主站的cookie有httponly保护。 1.找到个子域A.XX.COM的XSS,可过XSS FILTER,但是服务器是ngnix。 2.找到另外一个子域B.XX.COM的PHP全局变量XSS,该服务器是apache老版本,可以400错误爆出cookie,但是这个XSS只能是URL XSS,不能过XSS FILTER。 遂参照 HdhCmsTest2cto测试数据/Article/201106/93852.html HdhCmsTest2cto测试数据/Article/201110/107620.html 写成EXP一枚,流程如下: 1.一个页面内的框架导入子域A.XX.COM的XSS设置xss cookie值,代码为设置document.domain为XX.COM主域,同时将自己页面的document.domain也设为XX.COM主域。 2.同一个页面内的框架再导入B.XX.COM的XSS 漏洞 文件不带参数,这时候先前设的cookie参数值生效触发XSS绕过XSS FILTER,设置document.domain为XX.COM主域,完成两个框架页的跨域设置。 3.重新导入可过XSS FILTER的XSS,设置爆400的COOKIE,跨框架跨域注入B.XX.COM一个AJAX脚本,取到400错误爆出cookie传回。附上另外一个拐过弯的思路。 一台apache可以400错误爆COOKIE的服务器上有crossdomain.xml,但是FLASH取不到400状态的页面,读不出COOKIE,遂放弃。 http://stackoverflow测试数据/questions/188887/how-to-access-as3-urlloader-return-data-on-ioerrorevent 作者rayh4c
查看更多关于分享一点XSS渗透的思路 - 网站安全 - 自学php的详细内容...