweapondagsssssssssssssssssssssssssssssssssssssssssssssssssssddddddddddddddddddddddddddfffffffffffff/a.htm  

显示:

XML/HTML代码
  1. HTTP/1.1 400 Bad Request   
  2. Content-Type: text/html   
  3. Date: Wed, 22 Apr 2009 09:18:17 GMT   
  4. Connection: close   
  5. Content-Length: 34   
  6.   
  7. <h1>Bad Request (Invalid URL)</h1>  

IIS不允许这个长的URL,但是这是IIS的限制,我们不用它,自己写web服务器(山寨)。

呃。。。没那么厉害,我只要实现一个小功能即可。

监听80端口。

无论我在URL里写什么,只要访问这个端口,就给浏览器返回:

SHELL代码
  1. HTTP/1.1 200 OK   
  2. Content-Type: text/html   
  3. Date: Wed, 22 Apr 2009 09:18:17 GMT   
  4. Connection: close   
  5. Content-Length: 34   
  6.   
  7. <script>location.href=‘http://monyer.com/bbs/’;</script>  

代码就不献丑了。

有了这个,我就可以无限制在URL里加入字符。

于是访问

XML/HTML代码
  1. http://127.0.0.1:80/ffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffff/aa.htm  

果然自动调转到了http://monyer.com/bbs。

再看看COOKIE

未命名.jpg

种进去了!

也就是说,如果A站点要攻击B站点(带有google统计),只需要一台服务器,运行这个软件。

之后在用户访问A的网站时,iframe一下这个软件的URL,用户会自动访问这个软件,然后执行这个软件发给用户的JS

最终IFRAME跳转到B站点,就可以给B站点的COOKIE中,加入大字段,造成server limit dos,导致他访问不了。

光说不练不行,还得搞个POC,于是我把这个URL再搞大。

未命名2.jpg

昏倒,这一项不见了。

据事后猜测,估计是GOOGLE在JS里判断了location的长度,一旦到达某种长度,就不再放入cookie了。

不过,问题是它指定的长度是多少呢?

呃。。。不知道,它的代码太乱了,哪位大侠看看

 

 

 

http://www.google-analytics.com/ga.js
嗯。。。利用失败。。。很郁闷。不写了,越想越郁闷。。。
但是其他统计呢?嘿嘿。。。
WEB SECURITY, 原创文章, ,
发表评论?

0 条评论。

发表评论