介绍会话劫持可视化利用工具（SHVE）：用于XSS利用的创新开源工具

2023年8月31日 - 作者：Raúl Miján

大家好！今天我们非常兴奋地向大家介绍我们的最新工具：会话劫持可视化利用（Session Hijacking Visual Exploitation，简称SHVE）。这款开源工具现已在我们GitHub上提供，它通过XSS或恶意网页钩子，提供了一种新颖的方式来劫持受害者的浏览器会话，并将其用作可视化代理。虽然某些利用框架（如BeEF）确实提供钩子功能，但它们不允许远程可视化交互。

SHVE在用户安全上下文中与受害者浏览器的交互依赖于包含多个元素的全面设计。这些组件各自实现特定功能，形成一个复杂互联的系统，实现精确可控的会话劫持。让我们仔细看看每个组件：

VictimServer：该组件提供恶意JavaScript代码，并建立与受钩浏览器的WebSocket连接，促进从服务器到受害者浏览器的命令传输。

AttackerServer：这是攻击者客户端的连接点，向攻击者提供所有必要信息，例如不同受钩会话的详细信息。

Proxy：当客户端进入可视化或交互模式时，会连接到此代理。代理随后利用VictimServer提供的功能，通过受钩浏览器执行所有请求。

该工具提供两种独特模式——可视化和交互式——以实现多样化使用。

可视化模式：工具提供受害者活动的实时视图。这在利用XSS时特别有用，因为它允许攻击者观察否则可能无法看到的受害者交互。例如，如果受害者访问了一个不存储供后续查看的实时聊天，攻击者可以看到这种实时交互。

交互式模式：此模式提供到任何指定Web应用程序的可视化网关。由于操作是通过受钩浏览器使用受害者的安全上下文执行的，服务器端检测变得更具挑战性。与典型的XSS或CORS错误配置利用不同，无需窃取Cookie或本地存储等信息。相反，该工具使用XHR请求，确保CSRF令牌自动发送，因为受害者和攻击者查看相同的HTML。

开始使用

我们录制了一个视频，展示这些模式并演示如何使用Portswigger的Web安全学院实验室之一来利用XSS和CORS错误配置。以下是SHVE的工作原理：

（您的浏览器不支持视频标签）

我们期待您的贡献和见解，并迫不及待想看到您如何在红队 engagements 中使用SHVE。祝黑客愉快！

感谢Michele Orru和Giuseppe Trotta的早期反馈和想法。

其他相关文章：

• Office Documents Poisoning in SHVE（2023年11月3日）
• Client-side JavaScript Instrumentation（2023年9月25日）
• Researching Polymorphic Images for XSS on Google Scholar（2020年4月30日）