突破IE安全限制获取iframe子框架内的本地cookie

整个过程运行结果如下：
首先访问 www.a.com/1.html

可以看到这个时候在www.baidu.com/3.html 中弹出的是session cookie，可以对比下我们最后结果里弹出的本地cookie接下来，3.html将构造iframe proxy

可以看到，由于www.a.com/4.html里的XSS漏洞被利用，所以远程js被加载了

远程js继续调用top1.tt1(); 这个函数，同时篡改它的参数，参数如上图显示。接下来将把这个参数注入到tt1()函数中，由于tt1()函数中存在一个 document.write,所以它将改写页面，并且构造一个form表单，重新提交到www.baidu.com/2.html

由于在form表单中，利用了img标签的onload事件，使得img一加载就提交form，所以很快就自动获得了cookie。

可以看到，此时获取的，就是www.baidu.com/2.html 保存的本地cookie！

需要注意的是，在4.html中，即使把 top.tt1()改成了 document.write()，也无法获取本地cookie，想来应该还是因为iframe限制的问题。

以上，就是利用Cross Iframe Trick的技巧来突破iframe限制的方法，其意义在于跨页面攻击、跨域攻击、突破iframe的限制，等等，大大丰富了脚本攻击的方法。

不知道我这篇是不是又在白写，如果有人能把我给出的POC好好调一遍，会发现这里面还是很有趣的。

最后，再讲讲，有的人可能会提出疑问，能构造iframe proxy，是否可以直接用来挂马?

是的，当然可以直接用来挂马，但是挂马却是更加复杂的一种攻击，要求有好的浏览器漏洞，好的木马，能够对抗主动防御的shellcode，同时，根据需要获取的数据不同，有时候挂马也并不能达到目的。比如，攻击的目标是网站里的数据，如果网站有SSL保护，有防键盘记录一类的程序，则会更加麻烦。

上一页  [1] [2] [3]