介绍会话劫持可视化利用工具（SHVE）：一款用于XSS利用的创新开源工具

2023年8月31日 - 发布者：Raúl Miján

大家好！今天，我们非常兴奋地向大家介绍我们的最新工具：会话劫持可视化利用工具，简称 SHVE。这款开源工具现已在我们GitHub上提供，它提供了一种新颖的方式来劫持受害者的浏览器会话，在通过XSS或恶意网页钩住浏览器后，将其用作可视化代理。虽然一些利用框架（例如BeEF）确实提供了钩子功能，但它们不允许远程视觉交互。

SHVE在用户的安全上下文下与受害者浏览器交互，依赖于一个包含多个元素的综合设计。这些组件各自实现特定功能，形成了一个复杂的互联系统，允许精确且受控的会话劫持。让我们仔细看看每一个组件：

• 受害者服务器：此组件负责提供恶意的JavaScript。此外，它与被钩住的浏览器建立WebSocket连接，便于从服务器向受害者的浏览器传输命令。

• 攻击者服务器：这是攻击者客户端的连接点。它向攻击者提供所有必要的信息，例如不同被钩住会话的详细信息。

• 代理：当客户端进入视觉模式或交互模式时，它会连接到此代理。代理继而利用受害者服务器提供的功能，通过被钩住的浏览器执行所有请求。

该工具提供两种独特模式——视觉模式和交互模式——以适应多种使用场景。

视觉模式：该工具提供受害者活动的实时视图。这在利用XSS时特别有用，因为它允许攻击者观察否则可能无法看到的受害者互动。例如，如果受害者访问一个不存储以供后期查看的实时聊天，攻击者可以看到这个实时交互。

交互模式：此模式提供了通往任何指定Web应用程序的可视化网关。由于操作是通过被钩住的浏览器使用受害者的安全上下文执行的，因此服务器端的检测变得更具挑战性。与典型的XSS或CORS错误配置利用不同，不需要窃取Cookie或本地存储等信息。相反，该工具使用XHR请求，确保CSRF令牌被自动发送，因为受害者和攻击者看到的是相同的HTML。

开始使用

我们录制了一个视频，展示了这些模式，并演示了如何使用Portswigger的Web Security Academy实验室之一来利用XSS和CORS错误配置。以下是SHVE的工作原理：

（您的浏览器不支持视频标签。）

我们期待您的贡献和见解，并迫不及待地想看到您如何在红队活动中使用SHVE。祝您攻击愉快！

感谢Michele Orru和Giuseppe Trotta在早期阶段的反馈和想法。

其他相关文章：

• SHVE中的Office文档投毒 - 2023年11月3日
• 客户端JavaScript插桩 - 2023年9月25日
• 在Google Scholar上研究用于XSS的多态图像 - 2020年4月30日